EU-DSGVO: Handlungsbedarf feststellen und Maßnahmen planen
Vieles deutet darauf hin, dass eine Reihe von Unternehmen die Relevanz der EU-Datenschutzgrundverordnung noch nicht erkannt hat oder unterschätzt. Auch wenn in den letzten Wochen ein positiver Trend erkennbar ist, bleibt noch einiges zu tun.
Aus dem diesjährigen Risk Value Report von NTT Security – er befasst sich mit aktuellen Herausforderungen rund um die IT-Sicherheit in den Unternehmen – geht hervor, dass 40 Prozent der weltweit 1.350 Befragten wissen, dass die EU-Datenschutzgrundverordnung (EU-DSGVO) für ihr Unternehmen gilt; nämlich dann, wenn sie personenbezogene Daten von EU-Bürgern erfassen, speichern und verarbeiten. Von den deutschen Teilnehmern der Studie waren es 53 Prozent. Diese Unternehmen sind in der Relevanzbewertung oder der Realisierungsvorbereitung und haben Projekte zur Umsetzung der erforderlichen Maßnahmen gestartet.
Darüber hinaus gibt es immer wieder Berichte, dass verschiedene Projekte nicht nach Plan verlaufen. So sehen sich Unternehmen und öffentliche Stellen beispielsweise mit Interpretationsspielräumen in der Gesetzgebung, fehlenden Ressourcen, erheblicher Komplexität und umfangreichen Abhängigkeiten innerhalb ihrer Projekte konfrontiert. Dazu kommen Widerstände innerhalb einer Organisation, da für einige Abteilungen und Verantwortliche die Datenschutzgrundverordnung „lediglich“ eine weitere regulatorische Anforderung neben anderen darstellt. Dies kann zu zeitlichen Verzögerungen und Mehraufwand führen.
Wenn Organisationen die Risiken frühzeitig in der Planung berücksichtigen und die erforderlichen Maßnahmen rechtzeitig ergreifen, kann der Projektplan durchaus noch eingehalten werden – selbst dann, wenn Projekte erst im Herbst 2017 starten – und unter Berücksichtigung der potenziellen Risiken bestehen gute Chancen, dass die Umsetzung der Maßnahmen bis zum endgültigen Inkrafttreten der EU-DSGVO am 25. Mai 2018 gelingen kann.
Herausforderungen erkennen
Voraussetzung dafür ist aber, dass die unterschiedlichen Herausforderungen erkannt werden, abhängig davon, in welchem Projektstadium der Umsetzung sich eine Organisation aktuell befindet. Dabei lassen sich vier Phasen unterscheiden:
- Die gesetzlichen Vorgaben erfassen und auswerten: Unternehmen und öffentliche Stellen, die erst vor kurzer Zeit die Relevanz und die gesamte Bedeutung der EU-DSVGO erkannt haben, sehen sich insbesondere mit der Herausforderung konfrontiert, die gesetzlichen Anforderungen zu interpretieren, um daraus den Sollzustand ableiten zu können: Was ist gegenüber den bisherigen Anforderungen gleich geblieben? Was ist neu beziehungsweise welche Regelungen sind hinzugekommen?
- Eine Bestandsaufnahme vornehmen: Durch die Erfassung des Ist-Zustandes erhalten Organisationen einen guten Einblick, in welchem Umfang und in welchen Details sie bereits auf die Anforderungen aus der EU-DSGVO vorbereitet sind. Ein Soll-Ist-Vergleich fördert beispielsweise besondere organisatorische und technische Problemfelder zu Tage. Gap-Analysen decken vorhandene Compliance-Lücken auf und unterstützen Unternehmen und öffentliche Stellen dabei, diese mit angemessenen Sicherheitsmaßnahmen und Handlungsempfehlungen zu schließen. Einer besonderen Aufmerksamkeit bedürfen die personenbezogenen Daten, deren Speicherort und Fluss in einer Organisation und deren IT-Prozessen ermittelt werden muss. Das betrifft sowohl die Regeln für den Zugriff auf die personenbezogenen Daten als auch die Maßnahmen, die bei Sicherheitsvorfällen wie Datenverlusten vorgesehen sind.
- Maßnahmen für einen EU-DSGVO-gemäßen Datenschutz definieren und umsetzen: Der nächste Schritt nach einem Soll-Ist-Vergleich ist die Ableitung der erforderlichen Maßnahmen, um die Zielvorgaben zu erreichen. Einige der Herausforderungen in diesem Zusammenhang ergeben sich aus der „Angemessenheit“, das heißt: Was ist gesetzlich erforderlich? Was ist vor dem Hintergrund bestehender Risiken für das Unternehmen notwendig? Auf welche Vorgaben und Workflows anderer Managementsysteme, beispielsweise der Informationssicherheit und Unternehmensprozesse, kann im einzelnen Fall aufgesetzt werden, um die Anforderungen zu erfüllen?
- Erfolgskontrolle eines bereits umgesetzten EU-DSGVO-Programms: Datenschutzprogramme in der Umsetzung kämpfen des Öfteren mit einer ungenügenden Ressourcenverfügbarkeit. Auch wenn das Gesetz vorsieht, dass die Verantwortlichen in der Datenschutzorganisation über die notwendigen zeitlichen Kapazitäten verfügen sollen – Berichten aus der Praxis zufolge ist die Realität manchmal eine andere. Die Verantwortlichen sind zumeist nicht in Vollzeit für das Themengebiet tätig, sondern nehmen noch weitere Aufgaben im Unternehmen oder der Behörde wahr. Hinzu kommen weitere gesetzliche Anforderungen und strategische Projekte, die es auch umzusetzen gilt.
Module Sicherheitsservices im Umfeld der EU-DSGVO, wie sie etwa NTT Security anbietet, können Unternehmen und öffentliche Stellen in allen genannten Phasen der Umsetzung unterstützen. Selbst dann, wenn Unternehmen und öffentliche Stellen über eine genügende Anzahl sicherheits- und IT-mäßig qualifizierter Mitarbeiter verfügen, ergibt sich sehr oft der Bedarf, bei der Planung und Umsetzung spezieller Aktivitäten und Details einen externen Rat einzuholen – oder auch, um ein gesamtes Projekt mit einzelnen IT-Security-Spezialisten zu planen und zu realisieren. Ein weiteres Anwendungsszenarium sind Analysen und Effektivitätskontrollen bei einem bereits abgeschlossenen Projekt. Gemessen wird dabei der Erfüllungsgrad der implementierten Maßnahmen bezüglich der Vorgaben der EU-DSGVO.
Eines ist klar: Bei der Umsetzung der EU-DSGVO gibt es keine Lösung nach dem Motto „One Size Fits All“. Jedes Unternehmen muss seinen eigenen Weg gehen, da seine Sicherheitsrisiken und -anforderungen individuell sind. Experten aus den Bereichen Datenschutz und Informationssicherheit verfügen über umfangreiche Erfahrungen und können Unternehmen dabei unterstützen, ihre Sicherheits- und IT-Prozesse grundlegend zu überprüfen und die Organisation fit zu machen für die EU-DSGVO.