Überprüfung als Chance erkennen
Gastbeitrag
Eva-Maria Scheiter, Executive Consultant GRC bei NTT Security, schreibt über „Services on demand“ im Hinblick auf die DSGVO.
Viele Unternehmen sind im Kontext der EU-DSGVO auf einem guten Weg. Dennoch sind auf der anderen Seite sehr viele noch in einer Orientierungsphase.
Verbreitet ist beispielsweise die Meinung, die Beachtung der internationalen Norm DIN ISO/IEC 27001 oder des BSI-IT-Grundschutzes würde ausreichen. Damit sind gute Voraussetzungen geschaffen, um personenbezogene Daten sicher zu verarbeiten, aber es liegt keine automatische Konformität mit der EU-Datenschutz-Grundverordnung vor.
Ergänzend dazu müssen Unternehmen sämtliche Strukturen und Prozesse, die sich auf die Verarbeitung personenbezogener Daten beziehen, auf den Prüfstand stellen – das reicht unter anderem von der rechtskonformen Erhebung, Erfassung, Speicherung, Veränderung, Bereitstellung und Löschung oder Vernichtung über die Zugriffsoptionen bis hin zum Umgang mit Datenschutzpannen.
Bei den personenbezogenen Daten geht es beispielsweise um Angaben über sachliche oder persönliche Verhältnisse zu einer identifizierten oder identifizierbaren Person (zum Beispiel Kunden, Lieferanten, Geschäftspartnern oder Mitarbeitern eines Unternehmens).
Handlungsbedarfe erkennen und Compliance-Konformität herstellen
Unabhängig davon, wo sich eine Organisation auf dem Weg zur Umsetzung der EU-DSGVO gerade befindet, liefert eine Analyse einen Überblick über die Auswirkungen.
Ein mehrstufiges Verfahren vergleicht zunächst einmal die vorhandenen beziehungsweise die geplanten Maßnahmen mit den laut EU-DSGVO vorgesehenen Anforderungen. Daraus ergeben sich dann organisatorische und technische Leistungsanforderungen, um vom aktuellen oder geplanten Zustand auf den erforderlichen Stand zu kommen.
Hierbei kann insbesondere zwischen drei Analyseformen unterschieden werden:
• Bestandsaufnahme:
Sie verschafft zunächst einmal einen Überblick und zeigt auf, inwieweit eine Organisation auf die anstehenden Anforderungen vorbereitet ist. Dazu gehört beispielsweise eine erste Analyse der organisatorischen und technischen Maßnahmen. Weiterführende Gap-Analysen identifizieren Handlungsbedarfe und zeigen durch konkrete Handlungsempfehlungen einen Weg zur Einhaltung der Vorgaben auf. Gegenstand vertiefender Analysen kann die Ermittlung der personenbezogenen Daten, die Identifikation der Datenquellen und der -flüsse in den fachlichen und den IT-Prozessen sein. Auch hier ist es das Ziel, potenzielle Compliance-Lücken aufzudecken und notwendige Maßnahmen zu empfehlen.
• Überprüfung eines gerade laufenden EU-DSGVO-Programms:
Eine Reihe von Unternehmen ist schon einen Schritt weiter und befindet sich mitten in der Umsetzungsphase. Für diese sind Services verfügbar, mit denen Organisationen prüfen können, ob das Vorhaben geeignet ist, um das Ziel der Compliance zu erreichen, oder ob ein externer Unterstützungsbedarf besteht. Auch in diesem Umfeld kann eine Gap-Analyse auf Handlungsbedarfe hinweisen und Best Practices vorschlagen, um diesen zu begegnen. Im Hinblick auf die technischen Aspekte wünschen Organisationen oft eine Beratung zur Sicherheitsarchitektur sowie hinsichtlich der Etablierung von Datenschutzmaßnahmen im Zuge der Anwendungs- und Systementwicklung.
• Bewertung der Effektivität bereits implementierter Maßnahmen:
Eine EU-DSGVO-Effektivitätskontrolle ist für Unternehmen interessant, die zum jetzigen Zeitpunkt – und damit deutlich vor der Deadline – ihr Projekt weitgehend abgeschlossen haben oder sich in einem fortgeschrittenen Stadium befinden. Diese unabhängige und umfassende Analyse ermittelt den Abdeckungsgrad der implementierten Regelungen und Prozesse in Abgleich zu den Anforderungen der EU-DSGVO. In einigen Fällen nutzen Unternehmen zusätzlich zu den internen Vorkehrungen auch die Services weiterer externer Spezialisten. Auch diese sollten im Hinblick auf die Effektivitätskontrolle überprüft werden.
Weitere Informationen und Beiträge zu aktuellen Security-Themen wie „Managed Security Services“ oder „Security by Design“ finden Sie auf dem regelmäßigen Blog von Kai Grunwitz, Senior Vice President EMEA bei NTT Security: https://trendreport.de/tag/ntt-security/ |
Derartige Services im Umfeld der EU-DSGVO, wie sie beispielsweise NTT Security anbietet, können für Unternehmen und öffentliche Stellen eine wichtige Unterstützung sein. Das gilt auch dann, wenn diese Organisationen intern über Mitarbeiter verfügen, die das EU-DSGVO-Compliance-Programm eigenständig vorantreiben und nur an der einen oder anderen Stelle externen Rat einholen wollen.
In den anderen Fällen ist eine Hilfestellung bei der Ermittlung des Projektumfangs gefragt. Möglich ist auch, dass Organisationen externe Unterstützung anfordern, um ihre Prozesse zur Reaktion auf Datenschutzpannen überprüfen zu lassen.
Zusätzlich zum Umgang mit personenbezogenen Daten umfasst die EU-DSGVO insbesondere strenge Informationspflichten, erweiterte Nutzerrechte sowie ein „Recht auf Vergessenwerden“. Auch diese Vorgaben sind durch die Organisationen umzusetzen.
Nach dem 25. Mai 2018 müssen Unternehmen jederzeit nachweisen können, dass sie die Vorgaben erfüllen. Die Umsetzung einer angemessenen und nachhaltigen Compliance ist für Unternehmen gleichzeitig eine Chance, ihre fachlichen und IT-Prozesse insgesamt zu verbessern und gegebenenfalls bestehende Synergien zu heben.
Diese positiven Nebenwirkungen sollte sich kein Unternehmen entgehen lassen.
Autorin Eva-Maria Scheiter
Als Executive Consultant GRC im Competence Center Governance, Risk und Compliance verfügt Eva-Maria Scheiter über langjährige sowie umfangreiche Erfahrungen und Kenntnisse in den Themengebieten Informationssicherheit, Risikomanagement, Business Continuity, Datenschutz und Compliance.
Sie verantwortet komplexe Projekte und Programme für nationale und internationale Kunden und ist zudem innerhalb der NTT Security als Führungskraft tätig.
Kommentare sind deaktiviert.