Die DSGVO als Chance. 4 Schritte zum Erfolg

0 Kommentare  
3312 Aufrufe  

Die Datenschutz-Grundverordnung (DSGVO) setzt weltweit neue Maßstäbe für Datenschutzrechte, Sicherheit und Compliance. Ziel ist es, die Privatsphäre von EU-Bürgern besser zu schützen und wahren. Dazu legt die Verordnung strenge Anforderungen an die Privatsphäre fest –egal, wo auf der Welt Unternehmen Daten übertragen, verarbeiten oder speichern. Um Sie bei der Vorbereitung auf die DSGVO zu unterstützen, haben wir vier wesentliche Bereiche identifiziert, für die wir Ihnen konkrete Tipps für die technische Umsetzung geben: Ermitteln, Verwalten, Schützen und Melden.

Ermitteln: Personenbezogene Daten finden und identifizieren

„Personenbezogene Daten“ sind all jene Daten, die sich auf einen identifizierten oder identifizierbaren EU-Bürger beziehen. Dabei spielt es keine Rolle, ob die Daten innerhalb der EU gespeichert werden oder nicht. Kunden können künftig jederzeit erfragen, wo genau ihre Daten liegen. Das erfordert ganz konkrete Antworten. Nur so können Unternehmer dem gesetzlich verankerten Löschwunsch nachkommen.

Tipp: Am besten bestellen Sie einen zentralen Ansprechpartner für Kunden und Kollegen zum Thema „Speicherort“. Dieser Mitarbeiter sollte entweder selbst über alles informiert sein oder einen direkten Draht zum Compliance-Verantwortlichen haben. Denn trotz des in der DSGVO verankerten Rechts auf Löschen müssen Unternehmen bestimmte Daten möglicherweise aufheben. Im Finanzsektor etwa haben die Vorschriften zur Archivierung und der Nachvollziehbarkeit von Transaktionen mehr Gewicht als die DSGVO.

Verwalten: Zugriffe auf personenbezogene Daten steuern

Unternehmen müssen sicherstellen, dass sie rechtmäßig mit den von ihnen verarbeiteten personenbezogenen Daten umgehen. Sie müssen also genau festlegen, wie die Firma die Daten nutzt und wie darauf zugegriffen werden darf. Es ist ratsam, einen „Data-Governance-Plan“ zu entwickeln und umzusetzen. Dieser Plan unterstützt sie beim Festlegen von Richtlinien, Rollen und Verantwortlichkeiten im Unternehmen.

Tipp: Die Absicherung von Systemen, Anwendungen und Daten beginnt mit einer identitätsbasierten Zugriffssteuerung, die Unternehmensdaten und private Daten vor nicht autorisiertem Zugriff schützt. Um Daten zu verwalten und die Rechte betroffener Personen nach der DSGVO zu wahren, sollten Organisationen ein Programm und dokumentierte Prozesse zur Datenkontrolle einführen. Es wird außerdem empfohlen, Mitarbeitern nahezulegen, in Zukunft so wenig personenbezogene Daten wie möglich zu sammeln. Die bereits gesammelten Daten sollten dahingehend geprüft werden, ob diese wirklich zum Erreichen des jeweiligen Geschäftsziels notwendig sind.

Schützen: Schwachstellen finden und Datenpannen vermeiden

Die DSGVO verlangt von Unternehmen, dass sie geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor Verlust oder unbefugtem Zugriff zu schützen. Um mögliche Schwachstellen zu identifizieren, empfiehlt sich zunächst eine Gap-Analyse: Welche Schutzmechanismen gibt es im Unternehmen bereits und welche verlangt die DSGVO von mir? Diese Analyse sollte dokumentiert werden, damit man sie der Aufsichtsbehörde im Falle einer Datenpanne vorlegen kann. Gab es dann keine nach Risiken priorisierte Liste der abzuarbeitenden Punkte, kann sich das auf die Höhe eines möglichen Bußgeldes auswirken.

Tipp: Um die bei der Gap-Analyse gefundenen Schwachstellen abzudichten, genügen im ersten Schritt einfache Mechanismen, wie Passwortvorgaben, die Installation von Software-Updates oder die Verschlüsselung von ruhenden oder übertragenen Daten. Auch die Cloud ist Teil der Problemlösung: Viele Schwachstellen lassen sich durch eine Migration von Systemen und Anwendungen in die Cloud beheben. Denn Cloud-Rechenzentren sind in der Regel besser vor Angriffen geschützt und entsprechen in Sachen Einbruchs- und Brandschutz den denkbar höchsten Standards.

Melden: Pflichten bei Datenverstößen

Die DSGVO setzt neue Maßstäbe bei Transparenz, Rechenschaftspflicht und Dokumentation. Unternehmen, die personenbezogene Daten verarbeiten, müssen beispielsweise Verarbeitungszwecke, Aufbewahrungszeiten, Sicherheitsmaßnahmen etc. pp. dokumentieren. Neu ist die Meldepflicht. Kommt es zu einer Datenpanne, muss der Verantwortliche diese spätestens innerhalb der nächsten 72 Stunden, nachdem ihm die Verletzung bekannt wurde, melden.

Tipp: Um die Dokumentation so einfach wie möglich zu halten, empfehlen sich Software-Tools für Audits. Sie zeichnen alle Aktionen rund um die personenbezogenen Daten auf: das Sammeln, der Einsatz und die Freigabe dieser Daten. Zur raschen und korrekten Meldung eines Datenlecks sollte ein Prozess für diese „Data Breach Notification“ aufgesetzt und dieser wie ein Feueralarm geübt werden. Die Verantwortlichkeiten zwischen IT, Management, Rechtsabteilung sowie dem Datenschutzbeauftragten sollten festgeschrieben werden, Checklisten und Standardschreiben vorgefertigt in der Schublade liegen. Fehlende Prozesse oder eine Meldung weit nach den vorgegebenen 72 Stunden können zu hohen Bußgeldern führen.

Fazit: Gut vorbereitet, können Sie der DSGVO getrost entgegenblicken. Bei allen genannten Prozessen können Sie Cloud-Dienste und lokal installierte Produkte unterstützen. Ausführliche Informationen dazu mit vielen wertvollen Details bietet das E-Book „So hält der Mittelstand die EU-Datenschutz-Grundverordnung ein“, das Ihnen kostenfrei zum Download bereitsteht.