Startseite > Netzwerke & IT-Infrastruktur > Fallstricke bei der DSGVO-Umsetzung

NTT über Gewährleistung des Datenschutzes

Fallstricke bei der DSGVO-Umsetzung

20. April 2021, 8:30 Uhr |

Die DSGVO stellt die IT-Verantwortlichen vor die große Herausforderung, einen regelkonformen Umgang mit personenbezogenen Daten sicherzustellen. Auf dem Weg zur Datenschutz-Compliance lauern – ob nun aus Unwissenheit, aus Unklarheit oder aus einer unternehmerischen Laissez-faire-Haltung heraus – zahlreiche Stolpersteine. Der Technikdienstleister NTT nennt nachfolgend die fünf größten Fallstricke bei der Umsetzung der DSGVO.

Am 25. Mai 2018 trat die EU-Datenschutzgrundverordnung in Kraft. Deren Ziel ist, die Daten jedes einzelnen EU-Bürgers nach einer strengen, einheitlichen Gesetzgebung zu schützen und ihm die Hoheit darüber zu geben, ob und wie seine Daten in Verwendung sind. Die Nichteinhaltung der strengen DSGVO-Regeln hat für Unternehmen weitreichende Konsequenzen. Trotzdem haben viele Unternehmen auch nach knapp drei Jahren noch nicht ausreichend adäquate Maßnahmen getroffen, um Daten entsprechend der Vorgaben zu verarbeiten, zu speichern und zu löschen.

Bei der Umsetzung der DSGVO lauern aus Sicht von NTT fünf große Fallstricke:

Interne Interessenskonflikte und mangelndes Verständnis: Der betriebliche Datenschutzbeauftragte kümmert sich um den Schutz personenbezogener Daten im Unternehmen. In kleinen und mittelständischen Betrieben ist es häufig so, dass er seinen bisherigen Aufgaben weiterhin nachgeht. Hieraus kann sich ein Interessenkonflikt mit der bestehenden Tätigkeit ergeben. Gerade die Ernennung des IT-Leiters zum Datenschutzbeauftragten lässt aus Sicht der zuständigen Landesämter für Datenschutzaufsicht Zweifel an der Neutralität aufkommen. Immerhin ist es die zentrale Aufgabe des Datenschutzbeauftragten, die Einhaltung der DSGVO-Bestimmungen zu überwachen, und das beinhaltet explizit die „Sicherheit der Verarbeitung“ durch geeignete technische und organisatorische Maßnahmen seitens der IT-Abteilung. In der Konsequenz müsste er sich also selbst überwachen. Ein anderer Stolperstein sind fehlende Kenntnisse in puncto Daten-Compliance. Das umfasst die unterschiedlichen Datenklassen, die Einführung einer praktikablen Datenklassifizierung und die Festlegung der Rechtsgrundlage für die Datenverarbeitung, eine saubere Trennung zwischen Geschäftsdaten und personenbezogen Daten sowie die Privacy-Shield-Problematik bei der Cloud-Nutzung.
Probleme bei der technischen und organisatorischen Umsetzung: Zu den zentralen Elementen der DSGVO gehören die Betroffenenrechte, darunter das Auskunftsrecht. Jede Person darf umfassend Auskunft über sie betreffende personenbezogene Daten sowie weitere Informationen verlangen. Dies schließt unter anderem die Verarbeitungszwecke, die Empfänger der Daten und die geplante Dauer der Speicherung ein. Die Auskunft muss in verständlicher Form, präzise und transparent erfolgen sowie ein gängiges Datenformat haben. Voraussetzung für eine schnelle Antwort auf eine Betroffenenanfrage ist die Erstellung eines gut strukturierten Datenschutzkonzeptes, die Implementierung eines Prozesses, der eine fristgerechte und korrekte Bearbeitung der Anträge gewährleistet, und Tools, die die Auskunft nahezu auf Knopfdruck erteilen.
Korrekte Erstellung und Abnahme von Verträgen: Die Verarbeitung von Daten im Auftrag kommt in nahezu jedem Unternehmen vor. Angefangen von der Nutzung eines externen Rechenzentrums über As-a-Service-Modelle bis hin zu Cloud-Computing. In allen Fällen liegt in der Regel eine sogenannte Auftragsverarbeitung (AV) vor, für die Unternehmen im Rahmen der DSGVO besondere Maßnahmen treffen müssen. Pflicht ist ein entsprechender AV-Vertrag, dessen Inhalt überwiegend vorgegeben ist. Fehlt er, sieht die DSGVO bei Verletzungen der Datenschutzbestimmungen eine gemeinsame Haftung von Auftraggeber und Auftragnehmer vor.
Design und Implementierung von TOMs: Technische und organisatorische Maßnahmen (TOM) umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten. Neben dem Datenschutz, der die rechtlichen Voraussetzungen für die Erhebung und Verarbeitung personenbezogener Daten regelt, kommt hier das Thema Datensicherheit ins Spiel. Darunter fallen technische Vorkehrungen wie die Verwendung einer Firewall, die Protokollierung des Zugriffs auf Datenbanken oder die Verschlüsselung bei der Datenübertragung, aber auch organisatorische Maßnahmen wie Mitarbeiterschulungen und die Vereinbarung zur Geheimhaltungspflicht. Die Implementierung angemessener TOMs stellt eine gesetzliche Anforderung dar und ist dokumentationspflichtig. Bei der Auswahl angemessener Schutzmaßnahmen bildet eine Risikoanalyse die Grundlage. Eine große Rolle spielen „Privacy by Design“ und „Privacy by Default“. Die DSGVO verlangt, dass das Thema Datenschutz bereits bei der technischen Umsetzung Beachtung findet und dass datenschutzfreundliche Voreinstellungen implementiert sind.
Rechtliche Unklarheiten und fehlende Unterstützung: Erschwerend kommen für Unternehmen rechtliche Unklarheiten durch Änderungen seitens der Gesetzgebung und eine mangelnde Umsetzungshilfe durch die Aufsichtsbehörden hinzu. Ebenso gilt es für Unternehmen, die Meldepflicht bei Verstößen einzuhalten. Sicherheitsverstöße, etwa wenn Beschäftigte versehentlich Daten veröffentlichen, ein Notebook abhandenkommt oder Hacker das Unternehmen angreifen, sind nicht gerade selten. Bei der Entscheidung, in welchen Fällen eine Meldepflicht begründet ist, sollten sich Firmen professionell beraten lassen.