Neuer EU-Datenschutz: Was bedeutet das für Ihre Prozesse?

Disruptive Technologien sind ja schon von Haus aus eine Herausforderung für Unternehmen. Kommen auch noch schwerwiegende Änderungen der Rahmenbedingungen dazu, wird die Sache richtig fordernd, dann ist schnelles Handeln gefragt. Digitalisierung bringt zahllose neue Chancen für den deutschen Mittelstand, aber sie ist auch mit einer Vielzahl an Herausforderungen verbunden.

Im Falle des Datenschutzes sind sowohl Systeme (Datenbanken) als auch Prozesse (vernetzte Kommunikation) betroffen. Kurz: Datenschutz in Unternehmen muss neu und auf mehreren Ebenen gedacht werden. Ihre Aufgabe als IT-Leiter ist es, die neuen gesetzlichen Vorgaben einzuhalten, aber dabei die Performance Ihrer Systeme und Prozesse mindestens aufrechtzuerhalten. Ein herausfordernder Spagat.

Da, wo’s wehtut: Sensible Themen erfordern erhöhte Aufmerksamkeit

Das Medienecho auf die massenweise Weitergabe von Nutzerdaten durch ein großes soziales Netzwerk an die Digitalagentur Cambridge Analytica hätte heftiger nicht ausfallen können. Das zeigt die zentrale Bedeutung des Themas Datenschutz. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) betonte zuletzt, Datenschutz sei ein Grundrecht. Er schütze nicht nur die Menschenwürde, sondern auch die freie Entfaltung der Persönlichkeit. In der praktischen Umsetzung jedoch ist die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2018 in Kraft getreten ist, für viele Betriebe eine echte Hürde.

Innerhalb der Wirtschaft gibt es beim Angang dieser Thematik eine deutliche Spaltung: Etwa die Hälfte der beteiligten Unternehmen an einer Umfrage des Zentrums für Europäische Wirtschaftsforschung (ZEW) gibt an, die EU-DSGVO in erster Linie als eine Kosten- und Arbeitsbelastung wahrzunehmen, die ihre Geschäftsprozesse verkompliziere. 60 Prozent der Unternehmen haben sich aber bereits mit der Verordnung auseinandergesetzt. Seit ihrem Inkrafttreten sind jedoch alle Unternehmen verpflichtet, sämtliche erforderlichen Maßnahmen umgesetzt und dokumentiert zu haben. Bei einem Verstoß drohen erhebliche Geldstrafen bis zu 20 Millionen Euro bzw. bis zu vier Prozent des Jahresumsatzes. Diese Maßnahmen gemäß DSGVO müssen Sie umsetzen:

Aufbau eines nachhaltigen Datenschutzmanagementsystems

  • Datenschutzvorfälle müssen binnen 72 Stunden an die Aufsichtsbehörden gemeldet werden
  • Erweiterte Informationspflichten bei der Erhebung von personenbezogenen Daten
  • Erweiterung der Betroffenenrechte auf das Recht der Übertragbarkeit
  • Risikobewertung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten

Nachweis durch Zertifizierung

  • Nachweis zur Erfüllung der Pflichten durch den Einsatz geeigneter technischer und organisatorischer Maßnahmen bei der Verarbeitung
  • Nachweis der Einhaltung des Datenschutzes durch Technikgestaltung und durch datenschutzrechtliche Voreinstellungen (Art. 25 Abs. 3 DSGVO)
  • Nachweis der Garantien des Auftragsverarbeiters (Art. 28 Abs. 5 und 6 DSGVO)
  • Nachweis zur Einhaltung und Umsetzung im Rahmen der Sicherheit der Verarbeitung (Art. 32 Abs. 3 DSGVO)
  • Garantie zur Datenübermittlung an ein Drittland oder internationale Organisation (Art. 46 Abs. 2 f. DSGVO)

Sicherheit der Verarbeitung

  • Gewährleistung der Sicherheit der Verarbeitung
  • Umsetzung der Schutzmaßnahmen sollte nicht nur für personenbezogene Daten gelten, sondern für alle Arten von Daten (Synergieeffekte)
  • Ermittlung des Schutzbedarfs der Daten zur Beurteilung eines angemessenen Schutzniveaus
  • Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit sowie Belastbarkeit
  • Weitere Maßnahmen von 14 Gewährleistungszielen gemäß § 64 des Gesetzentwurfs zum Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU)
  • Nachweis der Konformität, beispielsweise auch durch Zertifizierung (z. B. ISO 27001)

 

Gehen Sie Digitalisierung aktiv an, und sichern Sie Ihre Geschäftsdaten!

Zunächst sollten Unternehmen ihre Prozesse auf Richtlinienkonformität überprüfen und gegebenenfalls anpassen. Startpunkt ist immer die Dokumentation, also die strukturierte Erfassung sämtlicher datenschutzrelevanter Prozesse in einem Verarbeitungsverzeichnis mit allen Verarbeitungstätigkeiten.

Dann können die Risikoanalyse und eine Datenschutz-Folgenabschätzung stattfinden. In diesem Zuge werden alle Prozesse klar und – wenn nötig – neu definiert. Das gilt für Speicher-, Sicherheits- und Zugriffsrichtlinien. Im letzten Schritt werden alle Mitarbeiter für den Datenschutz sensibilisiert und in Schulungen mit den neuen Richtlinien und Prozessen vertraut gemacht.

Kurz und knapp: Checkliste für die Umsetzung Ihrer Datenschutzmaßnahmen

> Schulen Sie alle Beteiligten im richtigen Umgang mit Daten, auch die Geschäftsleitung

> Ermitteln und dokumentieren Sie die bestehende IT- und Datenstruktur

> Erarbeiten Sie Konzepte für die etwaige Löschung von Daten

> Erarbeiten Sie Szenarien für eine Datenübertragung auf andere Systeme

> Etablieren Sie interne Kontrollprozesse zur Einhaltung der DSGVO

Cloud Computing: Erkennen und nutzen Sie die Chancen

Gerade die Prozessanalyse birgt – im Einklang mit der EU-DSGVO – die Chance, Abläufe in Ihrem Unternehmen zu optimieren und Potenziale zur Datennutzung für Big-Data-Analysen oder neue Services zu nutzen. Manche Firmen fürchten zwar, dabei die Kontrolle über die eigenen Daten einzubüßen. Allerdings ist die Gefahr, Daten zu verlieren oder Opfer eines Datendiebstahls zu werden, auf lokalen Servern meist größer als bei professionellen Cloud-Computing-Dienstleistern. Denn diese verfügen über modernste technische Sicherheitsstandards, die stetig aktualisiert werden, was vor allem für kleinere und mittelständische Unternehmen (KMU) nur schwer bis kaum realisierbar ist.

Im Cloud Computing liegt für KMU also ganz klar eine Lösung für die vielen Herausforderungen der digitalen Transformation. Mit Cloud-Diensten können beispielsweise Software, Infrastruktur und Wartung aus einer Hand bezogen werden. Dabei sind diese Lösungen flexibel an sich verändernde äußere Umständen und interne Veränderungen anpassbar, entsprechen immer den gegenwärtigen gesetzlichen oder marktspezifischen Erfordernissen und sparen so bares Geld. Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) wird nun dafür sorgen, dass der Umgang mit sensiblen Daten noch sicherer werden muss. Für Sie ein guter Zeitpunkt zum Umdenken in Richtung Cloud.