DSGVO-konform mit datenzentrierter Strategie – Dreigeteilter Ansatz zur Erfüllung der DSGVO

Die Europäische Datenschutzgrundverordnung (DSGVO) stellt die größte Überarbeitung des Datenschutzrechts seit fast 20 Jahren dar. Bei Verstößen drohen schmerzhafte Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes beziehungsweise von bis zu 20 Millionen Euro – je nachdem, was höher ist. Viele Unternehmen sind sich immer noch unsicher, wie sie die weitreichenden Rechtsvorschriften am besten in ihre Unternehmensprozesse integrieren. Die Lösung liegt in einem Zusammenspiel aus drei Faktoren: Mitarbeiter, Prozesse und einem datenzentrischen Technologieansatz.

Quelle: Secupay Absmeier

Trotz hoher Geldstrafen bei Nicht-Erfüllung ist ein Großteil der deutschen Unternehmen immer noch nicht auf die DSGVO vorbereitet. Laut einer aktuellen branchenübergreifenden Studie der E-Mail-Marketing-Beratung Absolit und des Verbandes der deutschen Internetwirtschaft haben gerade einmal 13 Prozent der befragten Unternehmen ihre Prozesse an die neuen Regularien angepasst. Weitere 56 Prozent befinden mitten in der Prozessanpassung, 27 Prozent haben zum Zeitpunkt der Erhebung im März 2018 noch nicht einmal damit angefangen.

Die wesentliche Herausforderung der DSGVO liegt für Unternehmen in den Dokumentations- und Rechenschaftspflichten der DSGVO: Kunden müssen nun ihre ausdrückliche Zustimmung dazu geben, dass ihre personenbezogenen Daten gespeichert und verwendet werden dürfen. Darüber hinaus muss das Unternehmen dies nachweisen können. Wie personenbezogene Daten verarbeitet werden, wer darauf Zugriff hat und wie die Daten geschützt werden, müssen Unternehmen in einem »Verzeichnis von Verarbeitungstätigkeiten« festhalten. Zudem gilt, Daten dürfen nur zweckgebunden verwendet werden. Hat ein Kunde beispielsweise seine E-Mail-Adresse ausschließlich für einen Newsletter zur Verfügung gestellt, darf diese auch nur dafür genutzt werden. Darüber hinaus gibt es die Neuerung des Rechts auf Vergessenwerden, also einen Anspruch auf das Löschen von personenbezogenen Daten, wenn ein Betroffener dies verlangt. Auch dürfen DSGVO-relevante Daten nicht mehr außerhalb der EU gespeichert werden, es ist für Unternehmen daher von großer Wichtigkeit, jederzeit den Weg dieser Daten nachverfolgen zu können.

 

Dreigeteilter Ansatz für die DSGVO-Compliance

 

  1. Mitarbeiter: Sensibilisierung im Umgang mit personenbezogenen Daten

Die vielleicht größte Herausforderung besteht darin, das Mitarbeiterbewusstsein bezüglich des Umgangs mit personenbezogenen Daten zu schärfen. Mitarbeiterschulung spielt daher eine Schlüsselrolle, denn die Mitarbeiter sind diejenigen, die mit DSGVO-relevanten Daten am häufigsten in Kontakt kommen, deshalb helfen die besten Richtlinien und technischen Vorkehrungen wenig, wenn sich Beschäftigte darüber hinwegsetzen oder die Vorgaben halbherzig umsetzen. Darüber hinaus sollte mit den Mitarbeitern zusammengearbeitet werden, um personenbezogene Daten innerhalb des Unternehmens zu identifizieren, zu klassifizieren sowie zu bewerten, auf welche Weise sie verwendet werden.

 

  1. Datenzentrierte Prozesse implementieren

Die DSGVO erwartet von Unternehmen, dass sie Verfahren einführen, die es EU-Bürgern ermöglichen, ihre personenbezogenen Daten anzufordern, zu ändern oder auch löschen zu lassen. Diese Anfragen müssen »ohne unangemessene Verzögerung« bearbeitet werden. Das bedeutet, dass Unternehmen genau wissen müssen, wo sich die entsprechenden Daten befinden und wie sie gespeichert werden.

Sobald die im Rahmen der DSGVO zu schützenden Daten identifiziert wurden, müssen klare Prozesse für die Mitarbeiter eingerichtet werden. Dadurch wird sichergestellt, dass die Einhaltung der Vorschriften erreicht und aufrechterhalten wird. Diese Prozesse müssen strikt gesteuert werden, um sicherzustellen, dass nur die richtigen Daten an die hierzu berechtigten Personen weitergegeben werden. In den meisten Fällen handelt es sich dabei um eine Reihe von Genehmigungsstufen, die vom Datenschutzbeauftragten des Unternehmens überwacht werden. Der Datenschutzbeauftragte steht im Mittelpunkt aller Datenschutz- und Compliance-Aktivitäten und ist sowohl dem Vorstand als auch den Kunden gegenüber rechenschaftspflichtig.

 

  1. Technologie nutzen: Data Discovery und Datenklassifizierung

Bezüglich der IT-Sicherheit fordert die DSGVO, dass personenbezogene Daten durch angemessene technische und organisatorische Maßnahmen geschützt werden. Dies umfasst auch den Schutz vor unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust. Eine Data Discovery-Lösung kann Unternehmen dabei unterstützen, alle potenziell DSGVO-relevante Daten zu finden, ob auf Servern, Datenbanken, Laptops oder in der Cloud. Einmal aufgespürt, ermöglicht in einem zweiten Schritt die Klassifizierung dieser Daten nach Kontext, Inhalt und Benutzer die Verfolgung und Kontrolle der Bewegung von DSGVO-relevanten Daten. Es ist zudem äußerst wichtig, dass alle Data Discovery- und Kontrollaktivitäten fortgeführt werden, um sicherzustellen, dass alle Änderungen an den Daten im Laufe der Zeit erkannt und in den Compliance-Aktivitäten berücksichtigt werden.

 

Evaluierung geeigneter Datenklassifikationslösungen

Die Datenklassifizierung ist ein Prozess der konsequenten Kategorisierung von Daten nach bestimmten vordefinierten Kriterien, um sie effizient und effektiv zu schützen. Neben der Vereinfachung von Sicherheitsstrategien kann die Datenklassifizierung Unternehmen bei der Erfüllung von Governance-, Compliance- oder Regulierungsauflagen wie der DSGVO sowie beim Schutz von geistigem Eigentum unterstützen.

Wenn es darum geht, eine geeignete Datenklassifikationslösung zu finden, gibt es unterschiedliche Ansätze. Viele Lösungen sind heute automatisiert und die Klassifizierung kann kontextbezogen (zum Beispiel nach Dateityp oder Ort) oder inhaltsbezogen (zum Beispiel Fingerabdrücke) erfolgen. Diese Option kann teuer sein und ein hohes Maß an Feinabstimmung erfordern, ist aber nach der Inbetriebnahme extrem schnell und kann beliebig oft wiederholt werden. Eine Alternative zu automatisierten Lösungen ist ein manueller Ansatz, der es dem Anwender erlaubt, die Klassifizierung einer Datei selbst auszuführen. Dieser Ansatz stützt sich auf einen Datenexperten, der den Klassifizierungsprozess leitet, und kann zeitintensiv sein, doch je nach zu Grunde liegender Daten- oder Prozessstruktur kann in manchen Unternehmen ein manueller Ansatz von Vorteil sein.

Eine weitere Möglichkeit besteht darin, den Klassifizierungsprozess an einen Dienstleister oder ein Beratungsunternehmen auszulagern. Dieser Ansatz ist selten der effizienteste oder kostengünstigste, ermöglicht aber eine einmalige Klassifizierung der Daten und vermittelt dem Unternehmen eine gute Vorstellung davon, wo es in Bezug auf Compliance und Risiko steht.

Darüber hinaus sollte gewährleistet werden, dass es wirksame Feedback-Mechanismen gibt, die eine schnelle Berichterstattung sowohl nach oben als nach unten in der Unternehmenshierarchie ermöglichen. Dabei sollte der Datenfluss regelmäßig analysiert werden, um sicherzustellen, dass sich klassifizierte Daten nicht unbefugt bewegen oder an Orten ruhen, an denen sie sich nicht befinden sollten. Für eventuelle Probleme oder Unstimmigkeiten sollte eine unmittelbare Markierungsmöglichkeit zur Nachverfolgung gegeben sein.

 

Stück für Stück zur DSGVO-Konformität

Das Erreichen der DSGVO-Compliance mag sich wie ein harter Kampf anfühlen, aber der Schlüssel liegt darin, die Kernbestandteile der Gesetzgebung in überschaubare Abschnitte zu zerlegen und einen einheitlichen Ansatz für jeden Bereich anzuwenden. Da Daten heute in fast jedem Unternehmen weltweit eine zentrale Rolle spielen, ist die Fähigkeit, sie zu verfolgen, zu klassifizieren und zu schützen, kein Luxus mehr. Eine effektive Datenklassifizierung bildet den Grundstein jeder modernen Sicherheitsstrategie, die es Unternehmen ermöglicht, alle sensiblen und geschäftskritischen Daten schnell zu identifizieren und ihre Sicherheit jederzeit zu gewährleisten.

 

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

 


 

Keine Panik – 5 Last-Minute-Tipps zur EU-DSGVO

DSGVO: Tipps für die Vorbereitung

Auch die Website muss DSGVO-konform gestaltet werden

DSGVO-Ratgeber: Was Händler wissen müssen und wie zu handeln ist

Tipps, wie die richtige Technologie Unternehmen bei der DGSVO helfen kann

DSGVO für die Personalabteilung: Ohne System lässt sich die Gesetzgebung kaum einhalten

Die DSGVO und das digitale Marketing

DSGVO: Auch Vereine müssen die Vorgaben einhalten

Weitere Artikel zu