In einem Jahr, ab dem 25. Mai 2018, endet die Übergangsfrist für die Einführung der Datenschutzgrundverordnung. Das bedeutet, dass ab diesem Zeitpunkt Unternehmen mit Strafen rechnen müssen, wenn die Anforderungen an das neue Gesetz nicht erfüllt werden. Laut Bitkom kann diese für Datenschutzverstöße bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen.
Mit den folgenden 11 Tipps sollte eine optimale Umsetzung gelingen.
- Verantwortung: DSGVO braucht eine Zuständigkeit
Rechtlich gesehen ist es klar, wer für die Umsetzung der DSGVO verantwortlich ist. Im Datenschutz ist die Geschäftsführung die verantwortliche Stelle, bestimmte Aufgaben liegen bei dem Datenschutzbeauftragten, sofern ein solcher benannt werden muss. Wann das der Fall ist und was ein Datenschutzbeauftragter zu tun hat, regelt das Gesetz.
Trotzdem wird in vielen Unternehmen die Verantwortung hin und her geschoben. Das muss sich ändern, denn ohne verantwortliche Personen bricht der Countdown zur DSGVO ab, bevor er begonnen hat. Eine Umfrage von Veritas beleuchtet das Problem: 32 Prozent sehen den Chief Information Officer in der Verantwortung für die DSGVO. 21 Prozent gaben den Chief Information Security Officer an, 14 Prozent setzten den Haken beim Chief Executive Officer, und rund zehn Prozent sind der Meinung, die Verantwortung liege in den Händen vom Chief Data Officer. Ganz gleich, welche Rollen es im Unternehmen gibt oder nicht, die Zuständigkeit für die weitere Umsetzung der DSGVO muss geklärt sein.
- Awareness: Nicht nur Nutzer schulen, auch die Geschäftsleitung
Es wird so viel über die Datenschutz-Grundverordnung (DSGVO / GDPR) berichtet, dass man annehmen sollte, dass es inzwischen ausreichend Awareness dafür gibt. Laut der IDC-Studie „Mobile Security in Deutschland 2017“ bereiten sich 74 Prozent der IT-Entscheider auf die Umsetzung der DSGVO vor, bei nur fünf Prozent der IT-Entscheidern ist das Thema noch nicht präsent. Die Frage ist aber, wie weit und wie umfassend diese Vorbereitung der IT-Entscheider aussieht.
Eine Studie des Marktforschers Morar für Palo Alto Networks zum Beispiel ergab: Etwa die Hälfte der IT-Experten (47 Prozent) geht von schwierigen Gesprächen mit der Geschäftsleitung über die neuen Meldepflichten bei Sicherheitsvorfällen aus. Diese Meldepflichten sind aber nichts, über das man diskutieren kann, sie sind umzusetzen, auch wenn dies schwierig ist. Deshalb muss nun umgehend die Geschäftsleitung umfassend über alle Forderungen der DSGVO und die möglichen Sanktionen bei fehlender Umsetzung informiert werden.
- Budget: Verfügbares Budget überprüfen und anpassen lassen
So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Die Awareness der Geschäftsleitung wird für den notwendigen Rückenwind sorgen, um die zahlreichen Anpassungen zur Vorbereitung auf die DSGVO auch durchführen zu können. Die Kosten für die Datenschutzmaßnahmen müssen richtig bewertet werden, indem die möglichen Kosten eines mangelhaften Datenschutzes auf den Tisch kommen. Neben dem Imageverlust bei einer Datenpanne drohen nicht nur Kunden- und Umsatzverlust, sondern auch deutlich höhere Bußgelder als bisher.
Wenn also die IDC-Umfrage „The State of the Art Paradox“ ergab, dass die Pflicht zur Meldung von Datensicherheitsverletzungen den europäischen Unternehmen Kopfschmerzen bereitet und 48 Prozent der Befragten den Kostenfaktor als Grund dafür nennen, ist es höchste Zeit, das Budget für Datenschutz und Datensicherheit auf einen festen Grund zu stellen, bei Bedarf anzupassen und zu erhöhen.
- Übersicht: IT- und Daten-Struktur genau ermitteln und dokumentieren
Es fehlt immer noch an Transparenz: Viele Unternehmen haben sich auf die Großbaustellen wie die Meldepflichten gestürzt, ohne jedoch genau zu wissen, wo überall Datenpannen drohen können. Die Unternehmen kennen ihre IT-Infrastruktur nicht genau genug, bei der Datenhaltung sieht es nicht besser aus. Probleme bereiten nicht nur Entwicklungen wie BYOD (Bring Your Own Device) und die sogenannte Schatten-IT. Selbst die klassische IT-Struktur der Unternehmen ist inzwischen so komplex, dass die Übersicht fehlt.
Die Ist-Analyse beginnt aber mit der IT- und Daten-Struktur. Der Global Databerg Report von Veritas zeigt jedoch, dass es hier bei vielen Unternehmen Unklarheiten gibt: Die größten Herausforderungen im Rahmen von DSGVO sind die Fragmentierung von Daten und der fehlende Einblick in die Daten. Diese Probleme gaben rund 35 Prozent der Befragten als ihre größte Sorge an.
- Löschkonzept: Recht auf Vergessenwerden richtig angehen
Das Löschen von Daten war für viele Unternehmen schon immer ein Problem. Die erweiterten Löschpflichten durch das neue Recht auf Vergessenwerden machen dieses Problem noch größer: 69 Prozent der deutschen Unternehmen glauben laut einer Compuware-Umfrage, in der Lage zu sein, alle Daten effizient zu löschen, falls die betroffene Person dies gemäß dem „EU-Recht auf Vergessenwerden“ wünscht. Gleichzeitig sagen 76 Prozent der deutschen Unternehmen, dass die Komplexität moderner IT-Services dazu führt, dass sie nicht immer wissen, wo sich ihre Kundendaten genau befinden. Offensichtlich müssen viele Unternehmen ihre Löschkonzepte nochmals genau angehen.
- Betroffenenrechte: Auf Datenübertragungen vorbereitet sein
Zu den Rechten der Betroffenen, also den Inhabern der jeweiligen personenbezogenen Daten, gehört auch das Recht auf Datenübertragbarkeit von einem Anbieter auf einen anderen Anbieter. Abgesehen davon, dass oftmals die notwendigen Schnittstellen und gängigen, maschinenlesbaren Formate dafür noch nicht geschaffen sind, können Unternehmen kaum alle notwendigen Daten eines Betroffenen übertragen, wenn gar nicht klar ist, wo die Daten genau sind. Erneut wird deutlich, dass die Unternehmen nicht ausreichend vorbereitet sind, um zum Beispiel die Betroffenenrechte nach DSGVO auch umsetzen zu können.
- Belastbarkeit: Widerstandskraft der IT stärken
Zu den Forderungen an die Sicherheit der Verarbeitung nach DSGVO gehört auch die Belastbarkeit der IT. Diese für den Datenschutz bisher nicht explizit aufgestellte Forderung muss in vielen Unternehmen noch deutlich besser angegangen werden. 40 Prozent der deutschen Organisationen geben an, dass ihre Widerstandskraft gegen Cyber-Angriffe in den vergangenen zwölf Monaten nicht gewachsen ist, so der zweite Ponemon Cyber Resilient Enterprise-Report. Die Widerstandskraft der IT muss also dringend auf die Agenda der nächsten Monate.
- Sicherheit: Endlich mehr für die Verschlüsselung tun
Eine weitere Forderung an die Sicherheit der Verarbeitung, die die DSGVO explizit nennt, ist die Verschlüsselung. Hier haben Unternehmen bekanntlich seit vielen Jahren Umsetzungsprobleme. Mit der DSGVO gibt es sehr gute Gründe, die Verschlüsselung nun wirklich anzugehen. Unter anderem gilt: Wurden die Daten verschlüsselt, müssen betroffene Personen im Falle einer Datenschutzverletzung nicht benachrichtigen werden (Artikel 34 DSGVO: Die Benachrichtigung der betroffenen Person ist nicht erforderlich, wenn die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung).
- Dokumentation: Datenschutzmaßnahmen ergreifen und dokumentieren
Auch wenn vielen Unternehmen das Thema Dokumentation lästig erscheint, müssen Datenschutzmaßnahmen nicht nur umgesetzt, sondern auch die Umsetzung und deren Kontrolle dokumentiert sein. Solche Dokumentationen möchten die Aufsichtsbehörden sehen, wenn es zu einer Prüfung kommt. Insbesondere müssen solche Dokumentationen verfügbar sein, wenn es zu einer Datenschutzverletzung gekommen ist.
- Kontakt mit Aufsichtsbehörde: Aufsicht auch als Partner sehen
Die Aufsichtsbehörden für den Datenschutz werden gedanklich meist mit Kontrollen und Bußgeldern in Verbindung gebracht. Natürlich hat dies mit ihren Aufgaben zu tun. Unternehmen sollten jedoch die Aufsichtsbehörden auch als Beratung und Unterstützung ansehen. Immerhin kämpfen auch die Aufsichtsbehörden mit den Vorbereitungen auf die DSGVO und kennen die Herausforderung. Das bedeutet jedoch nicht, dass man von einer Schonfrist ausgehen kann. Die Anwendung der DSGVO muss ab dem 25. Mai 2018 erfolgen.
- Evaluierung der Wirksamkeit: Prozess zur internen Kontrolle einrichten
Wenn der Countdown abgelaufen ist und hoffentlich alle Lücken geschlossen sind, geht es weiter (oder erst richtig los). Wie in Management-Systemen gefordert, sieht auch die DSGVO einen Prozess der regelmäßigen Überprüfung und Anpassung vor. So gehört zum Beispiel zur Sicherheit der Verarbeitung ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit. Entsprechende Prozesse muss es für alle Abläufe und Aufgaben im Datenschutz geben. Der Countdown beendet also nicht die Bemühungen, er ist vielmehr die Grundlage für den richtigen Start in die DSGVO.
Weitere Artikel zur EU-Datenschutz-Grundverordnung:
- EU-Datenschutz-Grundverordnung: HPE stellt Starter Kit vor
- EU-Datenschutz-Grundverordnung: Bußgelder könnten drastisch steigen
- EU-Datenschutz-Grundverordnung: weniger als 500 und fallend
- Datenschutz-Grundverordnung: Was Cloud-Nutzer beachten sollten
- Der Mittelstand braucht neue Mobile Security-Konzepte
- EU-Datenschutz-Grundverordnung: Kaspersky Lab bietet Unternehmen Online-Angebot und Assessment-Tool
- DSGVO: 11 Tipps für die optimale Umsetzung
- Wie es mit Datenübermittlungen in Drittstaaten weitergeht
- Was Sie jetzt über Datenschutz-Zertifikate wissen müssen
- Studie: Viele Unternehmen sind noch nicht auf Umsetzung der DSGVO vorbereitet