Ab dem 25. Mai ist die GDPR nun Realität. Acubiz blickt auf zwei Jahre der Vorbereitung auf diesen Tag zurück. Die Anwaltskanzlei Horten hat eine wichtige Rolle als Berater bei der Vorbereitung der Datenverarbeitungsverträge von Acubiz gespielt - ein Prozess, den Acubiz' CEO und Gründer Lars de Nully schon früh angestoßen hat.
Mads Nygaard Madsen, Partner der Anwaltskanzlei Horten, sagt: "Die Herangehensweise von Lars de Nully an die Datenschutz-Grundverordnung ist geradezu ideal - er sieht sie eher als Chance denn als Belastung." Bereits vor zwei Jahren begannen die beiden damit, die Datenverarbeitungsvereinbarung von Acubiz zu skizzieren, die im Vergleich zu anderen Organisationen sehr früh war.
Betroffen sind viele Bereiche
"Auch hier bei Horten haben wir versucht, frühzeitig damit zu beginnen, ein starkes Team für personenbezogene Daten aufzubauen, das unsere Kunden über die Verordnung beraten kann. Das Team besteht unter anderem aus Mitarbeitern mit unterschiedlichen Kompetenzen in den Bereichen IT-Recht, Arbeitsrecht und Marketingrecht. Die Allgemeine Datenschutzverordnung betrifft so viele Bereiche, dass man über ein gewisses Wissen verfügen muss - vor allem als Anwaltskanzlei", sagt Mads Nygaard Madsen.
Höhen und Tiefen auf dem Weg
"Der Prozess wurde nicht freiwillig vorangetrieben", erzählt Lars de Nully, "aber als ich erfuhr, dass es unvermeidlich war, Acubiz auf die neue Verordnung vorzubereiten, beschloss ich, mich an die Arbeit zu machen, und dachte, dass es ein Wettbewerbsvorteil sein muss, bei diesem Prozess an vorderster Front zu stehen. Aus der Sicht des Managements gab es auf dem Weg dorthin Höhen und Tiefen in Bezug auf die Erfahrung mit dem Wert all der Ressourcen, die wir in das Projekt investieren mussten. Aber jetzt, wo Acubiz vollständig fertig ist, und zwar seit Januar, und mit fast allen Kunden Datenverarbeitungsverträge abgeschlossen hat, ist das völlig ausreichend", sagt Lars de Nully.
Eine Standardvereinbarung ist nicht genug
Leider ist es mit einer Standard-Datenverarbeitungsvereinbarung nicht getan - der Inhalt des Vertrags, die Verhandlungen und Anpassungen sind von Kunde zu Kunde unterschiedlich, sagt Mads Nygaard Madsen:
"Im Auftrag von Acubiz haben wir nun zwei Standardverträge vorbereitet - einen für private Unternehmen und einen für Kommunen, der auf dem vorbereiteten Standard für Kommunen basiert. Manchmal müssen wir zusammen mit Acubiz mit den Kunden und ihren Anwälten verhandeln, wenn sie andere Bedingungen verlangen, die über die Bedingungen der Standardverträge hinausgehen, und Bedingungen, die nicht notwendig sind, um die Allgemeine Datenschutzverordnung einzuhalten.
Die Länder legen die DSGVO unterschiedlich aus
Die internationalen Kunden machen es nicht einfacher, denn es hat sich gezeigt, dass die einzelnen EU-Länder GDPR unterschiedlich auslegen", sagt Vivi Sejrsen, Acubiz GDPR-Verantwortliche:
"Wir verhandeln derzeit mit einem unserer Kunden, der seinen Hauptsitz in Schweden hat, und wir haben die Erfahrung gemacht, dass die allgemeine Datenschutzverordnung unterschiedlich ausgelegt wird, da die dänische und die schwedische Datenschutzbehörde nicht ganz dieselben Auslegungen haben. Das bringt einige besondere Herausforderungen mit sich. Daher ist es von großem Interesse, dass wir uns den Initiativen der nordischen Datenschutzbehörden anschließen, um einen gemeinsamen Standard zu schaffen", erklärt Vivi Sejrsen.
Lars de Nully: "Die Arbeit an den Datenverarbeitungsverträgen ist ein fortlaufendes Projekt - es wird immer Bedarf an Anpassungen und an Ressourcen geben, die an diesen Anpassungen arbeiten", sagt er abschließend.