Illustration: Absmeier
In weniger als 100 Tagen tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Für Unternehmen, die bislang noch keine Maßnahmen ergriffen haben, um der neuen EU-Verordnung zu entsprechen, gilt: Kein Grund zur Panik. BlackBerry zeigt, wie Sie sich mit einem fokussierten und strategischen Ansatz bis zum 25. Mai für die DSGVO bereit machen.
Die drei Meilensteine:
Noch 90 Tage
Führen Sie zunächst eine gründliche Prüfung durch. Welche personenbezogenen Daten besitzt oder verarbeitet Ihr Unternehmen, wo sind sie gespeichert, wie und von wem werden sie verwendet? Denken Sie daran: Viele Organisationen besitzen mehr als sechsmal so viele Daten, als sie eigentlich benötigen, und dreimal so viele, wie sie besitzen sollten.
Die wahrscheinlichste Ursache für die Verhängung von DSGVO-Strafen ist ein unzureichender Datenschutz oder der fehlende Nachweis, dass die Vorschriften eingehalten werden. Um zu wissen, wo sich potenzielle Lücken befinden, benötigt man eine grundlegende Übersicht über die Datenbestände. Darüber hinaus sollte man die Datenverwaltung vereinfachen – entweder durch eine Reduzierung der Datenmenge oder der Anzahl der Personen, die auf sie zugreifen dürfen.
Falls dies noch nicht geschehen ist, sollten Organisationen sofort damit beginnen und sich mit der Dateneinwilligung und den Möglichkeiten der rechtmäßigen Datenverarbeitung sowie der Entwicklung eines Rahmens für den Umgang mit Daten befassen. Organisationen sollten in der Lage sein, jede Datenentscheidung zu dokumentieren, um die DSGVO-Konformität nachweisen zu können.
Noch 60 Tage
Engagement und die Unterstützung durch das Management sind für die DSGVO-Konformität von entscheidender Bedeutung. Der Datenschutzbeauftragte muss unabhängig und entsprechend befugt sein. Hierzu gehört beispielswiese innerhalb der Organisation Zukäufe tätigen zu dürfen, um Richtlinien und Protokolle einführen zu können, die die Einhaltung der DSGVO vom ersten Tag an gewährleisten. Nehmen Sie den 60-Tage-Meilenstein als Ansporn für einen DSGVO-Auffrischungskurs, um sicherzustellen, dass alle Mitarbeiter auf dem neuesten Stand sind.
Noch 30 Tage
Auch mit strategischen Wissenszukäufen gibt es keine Garantie dafür, dass Wissen langfristig im Unternehmen haften bleibt – auch nicht bei externen Dienstleistern, die ebenfalls die DSGVO-Konformität nachweisen müssen. Deshalb ist es sinnvoll, am 30-Tage-Meilenstein einen DSGVO -Bewusstseinsmonat zu beginnen. Dies zielt darauf ab, alle Mitarbeiter und Partner darüber zu informieren, was die Vorschriften für das Unternehmen und speziell für sie vorschreiben.
Minimales Risiko, maximaler Ertrag
Alle diese Maßnahmen sind auf ein zentrales Ziel ausgerichtet: Mögliche Risiken zu erkennen und zu minimieren. Daten sind wertvoll, aber je mehr Daten von einer Organisation erfasst werden, desto wahrscheinlicher ist es, dass ein Risiko entsteht – entweder aufgrund fehlender Zustimmung zur Verwendung der Daten oder durch Lecks und Missbrauch durch nicht informierte Mitarbeiter.
Verantwortungsvoll genutzte Daten können das größte Kapital eines Unternehmens sein. Mit einem fokussierten, intelligenten Ansatz für die DSGVO-Vorbereitung wird es viel einfacher, dieses Ziel zu erreichen.
Informationen zu dem DSGVO-Beratungsangebot von BlackBerry finden Sie unter https://de.blackberry.com/enterprise/gdpr
3 von 4 Unternehmen nicht EU-DSGVO-ready
3 von 4 Großunternehmen fühlen sich nicht für die EU-DSGVO gerüstet, so das Ergebnis der Marktforschungsreihe ECM Insights 2017 der SER-Gruppe [1]. Alarmierend dabei: Mehr als 45 Prozent haben überhaupt noch kein Rezept, wie sie die neuen Anforderungen erfüllen sollen.
Der Countdown zur EU-Datenschutzgrundverordnung (EU-DSGVO) läuft: Bis zum 25.05.2018 müssen Unternehmen die neuen Datenschutzanforderungen erfüllen. Ansonsten wird es teuer: So drohen bei Vergehen empfindliche Strafen bis zu 20 Millionen Euro oder 4 Prozent des Gesamtumsatzes (je nachdem, welcher Wert höher ist). Umso dramatischer ist, dass 75 Prozent der befragten Großunternehmen im DACH-Raum trotz der hohen Geldbußen noch immer nicht auf die EU-DSGVO-Anforderungen vorbereitet sind. 45 Prozent wissen noch überhaupt nicht, wie sie die neuen Anforderungen wie das »Recht auf Vergessenwerden« – also das vollständige Löschen personenbezogener Informationen auf Anfrage – erfüllen sollen.
Verstreute Informationen als Knackpunkt
Der Casus knacksus ist schnell ausgemacht: Bei vielen Unternehmen durchziehen voneinander getrennte Informationssilos die IT-Landschaft. Personenbezogene Informationen liegen oftmals verstreut etwa in Altarchiven und weiteren Legacy-Systemen, Filesystemen oder auch in E-Mail-Postfächern. Das führt laut 77 Prozent der 1.826 befragten CIOs, Prozessverantwortlichen & IT-Leiter zu Problemen etwa beim Informationszugang – und erschwert die Einhaltung der EU-DSGVO-Anforderungen enorm. »Viele Unternehmen stehen vor der grundlegenden Frage: Wo liegen überhaupt personenbezogene Informationen? Wer diese Antwort nicht kennt, kann keine Maßnahmen ergreifen, um den EU-DSGVO-Anforderungen gerecht zu werden«, betont Manfred Zerwas, geschäftsführender Gesellschafter der SER-Gruppe.
Mit ECM zur EU-DSGVO-Compliance
Um dem entgegenzuwirken, sollten Unternehmen ihre verstreuten Daten und Dokumente am besten über ein ECM-System zentral zugänglich machen. Hier finden sie personenbezogene Informationen jederzeit, können sie auf Anfrage übertragen sowie vollständig und nachweisbar löschen. »Jedes Unternehmen kann die neuen Datenschutzanforderungen erfüllen, wenn es auf die richtigen Tools setzt. Ein zertifiziertes ECM wie Doxis4 ist die solide Basis für den EU-DSGVO-konformen Datenschutz«, so Manfred Zerwas..
[1] Studienrahmendaten: SER-Studie ECM Insights 2017; Befragungszeitraum Januar 2017 – Dezember 2017; n = 1.826 CIOs, Prozessverantwortliche & IT-Leiter in Unternehmen aller Branchen mit über 100 Mio. € Umsatz
In 5 Schritten die DSGVO meistern: KMUs sollten Prioritäten setzen
Illustration: Absmeier
»Mit der DSGVO ist ein echtes Bollwerk an Regeln und Richtlinien entstanden. Viele kleine und mittelständische Unternehmen haben größte Schwierigkeiten bei der Umsetzung, denn hier paaren sich oft ein knappes Budget und wenig Personal«, schlägt Christian Heutger, Geschäftsführer der PSW GROUP Alarm. Der IT-Sicherheitsexperte rät, Prioritäten zu setzen, um den Einstieg in die Datenschutzgrundverordnung (DSGVO) zu meistern.
Unterstützung suchen
Dazu gehört, sich ausgiebig mit den Themen Ist-Analyse und Zertifizierungen auseinanderzusetzen. Sein Tipp: »KMU sollten sich so viel Unterstützung wie möglich holen. Wenn intern die Ressourcen fehlen, können Outsourcing oder aber das Insourcing von Kompetenzen Mittel der Wahl sein. Gerade für KMU finden sich viele Angebote: Beratungen, Schulungen und spezielle Tools helfen bei der Umsetzung der DSGVO«, so Heutger.
Ist-Stand dokumentieren
Auch die PSW GROUP hat spezielle Schulungs- und Beratungsangebote für KMU entwickelt, um Unternehmen gut vorzubereiten. Die Angebote des Consulting-Teams reichen beispielsweise von einer Ist-Aufnahme, bei der Unternehmen herausfinden, wo sie derzeit im Bereich Datenschutz stehen, bis hin zu einer umfangreichen ISA+ Informations-Sicherheits-Analyse. In einem 50 Punkte umfassenden, standardisierten Sicherheitscheck zeigt diese Analyse konkret auf, in welchen Bereichen ein Unternehmen bereits gut aufgestellt ist und wo Nachholbedarf besteht. »Eine Ist-Analyse zeigt ganz klar auf, wo ein Unternehmen steht, warum es dort steht und was gegebenenfalls noch zur Umsetzung der DSGVO fehlt. Da eine solche Analyse dokumentiert werden muss, lassen sich notwendige Maßnahmen und ein Projektplan für die anstehenden Aufgaben ableiten. Ganz nebenbei entsteht gleichzeitig eine Dokumentation für die Aufsichtsbehörden«, so Heutger.
Tatsächliche Anforderungen kennen
Darüber hinaus müssen KMU aber auch ihre tatsächlichen Anforderungen kennen: Welche Aufgaben müssen tatsächlich erledigt werden? Muss überhaupt ein Verfahrensverzeichnis, wie es die DSGVO fordert, geführt werden oder ist das Unternehmen sogar befreit? Die DSGVO selbst setzt sich nämlich mit der speziellen Situation für Kleinstunternehmen und KMU auseinander. So enthält die Verordnung beispielsweise eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses von Verarbeitungstätigkeiten für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen.
Datenschutz zertifizieren lassen
Insbesondere Zertifizierungen werden mit der DSGVO eine ganz neue Bedeutung bekommen: Mit ihnen erhalten Unternehmen die Möglichkeit, ihren Datenschutz zertifizieren zu lassen. »Damit entsprechen sie den Regelungen der DSGVO und die existenzvernichtenden Bußgelder, die bei Datenschutzverstößen anfallen, können so umgangen werden«, so Heutger. Eine Zertifizierung, die speziell für kleine und mittelständische Unternehmen entwickelt wurde, ist ISIS12. »Die Zertifizierung von KMU erfolgt hier in 12 Stufen. Damit ist es dann nur noch ein kleiner Schritt mit geringem personellen und finanziellen Aufwand zur international anerkannten ISO 27001-Zertifizierung«, informiert der Experte.
Verhaltensregeln beachten
Last but not least sollten KMU auch die Verbände, in denen sie eventuell Mitglied sind, im Auge behalten. Möglicherweise haben diese bereits Verhaltensregeln entwickelt, welche die DSGVO fordert.
Weitere Informationen unter: https://www.psw-group.de/blog/kmu-die-dsgvo-was-sie-jetzt-noch-tun-sollten/4873