EU-DSGVO & personenbezogene Daten: Diese sechs Fragen müssen Unternehmen sich jetzt stellen

Illustration: Absmeier, DasWortgewand

In der gesamten Europäischen Union regelt die EU-Datenschutzgrundverordnung (EU-DSGVO) bald den Umgang mit persönlichen Daten. Sie tritt im Mai 2018 in Kraft – es ist also höchste Zeit, sich mit ihren Anforderungen auseinanderzusetzen. Ziel der neuen Verordnung ist der Schutz personenbezogener Daten. Um den Umgang mit ihnen regelkonform zu gestalten und keine Bußgelder zu riskieren, sollten sich die dafür Verantwortlichen im Unternehmen folgende sechs Fragen stellen.

 

  1. Wie stehen meine aktuellen Maßnahmen (Richtlinien, Prozesse, Dokumentationen) zum neuen Gesetz?
    Der erste Schritt ist offensichtlich, doch umfangreich zugleich, und kann bestenfalls durch IT-gestützte Methoden begleitet werden. Im Wesentlichen müssen die bisherigen Maßnahmen, die hoffentlich schon im Rahmen der bestehenden Regelungen (u.a. des Datenschutzgesetzes) umgesetzt worden sind, gegen die neuen abgeglichen werden, beziehungsweise neu implementiert werden. Dabei können Experten unterstützen, die sowohl alte als auch neue Gesetze kennen und in kurzer Zeit mit den Fachverantwortlichen im Unternehmen einen Schlachtplan entwickeln. Aus diesem werden die Handlungsanweisungen generiert, die die Arbeit an diesem Thema strukturieren.
  2. Wie finde ich personenbezogene Daten?
    Wichtig ist in diesem Zusammenhang, die Systeme zu identifizieren, die personenbezogene Daten verarbeiten, denn nur diese sind vom Gesetz betroffen. So einfach es auch klingen mag, bei der Suche nach personenbezogenen Daten hilft Verantwortlichen zu Beginn: nachdenken. Dabei werden ihnen interne Datenbanken, CRM-, ERP- und HR-Systeme einfallen und sie werden sich weitere Fragen stellen: »Tauschen wir personenbezogene Daten mit anderen Unternehmen aus?«, »Wo liegen Bewerbungen ab, die wir elektronisch bekommen?« und »Enthalten unsere E-Mails personenbezogene Daten?«.
    Kleine und mittelständische Unternehmen finden so wahrscheinlich bereits 95 Prozent der personenbezogenen Daten. Bei der weiteren Suche hilft Software, beispielsweise Guardium aus der Security-Linie von IBM. Die Lösung durchsucht strukturiert abgelegte Daten in relationalen Datenbanken. Sie orientiert sich bei Tabellen an den Spaltenüberschriften, etwa »Namen«. Für die Erkennung weiterer personenbezogener Daten innerhalb der Datenbanken nutzt Guardium zudem eine Bibliothek mit zahlreichen Mustern, zum Beispiel Namen, Telefonnummern, IP-Adressen, und viele andere mehr. Findet sie in einer Datenbank personenbezogene Daten, weist sie darauf hin und katalogisiert diese. IBM Guardium zeigt also zunächst den Ist-Zustand an. In einem nächsten Schritt kann die Lösung die Datenbank überwachen und zum Beispiel gefundene personenbezogene Daten blockieren.
    Für Daten in E-Mail-Servern, Dateiablagen und im Enterprise Content Management führt dieser Ansatz nicht zum Ziel: zu unstrukturiert liegen die Daten vor. Stattdessen wird die Lösung StoredIQ, ebenfalls von IBM, eingesetzt: Sie durchsucht über diverse Adaptoren die unterschiedlichsten Quellen und öffnet verschiedene Dateiformate, um die Inhalte nach Mustern zu durchleuchten. So findet sie personenbezogene Daten etwa in Exchange-Servern, Lotus Notes oder Sharepoint, ebenso wie in ZIP-Dateien, Textdateien und E-Mails inklusive Anhängen. Treffer protokolliert und katalogisiert das Programm. Ebenso können betroffene Dokumente in Quarantäne verschoben oder automatisiert gemeldet werden.
  3. Wie separiere ich personenbezogene Daten für weitere Verarbeitung, zum Beispiel Big-Data-Analyse?
    Nach diesem ersten Schritt verfügt man über einen Katalog der personenbezogenen Daten. Unter Umständen ist es notwendig, personenbezogene Daten zu separieren. Unternehmen müssen Informationen über ihre Kunden anonymisieren, wenn sie sie nach bestimmten Aspekten analysieren wollen, ohne die Vorgaben der EU-DSGVO zu verletzen und ohne die Erlaubnis aller Betroffenen einzuholen. So ist es führenden Online-Händlern beispielsweise möglich, Vorschläge wie »andere Kunden kauften auch…« zu unterbreiten. Krankenkassen anonymisieren die Daten ihrer Versicherten, bevor sie diese EU-DSGVO-konform analysieren. So können sie etwa herausfinden, wie hoch die Wahrscheinlichkeit ist, dass ein Versicherter, der Krankheit 1 und Krankheit 2 hat, auch Krankheit 3 bekommen wird.
  4. Wie lösche ich Daten EU-DSGVO-konform und protokolliere dies korrekt?
    Es gibt verschiedene Gründe, personenbezogene Daten zu löschen. So können interne beziehungsweise gesetzliche Vorschriften die Löschung verlangen oder Personen fordern sie.
    Die Vorgehensweise ist unterschiedlich.
    Für die durchgängige Einhaltung der Vorschriften und der Dokumentation der Einhaltung eignen sich Programme für Information Lifecycle Management (ILM). In diesen werden unter anderem Verfallsdaten und Prozesse definiert, mit denen automatisiert Daten mit einem gewissen Alter gelöscht werden und darüber ein Protokoll für etwaige Nachweise erstellt wird.
    Möchte dagegen eine Person, etwa ein Kunde, dass seine Daten gelöscht werden, dann umfasst diese Anfrage oft mehr als eine einzige Tätigkeit. Zudem müssen dann alle involvierten Tätigkeiten ebenfalls dokumentiert werden. Solche Anfragen lassen sich automatisiert mit einer EDV-gestützten Fallbearbeitung bearbeiten, beispielsweise mithilfe des IBM Case Managers. Diesem überträgt man den Fall. Er nimmt den Fall an, informiert die relevanten Personen und triggert die notwendigen Prozesse, bis schließlich der Kunde die gewünschte Auskunft erhält. Diese Vorgänge können soweit automatisiert werden, dass der Case Manager den Kundennamen automatisch an StoredIQ oder eine ähnliche Lösung weiterleitet. Diese sucht dann im Unternehmensdatenbestand nach Daten, Dateien, und Informationen über diesen Kunden. Dateien, die solche Informationen enthalten, werden verschoben und ein Mitarbeiter über die bevorstehende Löschung informiert. Er prüft, ob etwas gegen die Löschung spricht, etwa anderweitig verpflichtende Aufbewahrungsfristen. Ist dies nicht der Fall, stimmt er der Löschung der entsprechenden Informationen zu. Diese wird protokolliert und der Kunde erhält eine Information, welche Daten das Unternehmen über ihn vorliegen hatte, die jetzt gelöscht wurden.
  5. Was passiert mit aufzubewahrenden Daten?
    Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Zum Datenschutz gehört auch die Datensicherheit. Das heißt, Unternehmen müssen personenbezogene Daten mit technischen und organisatorischen Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung und Verlust schützen. Die EU-DSGVO fordert, dass sowohl der Verantwortliche, als auch der Auftragsverarbeiter dazu geeignete technische und organisatorische Maßnahmen umsetzt. Dazu sind der Stand der Technik zu berücksichtigen, aber auch die Implementierungskosten, die Art, die Umstände und der Zweck der Datenverarbeitung. Ebenfalls relevant sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten. Fazit: Aufzubewahrende Daten müssen also mithilfe der aktuell vorhandenen technischen Lösungen sicher sein gegen Bearbeitung, Veränderung, Zerstörung, Diebstahl und Verlust.
  6. Wer ist für die korrekte Behandlung personenbezogener Daten verantwortlich?
    Verantwortlich dafür, dass die Datenschutzgrundverordnung eingehalten wird und personenbezogene Daten richtig aufbewahrt, bearbeitet und gelöscht werden, ist die Geschäftsleitung des für die Datei verantwortlichen Unternehmens. Denn sie gibt auch Budget, Strategie und Zweck der Datenverarbeitung vor. Diese Verantwortung lässt sich nicht delegieren. Lediglich die Aufgaben, die zur Einhaltung der DSGVO dienen, können etwa an den IT-Leiter oder einen Datenschutzbeauftragten weitergegeben werden. Auch wenn ein Auftraggeber und ein Dienstleister an Daten arbeiten, bleibt die Verantwortung bei demjenigen, der Strategie und Zwecke der Verarbeitung vorgibt.

 

Fazit:
Für Unternehmen, die noch nicht auf die EU-DSGVO vorbereitet sind, ist es noch nicht zu spät, wenn auch höchste Zeit, anzufangen. Die verantwortlichen Führungsebenen in Unternehmen müssen dafür dringend entsprechende Budgets bereitstellen und strategische Vorgaben für die Umsetzung der DSGVO machen. Die Frage, »Setzen wir Datenschutz um, oder riskieren wir ein Bußgeld?«, stellt sich nicht mehr. Jetzt gilt es, sich einen Überblick zu verschaffen, geeignete Maßnahmen zu erarbeiten und diese mithilfe der verfügbaren, technischen Lösungen umzusetzen.

Marc Bastien, Solution Architect bei Axians IT Solutions

 


 

Schärfere Vorgaben beim Datenschutz: Endspurt für die Vorbereitung auf die DSGVO

Illustration: Absmeier, DasWortgewand

Der Countdown läuft: Bis zum 25. Mai 2018 müssen Unternehmen die Neuerungen der seit 2016 geltenden Datenschutz-Grundverordnung (DSGVO) umgesetzt haben. Die Verschärfungen betreffen vor allem die Rechenschafts- und Nachweispflicht beim Umgang mit personenbezogenen Daten sowie die Meldepflicht im Fall von Datenpannen. Gleichzeitig steigt auch die Höhe möglicher Bußgelder deutlich. Um auch in Zukunft rechtskonform aufgestellt zu sein, müssen Prozesse angepasst oder neu aufgesetzt werden.

Die neuen Datenschutzrichtlinien gemäß der DSGVO betreffen alle Unternehmen gleichermaßen. Überall, wo zur Erledigung von Aufträgen personenbezogene Daten erhoben und gespeichert werden, ist künftig noch mehr Sorgfalt gefragt. Ein wesentlicher Aspekt der Neuregelung ist die Verschärfung der sogenannten Rechenschafts- oder Nachweispflicht. So müssen Unternehmen künftig jederzeit nachweisen können, dass sie verwendete Daten rechtmäßig verarbeiten. »Ein solcher Nachweis kann beispielsweise über entsprechende Einwilligungen oder Verträge mit dem jeweiligen Kunden erbracht werden«, erläutert Timo Gehle, Leiter IT-Strategie, IT-Sicherheit & Datenschutz im Consulting der DATEV eG. Im Rahmen seiner Tätigkeit nimmt er auch die Aufgabe des externen Datenschutzbeauftragten für Steuerberatungskanzleien und Unternehmen wahr und kennt daher die mit Datenschutzfragen verbundenen Probleme aus seiner täglichen Praxis.

 

Rechenschafts- und Nachweispflicht

Darüber hinaus gelten von Mai an grundsätzlich schärfere Bestimmungen für den Umgang mit personenbezogenen Daten. »Sie dürfen überhaupt nur für bestimmte und festgelegte Zwecke erhoben und verarbeitet werden«, so Gehle. »Außerdem müssen Unternehmen sicherstellen, dass falsche Daten unverzüglich berichtigt oder gelöscht werden.« Daten, die nicht mehr benötigt werden, sind ebenfalls sofort zu löschen. Darüber hinaus gilt für personenbezogene Daten, dass sie über technisch-organisatorische Maßnahmen angemessen gegen unrechtmäßige Verarbeitung geschützt und vor unbeabsichtigtem Verlust oder Zerstörung gesichert sein müssen. Verstöße gegen die Rechenschaftspflicht können Unternehmen bis zu vier Prozent ihres Jahresumsatzes (maximal 20 Millionen Euro) kosten.

Der gleiche Bußgeldrahmen gilt auch bei Verstößen gegen die sogenannten Betroffenenrechte. »Dazu zählen die Informationspflicht des Unternehmens, das Auskunftsrecht des Betroffenen sowie – je nach Situation – sein Recht auf Berichtigung oder Löschung«, fasst Datenschutz-Experte Timo Gehle zusammen. »Deshalb ist es in diesem Bereich unbedingt nötig, entsprechende Prozesse aufzusetzen und nachvollziehbar zu dokumentieren.«

 

Datenpannen zügig melden

Klar definiert ist in der DSGVO der Umgang mit Datenpannen. Diese müssen binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Ebenso sind die potenziell Betroffenen unverzüglich zu informieren. »Diese Verpflichtung können Unternehmen nur einhalten, wenn sie dafür spezielle Mechanismen etabliert haben«, stellt Gehle fest. »Darüber muss sich unmittelbar nach Bekanntwerden einer Datenpanne feststellen lassen, wer von der Panne betroffen ist und ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht.« Darüber hinaus muss im Prozess definiert sein, wie der Vorfall anschließend dokumentiert wird und wie sichergestellt ist, dass die Meldung an die Aufsichtsbehörde im vorgegebenen Zeitrahmen erfolgt. Unternehmen, die gegen die Vorgaben verstoßen, können mit einem Bußgeld von bis zu zwei Prozent ihres Jahresumsatzes (maximal 10 Millionen Euro) belegt werden.

 

Datenschutzbeauftragter wird noch wichtiger

Nach wie vor müssen Unternehmen, in denen mehr als neun Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten (DSB) benennen. Dessen Position wird sogar gestärkt: Sollte er bislang auf die Einhaltung der datenschutzrechtlichen Regeln im Betrieb hinwirken, ist er künftig dafür zuständig, diese Einhaltung zu überwachen. Damit die Beauftragten diese neue Aufgabe ausfüllen können, sollten Unternehmen verstärkt auf deren entsprechende Aus- und Fortbildung achten. »Vor dem Hintergrund der verschärften Regelungen empfiehlt sich, die Qualifikation des DSB noch einmal zu überprüfen«, betont Timo Gehle und ergänzt: »Ab Mai 2018 müssen die Kontaktdaten des Datenschutzbeauftragten auch öffentlich zugänglich gemacht und den Aufsichtsbehörden gemeldet werden.«

 

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

EU-DSGVO: Mitarbeiter-Smartphones werden zur Gefahrenquelle

Privacy Shield versus DSGVO: Zweierlei Maß beim Datenschutz

Datensicherheit 2018: Ransomware, RPO/RTO, Cloud und DSGVO 2018 im Trend

Globale Unternehmen sind nicht bereit für die DSGVO

DSGVO: Der Countdown läuft – ist Ihr Unternehmen auf die neue Datenschutz-Grundverordnung vorbereitet?

DSGVO 2018 birgt große Nachteile für kleine Unternehmen

Die meisten Unternehmen werden bei der rechtzeitigen Umsetzung der DSGVO scheitern

Weitere Artikel zu