Erfolgreiche Umsetzung der DSGVO erfordert die Sichtbarkeit der Daten IT und Geschäftsleitung sind gefordert
21. März 2018Bedenklich bei der Einführung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) ist, dass die Verordnung bereits vor zwei Jahren in Kraft getreten ist und ab dem 25. Mai 2018 für alle Unternehmen und öffentliche Stellen, die Daten von EU-Bürgern speichern oder bearbeiten, gelten wird. Die betroffenen Daten entsprechen nahezu allen personenbezogenen Daten, einschließlich grundlegender Daten zur Identität einer Person, ihren Finanz- und Internetdaten. Sensible Daten wie biometrische Daten, ethnische Herkunft, Gesundheitsdaten und andere, bedürfen sogar der expliziten Zustimmung der Betroffenen, ehe sie verarbeitet werden dürfen.
Fokus auf der Geschäftsleitung
Als eine EU-Verordnung wird die EU-DSGVO ein primäres Anliegen der Geschäftsführungen und unternehmensinternen Entscheidern sein. Nur, wenn sie eng mit den Schlüsselpositionen in der IT und der IT-Sicherheit zusammenarbeiten und mit ihnen austauschen, werden sie die Einhaltung aller DSGVO-Anforderungen gewährleisten und dies auch nachzuweisen können. Um sich so schnell wie möglich vorzubereiten, lohnt sich ein Blick auf die Anforderungen, die wahrscheinlich mit den größten Auswirkungen auf Sicherheit und den Geschäftsbetrieb einhergehen werden.
Der angemessene Nachweis zur Einhaltung der Vorgaben durch die EU-DSGVO wird zur Herausforderung werden: Zunächst müssen die Unternehmen sicherstellen, dass die personenbezogenen Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und auf eine für die betroffene Person nachvollziehbare Weise verarbeitet werden. Als rechtmäßige Verarbeitung gilt zum Beispiel, wenn der Betroffene ausdrücklich eingewilligt hat oder die Verarbeitung für ihn lebenswichtig ist. Wenn eine Einwilligung zurückgezogen wird, dann müssen die Daten so schnell wie möglich gelöscht werden. Das klingt einfach und eine der schwierigsten Herausforderungen wird es wohl werden, nachzuweisen, dass diese Punkte tatsächlich eingehalten werden.
Beispielsweise bekommt jede Person durch die DSGVO umfangreiche Rechte, um ihre Privatsphäre und Datenhoheit zu stärken. Darunter fällt ein Auskunftsrecht, nach dem Unternehmen auf Nachfrage einer Person erklären müssen, ob und zu welchem Zweck ihre personenbezogenen Daten verarbeitet werden. Werden die Daten gelöscht, muss der Betroffene darüber informiert werden, was beispielsweise durch das Recht auf Vergessen eintreten kann. Demnach können Privatpersonen einfordern, dass die weitere Verbreitung ihrer personenbezogenen Daten gestoppt und die Daten gelöscht werden, wenn sie nicht mehr relevant sind oder unrechtmäßig verarbeitet wurden.
Um diese Vorschriften umzusetzen und das nachzuweisen, müssen die verantwortlichen Mitarbeiter ihre Aktivitäten umfassend aufzeichnen. Darunter fällt der Zweck eines Datenzugriffs und der Verarbeitung, welche Personen und Daten betroffen sind, sowie die Aufzeichnung der Datenübertragung und Einwilligung der betroffenen Privatperson. Jegliche Sicherheitsverletzungen müssen innerhalb von 72 Stunden gemeldet werden und Verzögerungen kritisch begründet werden, allerdings muss das Unternehmen auch dafür in der Lage sein, grundlegende Einblicke in seine Datenbestände nachweisen zu können.
Sichtbarkeitsplattformen helfen
Die Umsetzung dieser Punkte sollte sorgfältig erfolgen, weil in der Datenschutzgrundverordnung die bisherigen Strafen im Fall von Datenschutzverstößen massiv erhöht wurden: Unternehmen müssen hier mit zwei bis vier Prozent des weltweiten Jahresumsatzes oder zehn bis zwanzig Millionen Euro rechnen. Was können Unternehmen also tun, um ihren Pflichten nachzukommen und einen transparenten Umgang mit den personenbezogenen Daten zu pflegen?
Der erste Schritt ist, die Daten zu kennen, die das eigene Unternehmen speichert: Dazu sollte dokumentiert werden, welche personenbezogenen Daten erfasst werden, wo sie gespeichert sind, woher sie kommen, mit wem sie geteilt werden und nicht zuletzt, zu welchem Zweck sie verarbeitet werden. In der Dokumentation sollten ebenfalls Nachweise abgelegt haben, dass die notwendigen Einwilligungen in die Datenverarbeitung gegeben wurden. Dieser Vorgang ist umfangreich, allerdings notwendig, um mit den Anforderungen der DSGVO mithalten zu können. Ohne diesen initialen Aufwand wird eine weitere Kontrolle der Datenverarbeitung nicht möglich sein.
Der Schutz der Daten ist ein fortwährender Prozess, deshalb lohnt es sich im zweiten Schritt je nach Gegebenheiten, einen Datenschutzbeauftragten einzustellen, oder einen externen Berater zu engagieren. Für bestimmte Stellen, wie Behörden, ist diese Position sogar verpflichtend. Dieser muss die Verantwortung für die Compliance übernehmen sowie über das Wissen und die Befugnis verfügen, um die Aufgaben umzusetzen, die in der DSGVO festgelegt sind.
Bei dieser Aufgabe benötigt sollte ihm im Idealfall eine passende Plattform zur Verfügung gestellt werden, die es ihm ermöglicht, den Datenfluss im eigenen Unternehmen im Blick zu behalten und auf Wunsch zielgerichtet zu dokumentieren. Die richtigen Tools können hier lückenlos nachweisen, welche Daten wie und durch wen verändert wurden und somit die Einhaltung der DSGVO nachweisen und dem Datenschutzbeauftragten bei Verstößen die notwendigen Daten an die Hand geben, den Fehlern und Ursachen nachzugehen.
Gerald Lung
ist Country Manager DACH bei Netwrix Corporation
Hier geht es zu Netwrix