Interview zur DSGVO: Gerald Pernack, RSA Security „Zeit nehmen, auch wenn die Zeit drängt“
5. März 2018Wer die Vorgaben durch die Europäische Datenschutzgrundverordnung (EU-DSGVO) noch nicht umgesetzt hat, der steht unter zeitlichen Druck. Doch das soll nicht dazu führen, dieses Projekt allzu sorglos und nur unter Timing-Gesichtspunkten zu absolvieren. Diesen Rat gibt Gerald Pernack, Archer eGRC Solutions Consultant bei RSA Security, betroffenen Unternehmen.
100 Prozent nicht machbar
Die EU-DSGVO (Europäische Datenschutzgrundverordnung) sieht eine Verstärkung und Vereinheitlichung der Gesetzesbestimmungen und Regeln zur Verwaltung und Speicherung personenbezogener Daten der EU-Bürger innerhalb der europäischen Union vor. Auch wenn der in den USA vor den US Supreme Court anhängige „Microsoft-Fall“ noch ansteht, müssen sich Unternehmen hierzulande auf die EU-DSGVO vorbereiten. Vor dem obersten Gerichtshof der Vereinigten Staaten geht es um nichts Geringeres, als dass US-Unternehmen künftig jegliche geforderte Daten, auch aus europäischen Standorten, ausliefern, ohne den dafür notwendigen europäischen Rechtsweg einzuhalten.
Mit dem Startpunkt 25. Mai 2018 stehen die Unternehmen in der EU vor der Aufgabe, die Vorgaben umzusetzen. Für Gerald Pernack, Archer eGRC Solutions Consultant bei RSA Security, ist das ein dringendes Problem, das Unternehmen allerdings nicht kopflos angehen sollten, auch wenn die Umsetzungszeit drängt: „Unternehmen müssen verstehen bei es bei der Umsetzung der DSGVO keine 100 prozentige Compliance gibt“, so Pernack. „Es geht immer darum, einen möglichst hohen Grad umzusetzen und das auch sauber zu dokumentieren.“
Daher müssten Unternehmen in erster Linie gut vorbereitet sein und dazu einen möglichst umfassenden Überblick in Bezug auf die eigene Organisation haben. „Wenn es im Unternehmen eine interne Rechtsabteilung gibt, sollte man sich die Vorgehensweise absprechen, und die notwendigen Analysen über das Unternehmen in Bezug auf die Verwendung von personenbezogenen Daten erstellen. Diese Analyse sollte dann darauf hinweisen, in welchen Teilbereichen eines Unternehmens Handlungsbedarf besteht“, so Pernack weiter.
Eine wichtige Frage in diesem Kontext ist die Risikobewertung: Unternehmen sollten genau wissen, wo die Risiken liegen. Dazu räumt Pernack ein, dass eine Risikobewertung nur dann möglich sei, wenn man genau weiß, was man zu bewerten habe. „Es gilt zu bestimmen, welche Informationen vorliegen, wo sie residieren, und dann sind sie auch noch zu kategorisieren: Denn nicht alle Informationen sind von der DSGVO betroffen. Es geht generell nicht nur um externe personenbezogene Daten – wie die von Geschäftspartnern. Betroffen sind auch die personenbezogenen Daten der Mitarbeiter“, berichtet Pernack. „Liegt diese Analyse vor, empfiehlt es sich, externe Hilfe mit ins Boot – etwa in Form eines Beraters – zu holen. Denn damit kommt ein unvoreingenommener Blick auf die bestehende Organisation mit dazu.“
Mitspieler im DSGVO-Projekt
Bei einem DSGVO-Projekt handelt es sich um keine reine IT-Aufgabe. „Process, People, Technology – diese drei Aspekte gehören integriert“, gibt Pernack zu Protokoll. „Für alle Protagonisten ist ein klares Verständnis der Prozesse im Unternehmen wichtig. Notfalls müssen die Mitarbeiter dazu auch besonders geschult werden. Die Rolle der Technologie ist nicht die eines Treibers, sie übernimmt eine begleitende Rolle im Projekt.“ Nach der Einschätzung von Pernack werden nach der Risikobewertung geeignete Maßnahmen festgelegt, um die betroffenen Informationen abzusichern. Dann erst kommt Software ins Spiel, die dabei unterstützt – dazu gehört nach seiner Meinung auch das Dokumentieren der Vorgänge und eventueller Vorfälle: „Denn falls es zu einem Datenverlust kommt, muss ein Unternehmen nach dem Erkennen des Vorfalls dies auch binnen 72 Stunden melden können.“
In einem typischen Unternehmen haben unterschiedliche Abteilungen eigene Vorstellungen, wie mit personenbezogenen Daten umzugehen ist. Ein typisches Beispiel: Die Entwicklungsabteilung nimmt nicht verschlüsselte, reale Daten für die Entwicklung einer neuen Anwendung und diese Daten liegen dann – womöglich ungeschützt – in dieser Abteilung vor. Hier sieht Pernack einen wichtigen Aspekt: „Ein Unternehmen muss sich bewusst sein, was es mit den Daten macht. Denn die personenbezogenen Daten gehören nach bestehender Rechtslage ja nicht dem Unternehmen, sondern der jeweiligen Person. Daher sollte man alle Abteilungen eines Unternehmens mit den Vorgaben der DSGVO konfrontieren. Sie alle müssen wissen, welche Auswirkungen die DSGVO auf die bisherige Arbeitsweise im Unternehmen hat.“
Nach seiner Erfahrung sind dann eventuell andere Vorgehensweisen nötig – es dürfen dann eben nur mehr anonymisierte Daten in der Entwicklungsabteilung zum Einsatz kommen. „Das ist dann die Aufgabe der Technologie“, bringt es Pernack auf den Punkt. „Es gibt Tools, die den Anonymisierungsvorgang der personenbezogenen Daten ausführen. Und erst nach diesem Zusatzschritt dürfen die Daten dann in der Softwareentwicklung zum Einsatz kommen.“
Im Umfeld der DSGVO spielt die Dokumentation eine große Rolle – wenn ein Unternehmen nachweisen kann, wie es die betreffenden Aktionen ausführt, ist schon eine der wesentlichen Hürden genommen, doch laut Pernack darf man eines nicht vergessen: „Das Thema Dokumentation wird in der Regel eher stiefmütterlich behandelt. Der komplette Input aus dem DSGVO-Projekt, wie zum Beispiel das Verfahrensverzeichnis, welche Risiken auftreten und welche Maßnahmen getroffen werden, all das ist zu dokumentieren. Hier kann eine Software helfen, die das gesamte Projekt begleitet.“ „Wenn es dann zu einem Audit kommt“, so Pernack weiter „liegen alle bislang gemachten Aktionen und Ergebnisse vor, und das lässt sich dann auch gut vorzeigen“. Generell sei es wichtig, dass diese Maßnahmen regelmäßig geprüft werden. Dazu müssen bei einem Audit diese Testergebnisse ebenfalls vorgelegt werden können.“
Wenn es zu einem Datenverlust kommt, muss der Verantwortliche auch sagen können, welche Daten abgeflossen sind, und wer darauf Zugriff hatte. „Hier sind ebenfalls Tools nötig, die diese Zugriffe dokumentieren können“, fasst Pernack die Situation zusammen. Doch er gibt auch zu bedenken, dass unterschiedliche Unternehmen auch verschiedene Ausgangssituationen aufweisen.
Oftmals haben Unternehmen bereits Tools im Einsatz, die die Umsetzung der DSGVO unterstützen. Dazu gehören Lösungen, die eine hohe Datentransparenz auf dem Endgerät bieten. Hier braucht es nach seiner Einschätzung eine Lösung, die verdeutlicht, welche Daten abfließen und wie man das unterbinden kann.
Doch wenn es um die Kernsysteme eines Unternehmens geht, in denen die Geschäftsprozesse abgebildet sind, sei eine saubere Arbeitsweise unumgänglich – etwa beim Beispiel ERP-Systeme (Enterprise Resource Planning). Hier müssen einige Abläufe komplett anders abgebildet werden. Da reichen externe Tools nicht aus. Für Pernack bedeutet das auch, dass die bisherigen Prozesse oftmals nicht DSGVO-konform sind. Wenn ein Unternehmen das selbst erkennt, kann es organisatorische Maßnahmen treffen, um den Anforderungen zu genügen. Konkret bei einem ERP-System bedeutet das, sich mit seinem ERP-Hersteller abzusprechen und eventuell ein Update einzuspielen oder gar auf eine neue Version umzusteigen.
Die Stammdaten in einem ERP-System sind beispielsweise besonders zu schützen. Hier sind auch personenbezogene Daten abgelegt und die DSGVO verlangt es ja auch, dass man ein Löschen der Daten nachweisen kann. Doch diese Funktionalität muss die ERP-Software erst einmal bieten. Viele Systemlandschaften können das nicht. Zum Zeitpunkt der Programmierung waren Prinzipien wie „Privacy by Design“ oder das „Recht auf Vergessenwerden“ nicht spruchreif. Somit bleibt im schlimmsten Fall nur der Umstieg auf eine andere ERP-Software.
Doch es ist davon auszugehen, dass der Austausch der Kernsysteme über eine längere Zeitdauer läuft. So bliebe die Argumentation, dass erst nach der Umstellung auf die passende das betreffende Unternehmen die Anforderungen durch die DSGVO erfüllen kann. Doch dieses Vorgehen muss man sauber dokumentieren. Eventuell sind für die Zwischenzeit zusätzliche Absicherungen um die alten Kernsysteme aufzubauen, um übergangsweise möglichst viele der Anforderungen durch die DSGVO abzudecken.