Es ist momentan eines der Top Themen in den Medien: die Europäische Datenschutz-Grundverordnung (kurz: EU-DSGVO). Am 25. Mai 2018 tritt die Verordnung in Kraft. Für Organisationen heißt es jetzt handeln. Denn wer die Maßnahmen nicht erfüllt, dem drohen hohe Bußgelder. Doch wie geht man das Projekt an? Und welche Möglichkeiten habe ich bei der Umsetzung?
Beim Datenschutz geht es grundsätzlich um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Verkehr dieser Daten. Durch die Verordnung werden Grundrechte und Grundfreiheiten natürlicher Personen in Bezug auf personenbezogene Daten geschützt. Aufgrund der Dringlichkeit bei der Umsetzung wurde die Bußgeldhöhe bei Verstößen maßgeblich erhöht. Bei Delikten gegen beispielsweise technisch organisatorische Maßnahmen oder die Auftragsverarbeitung (neu: auch für Dienstleister) drohen nach Art. 83 Abs. 3 der EU-DSGVO Strafen bis 10 Mio. € oder bis 2% des weltweiten Vorjahresumsatzes. Verstöße gegen Regelungen wie beispielsweise die Grundsätze der Datenverarbeitung oder Anordnungen der Aufsichtsbehörde können mit bis zu 20 Mio. € oder bis 4% des weltweiten Vorjahresumsatzes bestraft werden.
Richtige Vorgehensweise ist die halbe Miete
Stellen Sie sich vor, Sie müssen ein Haus bauen. Sie kennen ihr Ziel und wissen, wann das Haus fertiggestellt werden soll. Ansonsten verfügen Sie jedoch über keine weiteren Kenntnisse, was den Hausbau angeht. So oder so ähnlich geht es momentan den meisten Organisationen, wenn es um das Thema Datenschutz geht. Sie wissen, dass sie etwas tun müssen und kennen die konkrete Frist. Doch wie die Umsetzung aussehen soll, ist vielen noch recht unklar. Aus diesem Grund werden zahlreiche Veranstaltungen, Workshops, Seminare und ähnliches besucht, die am Ende des Tages jedoch noch mehr Fragen aufwerfen als zuvor. Wie also beginnen? „Im Grunde ist es ganz einfach“, betont Georg Reimann, Entwicklungsleiter von CONTECHNET. Denn auch beim Datenschutz geht es in erster Linie um die Dokumentation. Konkret um die Dokumentation sämtlicher datenschutzrelevanter Verfahren, offiziell als das Verzeichnis der Verarbeitungstätigkeiten bezeichnet. Um ein ganzheitliches Datenschutzmanagement aufzubauen, sollte der Gesetzestext mit dem Ist-Zustand in der Organisation verglichen werden. „Aus dem Vergleich ergeben sich Risiken, denen TOMs (technische und organisatorische Maßnahmen) zugeordnet werden, um diese Risiken zu reduzieren.“
Ein softwaregestützter Ansatz
Aus Kostengründen mag es für viele Organisationen richtig erscheinen, auf gängige Office-Anwendungen zurückzugreifen. Dieser Weg erweist sich jedoch am Ende als die teuerste Variante. Denn die Informationen müssen nicht nur an mehreren verschiedenen Stellen im Unternehmen gepflegt werden, sie sind in den meisten Fällen schon nach nur kurzer Zeit nicht mehr aktuell. Denken Sie also zurück an das Hausbau Beispiel. Die meisten Menschen suchen sich in diesem Fall einen Experten, der sie bei ihrem Vorhaben unterstützt und ihnen einen Plan zur Umsetzung präsentiert. Bei der Dokumentation des Datenschutzes ist dieser Experte eine Softwarelösung, die die Vorgehensweise selbst darstellt und Sie somit auf einem gradlinigen Weg zum Ziel führt. Dabei sollte eine solche Softwarelösung drei wesentliche Merkmale erfüllen:
1. Leitendes Werkzeug
Die Software liefert eine strukturierte Vorgehensweise und erleichtert dadurch die Umsetzung.
2. Minimaler Beratungsaufwand
Durch eine intuitive Benutzerführung kann die Software ohne viel Berateraufwand von verschiedenen Personen im Unternehmen bedient werden.
3. Einfache Nachweispflicht
Auf Knopfdruck lassen sich Berichte als Auskunft für die Betroffenen oder als Status der Umsetzung für das Managementreporting auswerfen.
Synergieeffekte schaffen
Die EU-DSGVO fordert nicht nur den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen. Um auf Datenschutzvorfälle richtig zu reagieren und die Meldepflicht einzuhalten, ist die Einführung einer Notfallplanung notwendig. „Bei der Notfallplanung, beim Datenschutz, aber auch bei der Informationssicherheit begegnen einem immer wieder die gleichen Daten“, erklärt Georg Reimann von CONTECHNET. „Verfahren bzw. Prozesse, Personaldaten, Assets (Unternehmenswerte) sowie die Verknüpfungen von Daten tauchen in allen drei Bereichen gleichermaßen auf.“ Daraus ergeben sich also große Vorteile. Denn Daten, die z.B. bei der Notfallplanung bereits erhoben worden sind, können im Datenschutz ohne erneutes Einpflegen wiederverwendet und durch weitere Informationen angereichert werden. Daher ist es für die Organisationen ratsam, die Verknüpfung zwischen diesen Ebenen zu schaffen.
Fazit
Durch die europäische Datenschutzgrundverordnung müssen die Organisationen neue Maßnahmen zum Schutz von personenbezogenen Daten treffen. Erhöhte Strafen von bis zu 4% des weltweiten Vorjahresumsatzes untermauern dabei die Wichtigkeit der Umsetzung. Neben einer Risikoanalyse werden technisch organisatorische Maßnahmen verlangt, die die rechtmäßige Verarbeitung und Sicherstellung der personenbezogenen Daten gewährleisten sollen. Diese können durch eine Softwarelösung, wie INPRIVE, dokumentiert werden.
Bild: INPRIVE Screenshot
Da auch nach einem Ausfall der Systeme die Daten schnellstmöglich wiederhergestellt werden müssen, ist die Einführung einer IT-Notfallplanung, wie etwa mit INDART Professional, notwendig. Um die Wirksamkeit der getroffenen Maßnahmen sicherzustellen, sollten Organisationen weiterhin die Einführung eines ISMS anstreben, dazu haben sich die Softwarelösungen INDITOR BSI oder INDITOR ISO bewährt. In allen drei Bereichen bietet eine Softwarelösung entscheidende Vorteile: Durch eine strukturierte Vorgehensweise werden Sie durch den Prozess der Umsetzung geleitet, vielfältige Importmöglichkeiten vorhandener Daten reduzieren den Pflegeaufwand und halten die Informationen bzw. Daten aktuell. Der entscheidende Vorteil: Alle Softwarelösungen fördern Transparenz. Damit können zusätzlich Kosten eingespart und Investitionen zielgerichteter getätigt werden.
Georg Reimann, Entwicklungsleiter bei CONTECHNET