In vielen Unternehmen stehen IT-Abteilungen derzeit unter Hochdruck: sie sind mit der fristgerechten Umsetzung der EU-Datenschutz-Grundverordnung besch\u00e4ftigt. Beim Aufbauen der Compliance hilft eine schrittweise Vorgehensweise. Auf Sicherheitsvorf\u00e4lle reagieren hierzulande Nutzerinnen und Nutzer sehr sensibel. Deshalb m\u00fcssen sich gerade IT-Abteilungen sehr intensiv mit der Umsetzung der EU-Datenschutz-Grundverordnung auseinandersetzen. Die folgenden Punkte k\u00f6nnen hierbei weiterhelfen.<\/p>\n
Um Compliance zu erlangen, ist es unabdingbar, die Rechtslage richtig einsch\u00e4tzen zu k\u00f6nnen. Ein erster Schritt zur Compliance k\u00f6nnte ein Audit sein, das auf den rechtlichen Rahmenbedingungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) basiert. Unabh\u00e4ngig von der Unternehmensgr\u00f6\u00dfe kann es empfehlenswert sein, einen DPO (Data Protection Officer) zu besch\u00e4ftigen. Er k\u00fcmmert sich um die Kommunikation sowie um die Anwendung der rechtlichen Regulierungen.<\/p>\n
Es lohnt sich, f\u00fcr diese Position jemanden zu finden, der einen technologischen, aber auch juristischen Background besitzt. Je nach Organisation variieren die weiteren Schritte, die noch notwendig sind. Das bedeutet f\u00fcr Euch: Eure F\u00fchrungskr\u00e4fte sind nun besonders gefordert. Sie kennen die interne Situation f\u00fcr gew\u00f6hnlich besser als jeder andere.<\/p>\n
Weiter obliegt es IT-Verantwortlichen, festzustellen, welche Daten wie genau gesch\u00fctzt werden sollten. Um dies zu schaffen, m\u00fcssen s\u00e4mtliche personenbezogenen Daten als solche erkannt und entsprechend gesichert werden. Die zu pr\u00fcfenden Aspekte reichen sehr weit: Wo ist welche Information gespeichert? Wer kann auf diese Information warum zugreifen? Wurde der Zugang geteilt? Mit wem? Warum?<\/p>\n
Mit dieser Klassifizierung schafft Ihr euch eine Basis, um Daten effizienter sichern zu k\u00f6nnen und klare Zust\u00e4ndigkeiten zu bestimmen. Aus all diesen Informationen ergibt sich das sogenannte Verfahrensverzeichnis. Details dazu k\u00f6nnt Ihr unserem Blogbeitrag „Das Verfahrensverzeichnis \u2013 Vorbereitungen zur DSGVO“<\/a> entnehmen.<\/p>\n Nachdem alle Daten klassifiziert wurden, muss der Zustand bewertet werden. Wie sch\u00fctzt und verarbeitet Ihr Informationen? Priorit\u00e4t muss immer der Schutz der Privatsph\u00e4re des Einzelnen haben \u2013 das gilt f\u00fcr jeden Datensatz, f\u00fcr jede Applikation. Bedenkt das Prinzip der Datensparsamkeit: Ihr m\u00fcsst als Unternehmen immer rechtfertigen k\u00f6nnen, warum Ihr welche Daten wof\u00fcr speichert.<\/p>\n Teil der EU-Datenschutz-Grundverordnung sind das Recht auf Datenportabilit\u00e4t sowie das Einschr\u00e4nken beim Weiterverarbeiten. Hinzu kommt das Recht auf Vergessenwerden. Mehr \u00fcber die sogenannten Betroffenenrechte erfahrt Ihr in unserem Beitrag „Betroffenenrechte & Datenschutzerkl\u00e4rung nach DSGVO“<\/a>. Es gilt, Mittel und Wege zu finden, diesen Betroffenenrechten effizient nachzukommen.<\/p>\n Deshalb lohnt es, bestehende Sicherheitsmechanismen zu \u00fcberdenken, etwa die Themen Verschl\u00fcsselung, Pseudonymisierung oder Tokenisierung. Lasst dabei keinerlei Daten aus! Bedenkt Backups, Daten in der Cloud oder im Rechenzentrum, selbsterstellte Daten und auch Datenhistorien. Sobald Daten einer Person zugeordnet werden k\u00f6nnen, steht Eure Organisation in der Pflicht, s\u00e4mtliche pers\u00f6nlichen Informationen zu sch\u00fctzen. Das gilt vom ersten Tag der Datenerhebung bis zum L\u00f6schen der Datei.<\/p>\n Neben den bisher behandelten sensitiven Daten existieren auch andere Informationen, die ebenfalls sch\u00fctzenswert sind. Die Herausforderung besteht also darin, Ausschau nach weiteren Risikobereichen zu halten und diesen entgegenzuwirken. Auch hierbei ist es sinnvoll, alle Schritte zu dokumentieren. So erkennt Ihr nicht nur etwaige Effizienzkiller, sondern k\u00f6nnt euch im Falle einer Datenpanne auch leicht rechtfertigen.<\/p>\n Datensicherheit ist immer ein Prozess \u2013 deshalb ist es wichtig, immer selbstkritisch zu bleiben und st\u00e4ndige Revision zu betreiben. F\u00fcr Ihre Praxis bedeutet dies: evaluiert s\u00e4mtliche unternommenen Schritte und bleibt flexibel genug, diese gegebenenfalls anzupassen. IT-Verantwortliche sollten immer reflektieren und Prozesse an die neuen Priorit\u00e4ten anpassen.<\/p>\n Ein letzter Tipp, um im Rahmen der EU-Datenschutz-Grundverordnung Compliance zu erlangen, ist, verantwortliches Personal immer wieder zu schulen. Die Regelungen der EU-Datenschutz-Grundverordnung m\u00fcssen vor allem IT-Verantwortlichen klar sein. Dies gilt insbesondere bei den Betroffenenrechten, aber auch beim freien Datenverkehr innerhalb der EU.<\/p>\n Konkret empfehlen wir f\u00fcr IT-Verantwortliche unsere Schulung „Datenschutzmanagement nach EU-DSGVO“, die am 23. und 24. April 2018 in Fulda stattfindet. Weitere Informationen entnehmt Ihr bitte unserer Website<\/a>.<\/p>\n Es bleibt nur noch sehr wenig Zeit, die Regelungen der EU-Datenschutz-Grundverordnung umzusetzen. Sicherheit bildet bei der Umsetzung die Basis f\u00fcr s\u00e4mtliche Innovationen oder Applikationen. Sicherheitsvorf\u00e4lle k\u00f6nnen mit dem 25.05.2018, dem Start der EU-DSGVO, nicht mehr versteckt werden, Transparenz bekommt einen neuen Stellenwert. Schafft Compliance in Eurer Organisation \u2013 nur mit Compliance k\u00f6nnt Ihr der neuen Datenschutz-\u00c4ra entspannter entgegenblicken.<\/p>\n","protected":false},"excerpt":{"rendered":" In vielen Unternehmen stehen IT-Abteilungen derzeit unter Hochdruck: sie sind mit der fristgerechten Umsetzung der EU-Datenschutz-Grundverordnung besch\u00e4ftigt. Beim Aufbauen der Compliance hilft eine schrittweise Vorgehensweise. Auf Sicherheitsvorf\u00e4lle reagieren hierzulande Nutzerinnen und Nutzer sehr sensibel. Deshalb m\u00fcssen sich gerade IT-Abteilungen sehr intensiv mit der Umsetzung der EU-Datenschutz-Grundverordnung auseinandersetzen. Die folgenden Punkte k\u00f6nnen hierbei weiterhelfen. Verst\u00e4ndnis f\u00fcr … <\/p>\nSicherheitsmechanismen und Ans\u00e4tze \u00fcberdenken<\/h3>\n
Prozesse effizienter gestalten und dokumentieren<\/h3>\n
Selbstkritisch bleiben<\/h3>\n
Schulung, Schulung, Schulung<\/h3>\n
EU-Datenschutz-Grundverordnung: nur noch wenig Zeit<\/h3>\n