Zeit zum Handeln
Der 25. Mai 2018 ist für den Datenschutz in Europa ein entscheidender Termin. Ab diesem Datum müssen alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten und speichern, nachweisen, dass sie die Anforderungen der EU-Datenschutzgrundverordnung einhalten. Ansonsten kann es teuer werden.
Der Countdown läuft. Viele Unternehmen haben sich frühzeitig mit der EU-Datenschutzgrundverordnung (EU-DSGVO) befasst und sind bereits weit fortgeschritten. Vor allem Unternehmen aus Branchen wie Banken, Gesundheitswesen, Pharmazie oder Versicherungen befinden sich auf der Zielgeraden. Anders sieht es im Mittelstand aus. Aus Gesprächen und Anfragen lässt sich schließen, dass einige die Relevanz und den Aufwand für die Umsetzung der EU-DSGVO unterschätzt haben.
Noch ist es auch für sie nicht zu spät, auch wenn sie bis zum Stichtag nicht mehr alle Anforderungen bis ins Detail erfüllen können. Unternehmen, die erst jetzt aktiv werden, sollten bei einer ab Sommer möglichen Überprüfung durch das für sie zuständige Landesamt für Datenschutzaufsicht auf jeden Fall nachweisen können, dass sie bereits erste Maßnahmen umgesetzt haben.
Self-Assessment liefert einen ersten Einblick
Was ist für Nachzügler in solchen Fällen zu tun? Wichtig ist, dass sich Unternehmen in einem ersten Schritt mit einem überschaubaren Aufwand einen Überblick verschaffen. Hier geht es vor allem darum, den grundlegenden Handlungsbedarf zu identifizieren.
Mit einem Self-Assessment-Tool, wie es etwa NTT Security anbietet, erhalten Unternehmen einen guten Einblick zum Reifegrad ihres organisatorischen und technischen Datenschutzes, gemessen an den zentralen Aspekten der EU-DSGVO. In mehreren Themengebieten liefert das Tool eine Standortbestimmung. Das Spektrum reicht von der IT-Sicherheits-Awareness und einem Aufriss der vorhandenen personenbezogenen Daten über Datenschutzhinweise und Schutz der persönlichen Rechte der Betroffenen bis hin zu Einwilligungserklärungen, dem Umgang mit Datenpannen, einer Datenschutzfolgeabschätzung, einem betrieblichen Datenschutzbeauftragten und dem Datenschutz bei internationaler Geschäftstätigkeit. Eine Zusammenfassung des Self-Assessments zeigt mit Hilfe von Ampelfarben, wo es besondere datenschutzrechtliche Brennpunkte gibt.
Bestandsaufnahme des Ist-Zustands beim Datenschutz
Eines aber sollte man klarstellen: Das Self-Assessment ersetzt nicht die präzise Bestandsaufnahme des Ist-Zustands der Datenschutzorganisation in einem Unternehmen – im idealen Fall unterstützt durch einen auf IT-Sicherheit spezialisierten IT-Dienstleister. Da bei der EU-DSGVO der Schutz personenbezogener Daten eine zentrale Rolle spielt, ist es unabdingbar, zu ermitteln, wo sich überall in einem Unternehmen personenbezogene Daten befinden und in welchen Geschäftsprozessen sie zum Einsatz kommen.
Zu den personenbezogenen Daten zählen alle Informationen, mit denen eine natürliche Person identifizierbar wird: beispielsweise Name, Geburtsdatum, Steueridentifikationsnummer, Kfz-Kennzeichen, Standort oder Onlinekennung. Ein Großteil dieser Angaben wird mehr oder minder regelmäßig in internen und externen Geschäftsprozessen genutzt. Andere Daten sind bei Aktivitäten abseits der offiziellen IT – auch als „Schatten-IT“ bekannt – entstanden und befinden sich an unbekannten Orten. Auch diese Daten müssen aufgespürt werden.
Zusätzlich zur IT ist an dieser Stelle auch das Know-how der Fachabteilungen und deren Experten und Poweruser gefragt. Sie kennen sämtliche Details über die in den Fachprozessen eingesetzten Daten am besten – und können gleichzeitig Licht in das Dunkel der Schatten-IT bringen. Zu den Aufgaben der IT gehört es zum Beispiel, eine nachprüfbare Dokumentation der internen und externen Datenquellen und der Datenflüsse zu erstellen, etwa auch der Datenflüsse in eine Private Cloud und der aus einer Public Cloud. Personenbezogene Daten müssen unter anderem dann verfügbar sein, wenn Betroffene ihr „Recht auf Vergessenwerden“ beziehungsweise das „Recht auf Löschung“ von einem Unternehmen einfordern.
Sicherheitsrisiken identifizieren
Vor dem Hintergrund der Geschäftstätigkeit eines Unternehmens und den dabei verarbeiteten personenbezogenen Daten identifizieren und priorisieren die externen Berater zusammen mit internen IT-Sicherheitsfachkräften in einer Ist-Analyse die vorhandenen spezifischen Sicherheitsrisiken. Zum Abschluss der Bestandsaufnahme entsteht eine Handlungsempfehlung. Sie vergleicht den Ist- mit dem Soll-Zustand und zeigt beispielsweise auf, welche Maßnahmen aufgrund der EU-DSGVO erforderlich sind und welche Schutzvorkehrungen vor dem Hintergrund der konkreten Sicherheitsrisiken zu implementieren sind. In einigen Fällen verfügen Unternehmen bereits über Vorgaben und Prozesse zur Informationssicherheit, auf die bei der Implementierung der EU-DSGVO aufgesetzt werden kann.
Die Umsetzung der Anforderungen aus der EU-DSGVO bedeutet für Unternehmen einen spürbaren finanziellen und personellen Aufwand. Wer sich bislang nur sporadisch damit befasst hat, geht ein erhebliches Risiko ein, sollte es zu Datenpannen kommen; es drohen massive Geldstrafen. Selbst wer erst jetzt mit externer Unterstützung und eigenem Personal das Datenschutzprojekt startet, kann noch wichtige Meilensteine auf dem Weg zur EU-DSGVO-Konformität erreichen. Dabei darf auch eines nicht vergessen werden: So aufwendig und kostenintensiv die Umsetzung der Datenschutzgrundverordnung zunächst auch sein mag, sie bietet auch Chancen. Denn letztlich handelt es sich dabei nicht um eine lästige Pflicht, sondern vielmehr um ein wichtiges Mittel für den Schutz persönlicher Daten in ganz Europa – und damit um ein entscheidendes Differenzierungsmerkmal im globalen Wettbewerbsumfeld.
* Kai Grunwitz ist Senior Vice President EMEA bei NTT Security
Bildquelle: NTT Security