DSGVO: Datenschutzmanagementsysteme erfolgreich aufbauen
Interview
TREND REPORT sprach mit Uwe Rühl, Founder der Rucon Gruppe, über die EU-DSGVO im Kontext von Datenschutzmanagementsystemen (DSMS).
Herr Rühl, warum können Unternehmen mit einer bereits implementierten QM-Lösung den neuen Vorschriften der EU-DSGVO gelassener entgegensehen?
Ein wesentlicher Bestandteil der EU-DSGVO ist es, dass Unternehmen in der Lage sein müssen ihre Verantwortlichkeit nachzuweisen. Dies bedeutet, ein Unternehmen muss demonstrieren können, dass es die Prinzipien des EU-Datenschutzes einhält. Diese Prinzipien geben unter anderem vor, dass natürliche Personen ein Recht darauf haben, Auskunft darüber zu erhalten welche personenbezogenen Daten von ihnen verarbeitet werden.
Das Grundprinzip eines Managementsystems -wie wir es zum Beispiel aus ISO 9001 kennen- ist es, relevante Anforderungen an das Produkt oder die Dienstleistung zu ermitteln, Faktoren zu erkennen, welche die Erfüllung dieser Anforderungen beeinflussen (Risiken, aber auch Chancen) und mit Produkten und Dienstleistungen umzugehen, welche die Anforderungen nicht oder nicht richtig erfüllen.
Was jetzt sehr theoretisch klingt, trifft auch auf Datenschutz zu. Die Unternehmen müssen in der Lage sein zu wissen, was geht, was nicht geht und auf welcher Grundlage die Verarbeitung von personenbezogenen Daten geschieht. Weiterhin müssen sie mit allen Situationen umgehen, in denen die Anforderungen des Datenschutzes nicht oder nicht richtig erfüllt wurden.
Ein Managementsystem hilft dabei, dass ein Unternehmen nachweisen kann, wie es mit diesen Aspekten umgeht und die notwendigen Prozesse laufend aufrechterhält. Die EU-DSGVO sieht Zertifizierungen explizit als eine Möglichkeit des Nachweises zur Einhaltung der Datenschutz-Prinzipien vor. Darüber hinaus sind Datenschutzsiegel denkbar. Die Freigabe erfolgt entweder über die Datenschutzbehörden oder über die nationalen Akkreditierungsstellen.
Dazu gibt es in der Zwischenzeit einige Ansätze, von einem „reinen“ Datenschutzmanagementsystem-Standard bis hin zu unterschiedlichen Lösungen, Datenschutz mit bestehenden Managementsystemen zu verbinden. Hier allen voran die ISO/IEC 27001 als Managementsystem-Standard für Informationssicherheit, der mit anderen Standards aus der ISO-Welt ergänzt sinnvoll werden kann zu einem Datenschutz-managementsystem.
Der Vorteil hier: ISO/IEC 27001 ist akkreditiert und damit als Basis ein anerkanntes Managementsystem.
Inwieweit decken heute moderne Datenschutzmanagementsysteme und Lösungen die aktuellen Anforderungen und Vorschriften der EU-DSGVO ab?
Man muss dabei generell einen wichtigen Aspekt bedenken: ISO-Standards stellen immer einen gemeinsamen Nenner dar, eben einen internationalen Standard. Dabei wird nie explizit ein Rechtsraum, wie der der EU oder des EEA, berücksichtigt. Es werden Grundprinzipien geschaffen. Also muss alles, was auf ISO-Standards basiert angereichert werden um die gesetzlichen, aufsichtsbehördlichen und vertraglichen Anforderungen des jeweiligen Rechtsraums.
Dies fordern die ISO-Normen auch generell vom Anwender der Norm. Anders herum: die Anwendung einer ISO spricht kein Unternehmen davon frei, sich explizit mit den gesetzlichen und anderen Anforderungen zu beschäftigen. Das sollten die Anwender immer im Blick behalten, auch wenn wir jetzt in der ISO-Welt zunehmend Data Privacy Standards (z.B. ISO 29100-Reihe oder den Entwurf der ISO/IEC 27552) sehen. Diese entbinden kein Unternehmen von der im Gesetz explizit genannten „Accountability“, sondern dient genau für diese als sinnvolle Grundlage.
Es gibt derzeit eine konkrete Ausnahme: das ist der British Standard 10012, herausgegeben als nationale britische Norm. Dieser wurde im Januar 2017 neu herausgegeben und enthält die Anforderungen der EU-DSGVO an ein Datenschutzmanagementsystem. Dieser Standard wurde bereits mehrfach angewendet und zertifiziert. Allerdings ist auch das kein Freibrief, denn es handelt sich dabei nun mal um einen nationalen Standard, der nicht für alle Mitgliedsstaaten der EU gleichermaßen sprechen kann und will.
Aber wir sind immerhin im Geltungsbereich der EU-DSGVO und erhalten wertvolle Hinweise, wie ein Unternehmen EU-DSGVO inhaltlich umsetzen kann. Ein paar Schnitzer lassen sich in der Norm allerdings finden, zum Beispiel bei der Datenschutzfolgenabschätzung. Aber sie entstand auch zu einer Zeit, wo noch nicht wirklich klar war, wie diese EU-DSGVO- „konform“ erfolgen soll.
Derzeit gibt es auch in Österreich ein Normungsvorhaben für eine Datenschutzmanagementsystem-Norm. Ein kleiner Wermutstropfen: noch sind generell keine Akkreditierungen, also behördliche Zulassungen, für spezielle Datenschutzzertifizierungen und -Siegel vorhanden (gem. Art. 42 und 43 EU-DSGVO).
Was sollten Unternehmer beachten, die gerade jetzt ein Datenschutzmanagementsystem implementieren wollen?
Es ist vieles noch in Bewegung, vor allem wie einzelne Anforderungen der EU-DSGVO in Zukunft ausgelegt werden sollen, vor allem im Rahmen der Rechtsprechung. Diese Unsicherheit sollte Unternehmen aber keinesfalls davon abhalten, bereits jetzt mit dem Aufbau eines DSMS zu beginnen. Denn es hilft den Unternehmen ungemein, Strukturen aufzubauen und das Thema Datenschutz dauerhaft und systematisch zu verankern.
Die Normenwelt bietet bereits valide Ansätze dazu, egal ob die Basis eine ISO 9001, ISO/IEC 27001 oder eben BS 10012 ist.
Hier nochmals meine Tipps: | |
• | Schauen Sie, welche Ansätze in Ihrem Unternehmen als Basis für ein Datenschutzmanagementsystem taugen. Haben Sie bereits ISO 9001 oder ISO/IEC 27001 in Anwendung: Feuer frei! Damit weitermachen. Wenn nicht? BS 10012 ist eine gute Basis für ein DSMS. |
• | Schauen Sie sich genau an, welche Anforderungen EU-DSGVO, aber auch Kunden, Branchenverbände oder andere an das Thema Datenschutz an Ihr Unternehmen stellen. Wir nennen das: Analyse des Kontextes. Was leitet sich daraus für Sie ab? Was müssen Sie erfüllen, umsetzen? |
• | Analysieren Sie die Risiken, schauen Sie sich aber auch an, wo Sie heute bereits gut aufgestellt sind und womit Sie vielleicht sogar einen Vorteil gegenüber anderen haben könnten. Leiten Sie Maßnahmen ab und setzen Sie diese um. |
• | Bauen Sie robuste Prozesse auf, um Ihr Pflichten gegenüber natürlichen Personen, deren Daten Sie verarbeiten, erfüllen zu können. Und schauen Sie auf mögliche Datenschutzereignisse oder -vorfälle. Denken Sie an eine gründliche Analyse und ggf. Meldepflichten. |
Damit haben Sie schon eine gute Basis geschaffen, von der aus Sie Ihr Datenschutzmanagementsystem verbessern können.
Können Sie für uns die Begriffe „Organizational Resilience“ und „EU-Datenschutz-Grundverordnung (EU-DSGVO)“ ins Verhältnis setzen?
Gerne. Organizational Resilience ist ein häufig verwendeter Begriff, der für viele so viel bedeutet wie, dass ein Unternehmen eine „disruptive“ Situation, also einen Notfall oder eine Krise, überleben kann. Diese Definition geht mir etwas zu kurz und auch die aktuelle Literatur versucht den Begriff weiter zu definieren.
Es geht nicht nur um Überlebensfähigkeit, sondern auch um Anpassungsfähigkeit. Dies führt (hoffentlich) dazu, dass ein Unternehmen nicht nur eine Situation übersteht, sondern langfristig so anpassungsfähig ist, dass Geschäftsmodelle überleben, wenn auch in angepasster Form. Und hier kommt Datenschutz als Thema dazu. Die Geldbußen könnten für viele Unternehmen, durchaus ein krisenhaftes Ereignis darstellen. Also will man solche negativen Folgen durch verantwortungsvolles Handeln möglichst verhindern.
Der zweite Aspekt von Organizational Resilience hat für mein Team und mich mit der Anpassungsfähigkeit zu tun. Wenn man von „Privacy by Default“ und „Privacy by Design“ spricht, dann hat das möglicherweise auch direkten Einfluss auf Geschäftsmodelle. Anpassungsfähigkeit sichert langfristiges Überleben, ggf. kann dies sogar zu Wettbewerbsvorteilen führen, auch wenn man diese auf den ersten Blick nicht wahrnimmt. Zum Beispiel könnte ein gut umgesetztes Datenschutzmanagementsystem auch den Eintritt in Länder mit einem ähnlich hohen Datenschutzniveau deutlich erleichtern, wie z.B. Kanada oder Japan.
Wie lassen sich die Synergien zwischen Qualitätsmanagement und den neuen Anforderungen an den Datenschutz am besten nutzen?
Letztendlich führt die Frage immer auf den Prozess zurück, der in Unternehmen umgesetzt wird, um Produkte und Dienstleistungen zu erstellen und zu vertreiben. Ein Qualitätsmanagement will die Qualität, also die Reproduzierbarkeit und das Ergebnis der einzelnen Verarbeitungsschritte sicherstellen. Es ist nur natürlich, dass in solchen Prozessen auch personenbezogene Daten fließen, die es zu schützen gilt.
Ein gutes Qualitätsmanagementsystem liefert mir also im Idealfall relativ schnell die Informationen, welche personenbezogenen Daten aus welcher Quelle, aus welchem Grund wohin fließen. Dies ist die Basis für ein Verarbeitungsverzeichnis im Datenschutz. Letztendlich können wir bei enger Verknüpfung mit dem Qualitäts- und Prozessmanagement die Informationen und Daten im relevanten Prozess schützen.
Ein weiterer Aspekt ist es, ein vorhandenes Qualitätsmanagementsystem, nach ISO 9001 oder ISO/IEC 27001 als Basis für ein Datenschutzmanagementsystem zu nutzen. Hierzu gibt es in der Normenwelt schon vielfältige Ansätze. Damit ist es möglich, in einem Qualitätsmanagementsystem oder Informationssicherheitsmanagementsystem die interne Überprüfung der Wirksamkeit des Datenschutzes mit zu prüfen, z.B. in einem internen Audit. Auch Methoden des Risikomanagements oder der Umgang mit Sicherheitsvorfällen können gemeinsam genutzt werden.
Nicht zuletzt bietet sich die Möglichkeit, vorhandene Managementsysteme als Basis für eine externe Zertifizierung des Datenschutzmanagements zu nutzen. Dies kann für einige Unternehmen in Zukunft ein wichtiger Faktor sein, vor allem wenn die Verarbeitung von personenbezogenen Daten im Auftrag, zum Kerngeschäft gehört. Dies könnten z.B. Telemarkting-Agenturen oder auch IT-Unternehmen sein.
Was muß eine zuverlässige elektronische Datenschutzmanagementsoftwarelösung heute leisten, um die Einhaltung der EU-DSGVO nachweislich sicher zu stellen?
Diese Frage ist einfach und doch nicht so einfach zu beantworten. Zuerst muss man feststellen, dass es eine Vielzahl von Softwarelösungen unterschiedlicher Ausprägungen gibt, die sich EU-DSGVO-Konformität auf die Fahne schreiben. Das reicht von Risiko-Management-Lösungen (GRC-Tools), über IT-Systeme für Verschlüsselung und data leakage prevention bis zu datenschutzkonformen Cloud-Lösungen.
Ein Unternehmen muss zunächst genau herausfinden, bei welchen Aufgabenstellungen es Softwareunterstützung braucht und für notwendig erachtet. Wir haben schon viele brauchbare und auch viele weniger brauchbare Lösungen gesehen. Von Tools für die Erstellung von Verarbeitungsverzeichnissen und Unterstützung von Datenschutzaudits bis hin zu den vielfältigen Tools zum Analysieren von Benutzerberechtigungen oder für das Management von Log-Files.
Eine große Hilfe können sicherlich vor allem Tools sein, die eine Überwachung des Flusses von personenbezogenen Daten in den unterschiedlichen Prozessen und Anwendungen ermöglichen. Mit diesen Tools sollte auch nachgewiesen werden können, wer wann welche Änderung an personenbezogenen Daten vorgenommen hat. Diese sogenannten Audittrails sind von großer Wichtigkeit, wenn es darum geht, wie ein Unternehmen nachweisen kann, wie es mit personenbezogenen Daten umgeht und wer welchen Zugriff darauf hat.
Die Erfüllung der Rechte und Freiheiten der natürlichen Personen hat besonderes Gewicht im Datenschutzrecht. Deshalb ist es wichtig zu wissen, welche Informationen gespeichert wurden, woher diese stammen und wann eine Löschfrist nötig ist.
Auch das Management von Einverständnissen (Consent-Management) hat eine immense Bedeutung, vor allem für Unternehmen im B2C-Umfeld und im Marketingumfeld.
Es gibt also breite Anwendungsfälle für Software-Lösungen, die aber immer mit Sinn und Verstand eingeführt werden müssen. Eine pauschale EU-DGSVO-Compliance durch die Anwendung eines Tools gibt es leider nicht, trotz vieler Versprechen.
Nicht zuletzt sehen wir auch viele Ansätze für Maschinenlernen, damit Unternehmen in der Vielzahl ihrer Systeme erst einmal verstehen, wo sich überall personenbezogene Daten verstecken.
Welche Vorteile bietet Ihre DSMS (as a) Service-Lösung und kann ich damit die Vorschriften der EU-DSGVO nachweislich einhalten?
Hierbei handelt es sich nicht um eine Softwarelösung, sondern um einen Service den wir erbringen, natürlich auch mit entsprechender IT-Unterstützung. Viele Unternehmen erschrecken schlicht und ergreifend vor der Bandbreite, aber auch dem Umfang der Maßnahmen, die im Rahmen des Datenschutzes notwendig sind.
Hier unterstützen wir über unseren Servicekatalog gezielt die Verantwortlichen in den Unternehmen. Das kann vom Führen von Verarbeitungsverzeichnissen, über die Durchführung von Datenschutzfolgenabschätzung bis zu internen Audits gehen. Vor allem dort, wo Datenschutzmanagementsysteme zertifizierbar sein sollen, müssen auch formelle Vorgaben eingehalten werden, um die wir uns kümmern und den Datenschützern im Unternehmen ein paar Sorgen und Aufgaben abnehmen.
Durch den Servicekatalog bleibt das ganze transparent, jederzeit nachvollziehbar und an den Bedarf des Unternehmens anpassungsfähig. Unsere Kunden wissen, dass ihnen damit immer die volle Power eines Expertenteams zur Verfügung steht, die in den notwendigen Einzeldosen abgerufen werden kann.
Welche Prinzipien müssen/sollten in einem Datenschutzmanagementsystem grundlegend zur Anwendung kommen?
Die Mutter aller Datenschutzprinzipien findet sich bei der OECD. Diese hat 1980 bereits Datenschutzprinzipien festgelegt, die Pate stehen für alles was wir nun an Prinzipien rund um den Globus, von Australien, über Japan, über Kanada und Argentinien bis zur EU sehen. Von den OECD-Prinzipien hat die ISO in der ISO 29100 dann Data Privacy Principles abgeleitet, die allen ISO-Standards rund um Datenschutz als Grundlage dienen.
Auch die EU hat sich bei der OECD „bedient“. Die wichtige Botschaft ist: die Grundprinzipien sind die gleichen, auch wenn Wortwahl und Ausgestaltung im Einzelnen unterschiedlich sind. Das heißt, dass wir natürlich alles, was in der ISO-Welt angeboten wird, auch nutzen können um ein EU-DSGVO-konformes Datenschutzmanagementsystem aufzubauen. Umgekehrt kann ein EU-DSGVO-konformes System auch in Richtung OECD gemappt werden und damit auch in anderen Ländern einen hilfreichen Nachweis eines wirksamen Datenschutzmanagement-systems erzeugen.
Diese Erfahrung haben wir mit Kunden in den vergangenen Jahren mit der Anwendung von Datenschutzmanagementsystemen oftmals machen dürfen. Am Ende kann es tatsächlich ein globales Datenschutzmanagementsystem in einem Unternehmen geben. Gleiche Spielregeln, hohe Akzeptanz bei den Kunden und lokalen Datenschutzbehörden.
Die EU-DSGVO als Chance begreifen, geht das?
Natürlich. Als Risikomanager glauben wir fest an die Kombination von Risiko und Chance. Ja, es mag sein, dass EU-DSGVO für viele Geschäftsmodelle als Drohgebärde erscheint. Andererseits kann ein Geschäftsmodell, das die Prinzipien des EU-Datenschutzes berücksichtigt, die Türe zu anderen Ländern aufstoßen, die der EU vergleichbare rechtliche Regelungen haben.
Das gilt übrigens auch für die vielfach so gescholtenen USA. Diese haben zwar kein generelles Datenschutzrecht und auch keine Ergänzung Ihrer Verfassung im Hinblick auf Datenschutz. Dafür existiert in vielen Branchen eine recht hohe Regulierung, was Datenschutz angeht. Allen voran der medizinische Sektor.
Nicht übersehen sollte man die Chance, den Kunden durch Transparenz und Fairness einen interessanten Service bieten zu können. Verbraucher sind zurecht kritisch und hinterfragen das Verhalten von Dienstleistern. Wenn transparent, offen und fair mit den Kunden umgegangen wird, sind auch neue, verrückte, unorthodoxe Geschäftsmodelle möglich. Und ein Datenschutzmanagementsystem nach EU-DSGVO kann hier an der Vertrauensfront vieles bewirken.
Wir sollten Datenschutz als Bestandteil unserer Geschäftsprozesse und Dienstleistungen verstehen, wie Qualität. Warum nicht neben Qualitätsoffensiven, Datenschutzoffensiven? Warum nicht mit dem Faktor Vertrauen die Treue der Kunden gewinnen? Die Einführung der EU-DGSVO und eines Datenschutzmanagementsystems mitbringt ist eine große Chance, welche für Unternehmen durchaus die Mühe wert ist.
Herr Rühl, vielen Dank für das Gespräch.
Weiterführende Informationen finden Sie unter:
www.rucon-group.com
Aufmacherbild / Quelle / Lizenz
Pixabay / CC0 Creative Commons