Der Lohn der Anstrengung
EU-DSGVO kann eine Chance sein
Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt in wenigen Wochen in Kraft. Wer für dieses Mammutprojekt verantwortlich ist, hinter dem liegen Monate enormer zusätz-licher Arbeit - oft verbunden mit Ärger bei der Umsetzung und hohen Kosten. Und immer mit der Sorge, die Auflagen nicht rechtzeitig zu erfüllen und damit Bußgelder zu riskieren.
Die Herausforderungen bei der Umsetzung der EU-DSGVO sind groß: Es gilt, Standards einzuhalten und einen völlig neuen datenzentrierten und risikoorientierten Ansatz umzusetzen, mit allen Verpflichtungen. Dazu zählen Maßnahmen, um die Vertraulichkeit, Integrität und Belastbarkeit der Systeme und Dienste sicherzustellen, ebenso aber die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei physischen oder technischen Zwischenfällen, also die Fähigkeit zu deren Wiederherstellung. Neben der Führung eines Verarbeitungsverzeichnisses stehen neue verpflichtende Datenschutz-Folgenabschätzungen als erhöhte Anforderungen an Unternehmen.
Dies erfordert eine festgelegte Risikomethodik. Eine weitere Herausforderung bilden die erweiterten Informations- und Auskunftspflichten gegenüber Betroffenen sowie eine generelle Ausweitung der Betroffenenrechte.
Neue Möglichkeiten
Doch trotz der zeit- und kostenintensiven Angelegenheit lohnt sich der Aufwand. Die EU-DSGVO führt zu einem Paradigmenwechsel und birgt große Chancen: Die Verordnung ist eine Modernisierung für wirksamen und konkreten Schutz personenbezogener Daten in Europa. Unternehmen haben die Chance, durch die Einhaltung der Richtlinien ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu untermauern. Im Zeitalter rasanter Digitalisierung und datengetriebener Wirtschaft ist ein gewissenhafter und integrer Umgang mit Informationen unabdingbar - Geschäfte und Prozesse im Einklang mit der EU-DSGVO garantieren einen solchen Umgang.
Der Wandel der europäischen Rahmenbedingungen fordert "Privacy by Design", also einen "ab Werk integrierten" Datenschutz, der auf Technikgestaltung und datenschutzfreundlichen Voreinstellungen basiert. Hinzu kommt: Die EU-DSGVO schließt Backdoor-Lösungen rigoros aus. Damit gibt sie europäischen Unternehmen einen Vorteil gegenüber dem globalen Wettbewerb. Denn in Europa entwickelte Software lässt nach Erfüllung der Vorgaben das Feld des Mitbewerbs bezüglich Datensicherheit klar hinter sich.
Langfristige Vorteile
Die Chance, die IT-Verantwortliche während der Umsetzung der neuen Richtlinien außerdem nutzen können, besteht darin, parallel möglicherweise bestehende Abweichungen im Qualitäts- und IT-Sicherheits-Management aufzudecken und wesentliche Maßnahmen umzusetzen. Mit der EU-DSGVO wird somit ein kontinuierlicher Datenschutz-Management-Prozess eingeleitet. Vor allem mit Blick auf eine langfristige Optimierung von Prozessen, die Etablierung von IT-Sicherheit für den Datenschutz und die Einrichtung einer Kontinuität in diesem Bereich wird es sich auszahlen, die vielen Herausforderungen zu bewältigen.
Nachhaltig profitieren werden Unternehmen, die sich den Herausforderungen stellen, vor allem von der Implementierung eines Datenschutz-Management-Systems. Erforderlich wird dieses durch die Nachweis- und Rechenschaftspflicht, nach der Unternehmen nachweisen müssen, dass sie datenschutzrechtliche Vorgaben einhalten. Unabhängig davon, dass es sich hier um eine Bedingung der Verordnung handelt, stellt ein gut aufgestelltes Management-System einen hohen Nutzen für das Unternehmen dar.
Der Datenschutzbeauftragte erhält schnell eine Übersicht über die Behandlung personenbezogener Daten und kann darauf seine datenschutzrechtliche Prüfung aufbauen. Zudem ermöglicht dies ohne Vorlaufzeit eine Tool-gestützte Vorlage des Verfahrensverzeichnisses zur Prüfung durch die zuständige Datenschutz-Aufsichtsbehörde. Darüber hinaus gewährleistet ein solches Verzeichnis Transparenz und Qualität auch gegenüber Dritten.
Maßnahmen für mehr IT-Sicherheit
Neben dem Datenschutz spielt die Informationssicherheit eine entscheidende Rolle für die Erfüllung der EU-DSGVO. Für Unternehmen bietet das die Chance, sich dem Thema umfassend zu widmen und sich damit nachhaltig gegen Cyber-Angriffe zu schützen. Neben der Einführung eines ISMS (Informationssicherheits-Management-System) bietet sich dafür ein IT-Sicherheitskonzept an, das aus drei Phasen besteht: Vorbereitung, Analyse und Umsetzung.
Zum jetzigen Zeitpunkt sollte in einer Vorbereitungsphase bereits in einem Kick-off-Workshop der Status quo bei Datenschutz und Informationssicherheit identifiziert worden sein. Hier könnte man auch Verfahrensbeschreibungen, Verträge, Berichte und vorangegangene Audits schon in Arbeitspakete überführt haben. Diese führen in der Analysephase zur konkreten Aufnahme des Informations- und Datenverbunds. Neben der Risikoanalyse inklusive möglicher Abweichungen (Gap-Analyse) hat man so die Planung der tatsächlichen Umsetzung in Gang gebracht. In der letzten Phase, der Umsetzung, geht es nun um die risikobasierte Realisierung auf Basis des Konzepts. An dessen Ende stehen die detaillierte Inventur der Werte und Klassifizierungen zum Verarbeitungsverzeichnis. Die aufgestellten Risikoanalysen resultieren dabei typischerweise in der Anpassung der Informationssicherheit und des Datenschutzkonzepts.
Nach der Umsetzung ist vor der Meldepflicht
Um dem erhöhten Anspruch der EU-DSGVO an die IT-Sicherheit gerecht zu werden, bedarf es eines breit aufgestellten Lösungsportfolios, dessen Bestandteile auf allen Ebenen zusammenarbeiten und ineinandergreifen. Auf der Grundlage guter Beratung ist die Einrichtung sicherer Netzwerke, Endpunkte, Applikationen und Clouds unumgänglich. Verantwortlich für das Anstoßen und die Umsetzung der oben genannten Maßnahmen ist immer der Datenschutz- und teils auch der IT-Sicherheitsbeauftragte.
Auch nachdem man die nötigen Maßnahmen - hoffentlich vor Ablauf des Fälligkeitsdatums - ergriffen hat, kann das eingeführte Datenschutz-Management-System von Nutzen sein. Dies ist vor allem dann der Fall, wenn es zu einem Datenschutzverstoß kommen sollte. Dieser ist laut EU-DSGVO nämlich ebenso wie IT-Sicherheitsvorfälle, sofern ein Datenschutzrisiko besteht, der zuständigen Aufsichtsbehörde zu melden. Dazu zählen auch Cyber-Angriffe auf die eigene Infrastruktur oder Datenlecks, bei denen personenbezogene Daten involviert sind. Die Meldung an die Aufsichtsbehörde muss innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls erfolgen, die Betroffenen sind von den Unternehmen unverzüglich zu benachrichtigen.
Wie sollten eine Organisation vorgehen, wenn sie mit der Umsetzung der EU-DSGVO erst jetzt beginnen kann? Man sollte?
- relevante Informationsobjekte sowie deren Verantwortliche identifizieren und ein Projektteam für die Umsetzung der EU-DSGVO aufstellen,
- einen Prüfkatalog zur Maßnahmenplanung sowie Prozess-, Asset- und Anwendungslisten erstellen,
- konkrete prozessbezogenen Anwendungsfälle (etwa laufende Projekte) mit Beschreibung der Rollen und Maßnahmen schriftlich festhalten und schließlich
- Funktionsmerkmale der eingesetzten IT, die die Maßnahmen EU-DSGVO-konform abdecken (sollen), erfassen, prüfen und protokollieren.
Daneben ist zu beachten: Schärfere Datenschutz- und Datensicherheitsregelungen auf nationaler Ebene als jene, die die EU-DSGVO vorgibt, bleiben nach wie vor gültig. Somit rundet die DSGVO die vorhandenen europäischen und nationalen Gesetze ab. Dazu gehören auf deutscher Ebene unter anderem das Bundesdatenschutzgesetz (BDSG), das Telekommunikationsgesetz (TGK) und das IT-Sicherheitsgesetz. Die Einhaltung dieser weiterhin gültigen Vorschriften muss man bei der Umsetzung der neuen Vorgaben also stets im Auge behalten.
Fazit
Trotz möglicher Unannehmlichkeiten, vor denen Unternehmen bei der Umsetzung der EU-DSGVO-Vorgaben aktuell größtenteils stehen, bietet die ab dem 25. Mai anzuwendende Verordnung viele Chancen. Ein Unternehmen kann dadurch nicht nur das Vertrauen der Kunden stärken, sondern auch die nötige Transparenz gegenüber Dritten untermauern. Außerdem gewinnen Unternehmen im Prozess der Umsetzung bestenfalls eine Etablierung von datenschutzrechtlichen Standards, die langfristig nachwirken kann. Zugleich kann man so die IT-Sicherheit im Unternehmen auf ein Niveau heben, das die Angriffs-fläche deutlich reduzieren kann.
Lesen Sie mehr zum Thema
