Diskussionsrunde zum Thema Dokumentation im Kontext der EU-DSGVO „Dokumentation eignet sich als Katalysator“
23. Mai 2018Welche Rolle spielt die Dokumentation im Umfeld der DSGVO? Dieser Frage stellten sich Experten aus Sicherheitsunternehmen in einer Diskussionsrunde. Ergebnis: Sie liefert ein Gesamtbild aller Geschäftsprozesse, die datenschutzrechtliche Implikationen haben. Und das ist eine gute Basis für die aufgrund der drohenden Strafen nötige Risikobewertung.
Hohe Relevanz
Die Dokumentation ist bei der Umsetzung der DSGVO ein sehr wichtiges Thema. „Unternehmen müssen nachweisen können, wer wann wie und wo Zugriff auf die Datensätze hatte, und dies sowohl aktuell wie auch für die Vergangenheit“, bringt es Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies, auf den Punkt. „Ich muss zum Beispiel Daten löschen, die bei einem Geschäft von einem Käufer aufgenommen wurden, wenn die Zehnjahresfrist nach dem Abschluss der Steuererklärung vorüber ist. Des Weiteren müssen Unternehmen den Verbraucher schriftlich oder elektronisch darüber informieren können, welche Daten gespeichert wurden und eventuell den gespeicherten Datensatz vollständig zur Verfügung stellen.“
Die Dokumentation sei also auch ein bisschen eine Entlastung für das Unternehmen. Denn eine lückenlose und revisionssichere Dokumentation, sowohl digital als auch haptisch, ermögliche es den Unternehmen, ihrer Beweispflicht nachzukommen, wenn es um die Löschung von Datensätzen oder aber die Übertragung von Dateien zum Verbraucher/Kunden geht.
Darüber hinaus könne eine DSGVO-konforme Dokumentation auch für Auditierungen hilfreich sein. Beispielsweise sei es laut Arendt denkbar, dass ein Unternehmen, das einen Dienstleister beauftragt, diesen auf DSGVO-Konformität auditiert, bevor ein Auftrag vergeben wird.
Gesamtbild der Geschäftsprozesse
„Der Großteil der Arbeit, die in Unternehmen durch die EU-DSGVO anfällt, liegt in der Dokumentation der datenschutzrechtlich relevanten Vorgänge“, erläutert Fabio Marti, Director Business Development bei der Brabbler AG. „Auch wenn sie viel Aufwand bedeutet, hat die Dokumentation einen großen Vorteil: Sie eignet sich hervorragend als Katalysator.“
Sie liefere ein Gesamtbild aller Geschäftsprozesse, die datenschutzrechtliche Implikationen haben. „Das ist eine gute Basis für die aufgrund der drohenden Strafen nötige Risikobewertung“, führt Marti weiter aus. „Mitunter ergibt die Dokumentation auch einige ‚leichte‘ Verbesserungen. Denn häufig werden an bestimmten Stellen Daten einfach nur deshalb erhoben oder verarbeitet, weil eingesetzte IT-Lösungen dies als Grundeinstellung vorsehen – entgegen dem Prinzip ‚Privacy by Default‘ – und nicht, weil dies geschäftlich notwendig ist. Solche Datengräber kommen dann im Zuge der Dokumentation zum Vorschein und können schnell beseitigt werden – was automatisch die Compliance begünstigt.“
Auch für Michael Kretschmer, Vice President EMEA von Clearswift RUAG Cyber Security, steht fest, dass es bei der DSGVO in erster Linie um Nachweise und die Dokumentation von Prozessen geht: „Konkret bedeutet das: Was passiert, wenn es ein Problem gibt, oder eine Bitte, vergessen zu werden? Ein weiterer Punkt ist außerdem, dass das Einverständnis unerlässlich ist, um die Compliance nachzuweisen.“
Was die DSGVO betreffe, sei der Nachweis kontinuierlich zu erbringen, anders als etwa bei einem Finanz-Audit, das einmal im Jahr stattfindet. Daher sollten Unternehmen sicherstellen, dass die Dokumentation erstellt und die Aufzeichnungen auch entsprechend gepflegt werden. „Es ist unglaublich wichtig, sowohl einen gut durchdachten Prozess zu haben, der dem Unternehmen sowie den Vorschriften gerecht wird, wie auch einen realistischen Plan für die Umsetzung“, bringt es Eward Driehuis, Chief Research Officer von SecureLink, auf einen Nenner. Natürlich müsse nach der Implementierung auch eine DSGVO-konforme Dokumentation mit den entsprechenden Richtlinien, Praktiken und Kontrollen vorhanden sein.
Betrifft komplette IT
„Die Dokumentation wird in vielerlei Hinsicht eine wichtige Rolle spielen, aber ich möchte besonders hervorheben, dass es darum geht, die gesamte IT-Strategie frühzeitig zu kodifizieren“, so lautet die Einschätzung von Joe Garber, Global Head of Product Marketing, Information Management & Governance bei Micro Focus. Mit anderen Worten: „Dokumentieren Sie Ihren Prozess zur Festlegung Ihrer IT-Strategie, Ihrer IT-Roadmap und zur Planung, wann und wie Sie wichtige Schritte durchführen. Dies stellt nicht nur sicher, dass Ihr Unternehmen auf das gleiche Ziel ausgerichtet ist und darauf hinarbeitet, sondern kann bei Bedarf auch als Nachweis für die bisher unternommenen Schritte dienen.“
„Im Hinblick auf die Einhaltung der Datenschutzgrundprinzipien und -ziele, etwa zur Sicherstellung der Transparenz, der Informations- und Auskunftspflichten sowie im Zuge der Rechenschaftspflicht spielt die Dokumentation eine wesentliche Rolle“, erläutert Eva-Maria Scheiter, Executive Consultant GRC bei NTT Security. „Neben der Dokumentation im Hinblick auf Vorgaben und Prozesse seien an dieser Stelle auch operative Dokumente – Verarbeitungsübersichten oder Datenfluss-Diagramme – und Nachweise – etwa Dokumentation zur durchgeführten Risikoanalyse – genannt.
„Durch die -DSGVO besteht eine erhöhte Dokumentationspflicht“ – so lautet die Aussage von Marc Schieder, CIO von DRACOON. Als Unternehmen müsse man die Rechtmäßigkeit, Daten verarbeiten zu dürfen und dies konform zu tun, jederzeit nachweisen können. „Fehlt der Nachweis, also eine entsprechende Dokumentation, wie dies erfolgt, kann bereits das zu einem Bußgeld führen – auch wenn die Daten konform verarbeitet werden“, warnt Schieder. „Bei technischen Lösungen, die wie DRACOON GDPR-ready sind, kann dies durch entsprechende Report-Tools oder einen Audit-Log nachgewiesen werden.“
Die Dokumentation gerade von Sicherheitsvorfällen ist für Pascal Cronauer, Regional Director DACH bei LogPoint, das A und O. „Hier bieten SIEM-Lösungen interessante Möglichkeiten, mit der Analyse der Log-Daten Netzwerkvorgänge revisionssicher nachzuweisen.“
Rainer Huttenloher
Teilnehmer an dem "virtuellen Roundtable" zum Thema DSGVO waren:
Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH
Pascal Cronauer, Regional Director DACH bei LogPoint
Eward Driehuis, Chief Research Officer von SecureLink
Joe Garber, Global Head of Product Marketing, Information Management & Governance bei Micro Focus
Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security
Fabio Marti, Director Business Development bei der Brabbler AG
Eva-Maria Scheiter, Executive Consultant GRC, NTT Security
Marc Schieder, CIO von DRACOON