EU-Datenschutz-Grundverordnung: Schritte zur Compliance
In vielen Unternehmen stehen IT-Abteilungen derzeit unter Hochdruck: sie sind mit der fristgerechten Umsetzung der EU-Datenschutz-Grundverordnung beschäftigt. Beim Aufbauen der Compliance hilft eine schrittweise Vorgehensweise. Auf Sicherheitsvorfälle reagieren hierzulande Nutzerinnen und Nutzer sehr sensibel. Deshalb müssen sich gerade IT-Abteilungen sehr intensiv mit der Umsetzung der EU-Datenschutz-Grundverordnung auseinandersetzen. Die folgenden Punkte können hierbei weiterhelfen.
Verständnis für rechtliche Rahmenbedingungen
Um Compliance zu erlangen, ist es unabdingbar, die Rechtslage richtig einschätzen zu können. Ein erster Schritt zur Compliance könnte ein Audit sein, das auf den rechtlichen Rahmenbedingungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) basiert. Unabhängig von der Unternehmensgröße kann es empfehlenswert sein, einen DPO (Data Protection Officer) zu beschäftigen. Er kümmert sich um die Kommunikation sowie um die Anwendung der rechtlichen Regulierungen.
Es lohnt sich, für diese Position jemanden zu finden, der einen technologischen, aber auch juristischen Background besitzt. Je nach Organisation variieren die weiteren Schritte, die noch notwendig sind. Das bedeutet für Euch: Eure Führungskräfte sind nun besonders gefordert. Sie kennen die interne Situation für gewöhnlich besser als jeder andere.
Daten-Klassifizierung
Weiter obliegt es IT-Verantwortlichen, festzustellen, welche Daten wie genau geschützt werden sollten. Um dies zu schaffen, müssen sämtliche personenbezogenen Daten als solche erkannt und entsprechend gesichert werden. Die zu prüfenden Aspekte reichen sehr weit: Wo ist welche Information gespeichert? Wer kann auf diese Information warum zugreifen? Wurde der Zugang geteilt? Mit wem? Warum?
Mit dieser Klassifizierung schafft Ihr euch eine Basis, um Daten effizienter sichern zu können und klare Zuständigkeiten zu bestimmen. Aus all diesen Informationen ergibt sich das sogenannte Verfahrensverzeichnis. Details dazu könnt Ihr unserem Blogbeitrag „Das Verfahrensverzeichnis – Vorbereitungen zur DSGVO“ entnehmen.
Sicherheitsmechanismen und Ansätze überdenken
Nachdem alle Daten klassifiziert wurden, muss der Zustand bewertet werden. Wie schützt und verarbeitet Ihr Informationen? Priorität muss immer der Schutz der Privatsphäre des Einzelnen haben – das gilt für jeden Datensatz, für jede Applikation. Bedenkt das Prinzip der Datensparsamkeit: Ihr müsst als Unternehmen immer rechtfertigen können, warum Ihr welche Daten wofür speichert.
Teil der EU-Datenschutz-Grundverordnung sind das Recht auf Datenportabilität sowie das Einschränken beim Weiterverarbeiten. Hinzu kommt das Recht auf Vergessenwerden. Mehr über die sogenannten Betroffenenrechte erfahrt Ihr in unserem Beitrag „Betroffenenrechte & Datenschutzerklärung nach DSGVO“. Es gilt, Mittel und Wege zu finden, diesen Betroffenenrechten effizient nachzukommen.
Deshalb lohnt es, bestehende Sicherheitsmechanismen zu überdenken, etwa die Themen Verschlüsselung, Pseudonymisierung oder Tokenisierung. Lasst dabei keinerlei Daten aus! Bedenkt Backups, Daten in der Cloud oder im Rechenzentrum, selbsterstellte Daten und auch Datenhistorien. Sobald Daten einer Person zugeordnet werden können, steht Eure Organisation in der Pflicht, sämtliche persönlichen Informationen zu schützen. Das gilt vom ersten Tag der Datenerhebung bis zum Löschen der Datei.
Prozesse effizienter gestalten und dokumentieren
Neben den bisher behandelten sensitiven Daten existieren auch andere Informationen, die ebenfalls schützenswert sind. Die Herausforderung besteht also darin, Ausschau nach weiteren Risikobereichen zu halten und diesen entgegenzuwirken. Auch hierbei ist es sinnvoll, alle Schritte zu dokumentieren. So erkennt Ihr nicht nur etwaige Effizienzkiller, sondern könnt euch im Falle einer Datenpanne auch leicht rechtfertigen.
Selbstkritisch bleiben
Datensicherheit ist immer ein Prozess – deshalb ist es wichtig, immer selbstkritisch zu bleiben und ständige Revision zu betreiben. Für Ihre Praxis bedeutet dies: evaluiert sämtliche unternommenen Schritte und bleibt flexibel genug, diese gegebenenfalls anzupassen. IT-Verantwortliche sollten immer reflektieren und Prozesse an die neuen Prioritäten anpassen.
Schulung, Schulung, Schulung
Ein letzter Tipp, um im Rahmen der EU-Datenschutz-Grundverordnung Compliance zu erlangen, ist, verantwortliches Personal immer wieder zu schulen. Die Regelungen der EU-Datenschutz-Grundverordnung müssen vor allem IT-Verantwortlichen klar sein. Dies gilt insbesondere bei den Betroffenenrechten, aber auch beim freien Datenverkehr innerhalb der EU.
Konkret empfehlen wir für IT-Verantwortliche unsere Schulung „Datenschutzmanagement nach EU-DSGVO“, die am 23. und 24. April 2018 in Fulda stattfindet. Weitere Informationen entnehmt Ihr bitte unserer Website.
EU-Datenschutz-Grundverordnung: nur noch wenig Zeit
Es bleibt nur noch sehr wenig Zeit, die Regelungen der EU-Datenschutz-Grundverordnung umzusetzen. Sicherheit bildet bei der Umsetzung die Basis für sämtliche Innovationen oder Applikationen. Sicherheitsvorfälle können mit dem 25.05.2018, dem Start der EU-DSGVO, nicht mehr versteckt werden, Transparenz bekommt einen neuen Stellenwert. Schafft Compliance in Eurer Organisation – nur mit Compliance könnt Ihr der neuen Datenschutz-Ära entspannter entgegenblicken.