EU-Datenschutz-Grundverordnung: Schritte zur Compliance

EU-Datenschutz-Grundverordnung: Schritte zur Compliance

In vielen Unternehmen stehen IT-Abteilungen derzeit unter Hochdruck: sie sind mit der fristgerechten Umsetzung der EU-Datenschutz-Grundverordnung beschäftigt. Beim Aufbauen der Compliance hilft eine schrittweise Vorgehensweise. Auf Sicherheitsvorfälle reagieren hierzulande Nutzerinnen und Nutzer sehr sensibel. Deshalb müssen sich gerade IT-Abteilungen sehr intensiv mit der Umsetzung der EU-Datenschutz-Grundverordnung auseinandersetzen. Die folgenden Punkte können hierbei weiterhelfen.

Verständnis für rechtliche Rahmenbedingungen

Um Compliance zu erlangen, ist es unabdingbar, die Rechtslage richtig einschätzen zu können. Ein erster Schritt zur Compliance könnte ein Audit sein, das auf den rechtlichen Rahmenbedingungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) basiert. Unabhängig von der Unternehmensgröße kann es empfehlenswert sein, einen DPO (Data Protection Officer) zu beschäftigen. Er kümmert sich um die Kommunikation sowie um die Anwendung der rechtlichen Regulierungen.

Es lohnt sich, für diese Position jemanden zu finden, der einen technologischen, aber auch juristischen Background besitzt. Je nach Organisation variieren die weiteren Schritte, die noch notwendig sind. Das bedeutet für Sie: Ihre Führungskräfte sind nun besonders gefordert. Sie kennen die interne Situation für gewöhnlich besser als jeder andere.

Daten-Klassifizierung

Weiter obliegt es IT-Verantwortlichen, festzustellen, welche Daten wie genau geschützt werden sollten. Um dies zu schaffen, müssen sämtliche personenbezogenen Daten als solche erkannt und entsprechend gesichert werden. Die zu prüfenden Aspekte reichen sehr weit: Wo ist welche Information gespeichert? Wer kann auf diese Information warum zugreifen? Wurde der Zugang geteilt? Mit wem? Warum?

Mit dieser Klassifizierung schaffen Sie sich eine Basis, um Daten effizienter sichern zu können und klare Zuständigkeiten zu bestimmen. Aus all diesen Informationen ergibt sich das sogenannte Verfahrensverzeichnis. Details dazu können Sie unserem Blogbeitrag „Das Verfahrensverzeichnis – Vorbereitungen zur DSGVO“ entnehmen.

Sicherheitsmechanismen und Ansätze überdenken

Nachdem alle Daten klassifiziert wurden, muss der Zustand bewertet werden. Wie schützen und verarbeiten Sie Informationen? Priorität muss immer der Schutz der Privatsphäre des Einzelnen haben – das gilt für jeden Datensatz, für jede Applikation. Bedenken Sie das Prinzip der Datensparsamkeit: Sie müssen als Unternehmen immer rechtfertigen können, warum Sie welche Daten wofür speichern.

Teil der EU-Datenschutz-Grundverordnung sind das Recht auf Datenportabilität sowie das Einschränken beim Weiterverarbeiten. Hinzu kommt das Recht auf Vergessenwerden. Mehr über die sogenannten Betroffenenrechte erfahren Sie in unserem Beitrag „Betroffenenrechte & Datenschutzerklärung nach DSGVO“. Es gilt, Mittel und Wege zu finden, diesen Betroffenenrechten effizient nachzukommen.

Deshalb lohnt es, bestehende Sicherheitsmechanismen zu überdenken, etwa die Themen Verschlüsselung, Pseudonymisierung oder Tokenisierung. Lassen Sie dabei keinerlei Daten aus! Bedenken Sie Backups, Daten in der Cloud oder im Rechenzentrum, selbsterstellte Daten und auch Datenhistorien. Sobald Daten einer Person zugeordnet werden können, steht Ihre Organisation in der Pflicht, sämtliche persönlichen Informationen zu schützen. Das gilt vom ersten Tag der Datenerhebung bis zum Löschen der Datei.

Prozesse effizienter gestalten und dokumentieren

Neben den bisher behandelten sensitiven Daten existieren auch andere Informationen, die ebenfalls schützenswert sind. Die Herausforderung besteht also darin, Ausschau nach weiteren Risikobereichen zu halten und diesen entgegenzuwirken. Auch hierbei ist es sinnvoll, alle Schritte zu dokumentieren. So erkennen Sie nicht nur etwaige Effizienzkiller, sondern können sich im Falle einer Datenpanne auch leicht rechtfertigen.

Selbstkritisch bleiben

Datensicherheit ist immer ein Prozess – deshalb ist es wichtig, immer selbstkritisch zu bleiben und ständige Revision zu betreiben. Für Ihre Praxis bedeutet dies: evaluieren Sie sämtliche unternommenen Schritte und bleiben Sie flexibel genug, diese gegebenenfalls anzupassen. IT-Verantwortliche sollten immer reflektieren und Prozesse an die neuen Prioritäten anpassen.

Schulung, Schulung, Schulung

Ein letzter Tipp, um im Rahmen der EU-Datenschutz-Grundverordnung Compliance zu erlangen, ist, verantwortliches Personal immer wieder zu schulen. Die Regelungen der EU-Datenschutz-Grundverordnung müssen vor allem IT-Verantwortlichen klar sein. Dies gilt insbesondere bei den Betroffenenrechten, aber auch beim freien Datenverkehr innerhalb der EU.

Konkret empfehlen wir für IT-Verantwortliche unsere Schulung „Datenschutzmanagement nach EU-DSGVO“, die am 23. und 24. April 2018 in Fulda stattfindet. Weitere Informationen entnehmen Sie bitte unserer Website.

EU-Datenschutz-Grundverordnung: nur noch wenig Zeit

Es bleibt nur noch sehr wenig Zeit, die Regelungen der EU-Datenschutz-Grundverordnung umzusetzen. Sicherheit bildet bei der Umsetzung die Basis für sämtliche Innovationen oder Applikationen. Sicherheitsvorfälle können mit dem 25.05.2018, dem Start der EU-DSGVO, nicht mehr versteckt werden, Transparenz bekommt einen neuen Stellenwert. Schaffen Sie Compliance in Ihrer Organisation – nur mit Compliance können Sie der neuen Datenschutz-Ära entspannter entgegenblicken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*