Diskussionsrunde zum Zeitfaktor für die Umsetzung der DSGVO „Checkliste liefert die richtigen Tipps“
23. Mai 2018Viele Firmen sind in Bezug auf die DSGVO spät dran und können den Startschuss nicht einhalten. Daher stellt sich die Frage, welche Aktionen ein Unternehmen zuerst umsetzen sollte. DSGVO-Experten geben dazu die passenden Ratschläge, und empfehlen, nicht in blinden Aktionismus zu verfallen.
Keine Panik
„Personenbezogene Daten werden in Unternehmen bislang leider sehr ‚unstrukturiert‘ verwaltet. Oft liegen sie relativ chaotisch verteilt an vielen Speicherorten“, plaudert Marc Schieder, CIO von DRACOON, aus dem Nähkästchen. Daher empfiehlt der Experte: „Bringen Sie Ihre Daten in eine verbindliche Datenbasis. Erstellen Sie ein Datenregister, in dem alle Bestände und ggf. auch die Speicherorte erfasst werden. Prüfen Sie in diesem Zusammenhang auch die Zugriffsrechte, die bereits auf sensiblen Daten existieren. Stellen Sie sicher, dass nur Personen oder Abteilungen, die zwingend einen Zugriff benötigen, diesen auch besitzen.“ Relevant sei außerdem die Speicherdauer. Unternehmen sollten dafür sorgen, dass Daten nur so lange gespeichert werden, wie sie es müssen und anschließend eine Löschung – an allen Stellen – erfolgt.
Für Eva-Maria Scheiter, Executive Consultant GRC bei NTT Security, ist es sehr wichtig, dass Unternehmen nicht in Panik verfallen, sondern die Anforderungen seitens der DSGVO strukturiert und priorisiert angehen – möglichst auf Basis eines risikoorientierten Vorgehens. Sie hält dazu die folgenden Schritte für wichtig:
• Ermittlung des Handlungsbedarfs: Unternehmen sollten zuerst die Anforderungen analysieren, bewerten, den erforderlichen Handlungsbedarf ableiten und eine Roadmap zur Umsetzung der erforderlichen Aktivitäten erstellen.
• Sicherstellung der Management-Unterstützung: Das Management, das bereits bezüglich der bestehenden Vorgaben gebrieft wurde, sollte das Projekt unterstützen und die erforderlichen Ressourcen und Mittel zur Verfügung stellen.
• Start der Umsetzung der erforderlichen Maßnahmen: Zunächst wird die Datenverarbeitung im Hinblick auf deren Rechtsgrundlage geprüft; auch steht die Erstellung oder Aktualisierung des Verarbeitungsverzeichnisses an; ein weiterer Schritt ist die Etablierung der Prozesse zur Sicherstellung der Betroffenenrechte; dazu gehören etwa Informationspflichten und Rechte auf Auskunft. Es muss zudem eine Risikobewertung für die Datenverarbeitungen stattfinden.
• Nutzung von Synergien: ein Unternehmen sollte sich mit den Verantwortlichen für Informationssicherheit und Risikomanagement austauschen. Möglicherweise kann es hier auf bereits bestehende Vorgaben, Prozesse und Maßnahmen aufsetzen.
Gap-Analyse
„Ein logischer erster Schritt zur Vorbereitung auf die DSGVO, unabhängig vom Zeitpunkt, besteht darin, Ihren Gesamtbedarf zu ermitteln und eine Gap-Analyse zu entwickeln – wobei Investitionen nach Risiko und Bedarf priorisiert werden“, empfiehlt Joe Garber. Der Global Head of Product Marketing, Information Management & Governance bei Micro Focus, verweist darauf, dass einige Technologieanbieter Verfahren entwickelt haben, um diesen Schritt zu unterstützen. „Als nächstes sollten man sich Zugang zu all seinen Informationen verschaffen, sie verstehen und anschließend herausfiltern, welcher Teil davon persönliche Informationen sind, die der DSGVO unterliegen werden.“ Dateianalyse-Technologien könnten bei der Erstellung von Datenkarten und der Klassifizierung unterstützen. Diese Aktion sei notwendig für Folgeschritte wie Verschlüsselung, Redigieren und Vernichtung der Daten in Übereinstimmung mit den neuen Richtlinien.
„Lesen Sie die Verordnung genau“ – das rät Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security, den betroffenen Unternehmen. „Finden Sie heraus, wo Sie stehen und was Sie benötigen, um Compliance zu erreichen. Priorisieren Sie die am meisten undurchsichtig erscheinenden Bereiche und gehen Sie diese zuerst an. Die komplexeste Neuerung ist wahrscheinlich das Recht auf Vergessenwerden. Durchlaufen Sie also einen ‚Entdeckungsprozess‘: Was es braucht, um Informationen im gesamten Unternehmen zu finden, auch in E-Mails, auf Laptops, auf Servern und in der Cloud.“
Dieser Entdeckungsprozess werde den Ball ins Rollen bringen, um die Größe des Problems zu verstehen. Dazu darf man auch die Datenströme innerhalb und außerhalb des Unternehmens nicht außer Acht lassen. „Zudem sollte man diese auf Daten hin untersuchen, die in der Zukunft einen Verstoß darstellen könnten“, erklärt Kretschmer und verweist auf Lösungen, die bestehende E-Mail- und Web-Sicherheitslösungen um A-DLP-Funktionen erweitern können. „Darüber hinaus sollten Unternehmen sich mit dem Thema Einverständnis beschäftigen: Können Sie ihre Produkte und Dienstleitungen weiterhin an Kunden und Interessenten vermarkten? Falls die Antwort hierzu ‚nein‘ lautet, sollten sich Unternehmen so schnell wie möglich deren Einverständnis einholen.“
Für Fabio Marti, Director Business Development bei der Brabbler AG, ist es das Allerwichtigste st, sich erst einmal ein komplettes Bild darüber zu verschaffen, welche datenschutzrelevanten Vorgänge es überhaupt im eigenen Unternehmen gibt: „Mit Blick auf mögliche erste Abmahnwellen kann es dann Sinn machen, zuallererst die offensichtlichsten DSGVO-Verstöße zu beseitigen. Dazu gehört beispielsweise die Erweiterung der öffentlichen Datenschutzhinweise oder eine Abänderung von womöglich vorhandenen Registrierungsprozessen, zum Beispiel für Newsletter, auf ‚Privacy by Default‘. Grundsätzlich sollte man die ersten Maßnahmen aber gemeinsam mit Experten definieren, die auch abschätzen können, wie groß das Risiko bestimmter Aspekte ist.“ Man dürfe allerdings nicht vergessen, dass noch gar nicht klar ist, wie die Gerichte die Verordnung am Ende auslegen. „Da hilft es, auf Erfahrungen in der Umsetzung bisheriger Datenschutzgesetze zurückgreifen zu können.“
„Wenn wir es genau nehmen, dann sind Unternehmen eigentlich nie zu spät dran – es geht eher darum, dass eine bestimmte Frist abläuft“, relativiert Dirk Arendt das Problem. Der IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies empfiehlt Unternehmen sich vorzubereiten, aber dabei nicht in Aktionismus zu verfallen, sondern die eigenen Prozesse so aufzubauen, dass dokumentiert ist, wie mit den Daten umgegangen wird, also wie diese verarbeitet und gespeichert werden. „Zudem ist es unerlässlich, dass die Prozesse und Maßnahmen, die für das Löschen und die Bereitstellung der gespeicherten Datensätze mit personenbezogenen Daten benötigt werden, DSGVO-konform aufgesetzt sind“, stellt Arendt heraus. „Nur dann können Unternehmen ihrer Ausweispflicht nachkommen oder aber Löschanfragen auf das Recht zum Vergessenwerden reibungslos verarbeiten.“
Checkliste
„Wir haben uns als Hersteller intensiv mit der DSGVO-Thematik beschäftigt und eine Checkliste für Unternehmen zusammengestellt, die bei den ersten Schritten hilfreich sein kann“, erläutert Pascal Cronauer, Regional Director DACH bei LogPoint. Dabei geht es um die folgenden Punkte:
- Welche Kategorien von personenbezogenen Daten will Ihr Unternehmen verarbeiten?
- Ist Ihr Unternehmen verantwortlich für diese Daten oder als Verarbeiter tätig?
- Verfügt Ihr Unternehmen über die nötigen Rechtsgrundlagen, um personenbezogene Daten zu verarbeiten?
- Hat die Verarbeitung einen legitimen Grund?
- Kann Ihr Unternehmen die Informationen auf eine weniger aufdringliche Art behandeln und immer noch das gleiche Ziel erreichen?
- Respektiert Ihr Unternehmen die Rechte betroffener Personen, wenn personenbezogene Daten verarbeitet werden?
- Kann Ihr Unternehmen belegen und mit der nötigen Dokumentation nachweisen, dass es die personenbezogenen Daten im Sinne des Gesetztes verarbeitet hat?
Rainer Huttenloher
Teilnehmer an dem "virtuellen Roundtable" zum Thema DSGVO waren:
Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH
Pascal Cronauer, Regional Director DACH bei LogPoint
Eward Driehuis, Chief Research Officer von SecureLink
Joe Garber, Global Head of Product Marketing, Information Management & Governance bei Micro Focus
Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security
Fabio Marti, Director Business Development bei der Brabbler AG
Eva-Maria Scheiter, Executive Consultant GRC, NTT Security
Marc Schieder, CIO von DRACOON