Zeit zum Handeln

03. April 2018
Zeit zum Handeln

    Der 25. Mai 2018 ist für den Datenschutz in Europa ein entscheidender Termin. Ab diesem Datum müssen alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten und speichern, nachweisen, dass sie die Anforderungen der EU-Datenschutzgrundverordnung einhalten. Ansonsten kann es teuer werden.

    Portrait Grunwitz Kai
    Autor: Kai Grunwitz
    Senior Vice President EMEA                 
    NTT Security

    Der Countdown läuft. Viele Unternehmen haben sich frühzeitig mit der EU-Datenschutzgrundverordnung (EU-DSGVO) befasst und sind bereits weit fortgeschritten. Vor allem Unternehmen aus Branchen wie Banken, Gesundheitswesen, Pharmazie oder Versicherungen befinden sich auf der Zielgerade. Anders sieht es im Mittelstand aus. Aus Gesprächen und Anfragen lässt sich schliessen, dass einige die Relevanz und den Aufwand für die Umsetzung der EU-DSGVO unterschätzt haben.
    Noch ist es nicht zu spät, auch wenn sie bis zum Stichtag nicht mehr alle Anforderungen bis ins Detail erfüllen können. Unternehmen, die erst jetzt aktiv werden, sollten im Fall einer Überprüfung auf jeden Fall nachweisen können, dass sie bereits erste Massnahmen umgesetzt haben.

    Self-Assessment liefert einen ersten Einblick
    Was ist für Nachzügler in solchen Fällen zu tun? Wichtig ist, dass sich Unternehmen in einem ersten Schritt mit einem überschaubaren Aufwand einen Überblick verschaffen. Hier geht es vor allem darum, den grundlegenden Handlungsbedarf zu identifizieren.
    Mit einem Self-Assessment-Tool, wie es etwa NTT Security anbietet, erhalten Unternehmen einen guten Einblick zum Reifegrad ihres organisatorischen und technischen Datenschutzes, gemessen an den zentralen Aspekten der EU-DSGVO. In mehreren Themengebieten liefert das Tool eine Standortbestimmung. Das Spektrum reicht von der IT-Sicherheits-Awareness und einem Aufriss der vorhandenen personenbezogenen Daten über Datenschutzhinweise und Schutz der persönlichen Rechte der Betroffenen bis hin zu Einwilligungserklärungen, dem Umgang mit Datenpannen, einer Datenschutzfolgeabschätzung, einem betrieblichen Datenschutzbeauftragten und dem Datenschutz bei internationaler Geschäftstätigkeit. Eine Zusammenfassung des Self-Assessments zeigt mit Hilfe von Ampelfarben, wo es besondere datenschutzrechtliche Brennpunkte gibt.

    Bestandsaufnahme des Ist-Zustands beim Datenschutz
    Eines aber sollte man klarstellen: Das Self-Assessment ersetzt nicht die präzise Bestandsaufnahme des Ist-Zustands der Datenschutzorganisation in einem Unternehmen. Da bei der EU-DSGVO der Schutz personenbezogener Daten eine zentrale Rolle spielt, ist es unabdingbar, zu ermitteln, wo sich überall in einem Unternehmen personenbezogene Daten befinden und in welchen Geschäftsprozessen sie zum Einsatz kommen.
    Zu den personenbezogenen Daten zählen alle Informationen, mit denen eine natürliche Person identifizierbar wird: beispielsweise Name, Geburtsdatum, Steueridentifikationsnummer, Kfz-Kennzeichen, Standort oder Onlinekennung. Ein Grossteil dieser Angaben wird mehr oder minder regelmässig in internen und externen Geschäftsprozessen genutzt. Andere Daten sind bei Aktivitäten abseits der offiziellen IT – auch als „Schatten-IT“ bekannt – entstanden und befinden sich an unbekannten Orten. Auch diese Daten müssen aufgespürt werden.
    Zusätzlich zur IT ist an dieser Stelle auch das Know-how der Fachabteilungen und deren Experten und Poweruser gefragt. Sie kennen sämtliche Details über die in den Fachprozessen eingesetzten Daten am besten – und können gleichzeitig Licht in das Dunkel der Schatten-IT bringen. Zu den Aufgaben der IT gehört zum Beispiel eine nachprüfbare Dokumentation der internen und externen Datenquellen und der Datenflüsse zu erstellen, etwa auch der Datenflüsse in eine Private Cloud und der aus einer Public Cloud. Personenbezogene Daten müssen unter anderem dann verfügbar sein, wenn Betroffene ihr „Recht auf Vergessenwerden“ beziehungsweise das „Recht auf Löschung“ von einem Unternehmen einfordern.

    Sicherheitsrisiken identifizieren
    Vor dem Hintergrund der Geschäftstätigkeit eines Unternehmens und den dabei verarbeiteten personenbezogenen Daten identifizieren und priorisieren die externen Berater zusammen mit internen IT-Sicherheitsfachkräften in einer Ist-Analyse die vorhandenen spezifischen Sicherheitsrisiken. Zum Abschluss der Bestandsaufnahme entsteht eine Handlungsempfehlung. Sie vergleicht den Ist- mit dem Soll-Zustand und zeigt auf, welche Massnahmen aufgrund der EU-DSGVO erforderlich sind und welche Schutzvorkehrungen vor dem Hintergrund der konkreten Sicherheitsrisiken zu implementieren sind. In einigen Fällen verfügen Unternehmen bereits über Vorgaben und Prozesse zur Informationssicherheit, auf die bei der Implementierung der EU-DSGVO aufgesetzt werden kann.
    Die Umsetzung der Anforderungen aus der EU-DSGVO bedeutet für Unternehmen einen spürbaren finanziellen und personellen Aufwand. Wer sich bislang nur sporadisch damit befasst hat, geht ein erhebliches Risiko ein, sollte es zu Datenpannen kommen; es drohen massive Geldstrafen. Selbst wer erst jetzt mit externer Unterstützung und eigenem Personal das Datenschutzprojekt startet, kann noch wichtige Meilensteine auf dem Weg zur EU-DSGVO-Konformität erreichen.

    ntt security 

    Soziale Netzwerke

     

    Fractal Verlag GmbH

      +41 61 683 88 76

      Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!