Expert Views

Published on Mar 02, 2018

EU-DSGVO: Handlungsempfehlungen zur erfolgreichen Umsetzung der Datenschutzauflagen

  • Die Frage nach der EU-DSGVO Konformität wird immer lauter. Wann ist das eigene Unternehmen “DSGVO-ready”? – Vor dem Hintergrund der EU-DSGVO können mit den richtigen Handlungsempfehlungen erste wichtige Schritte bewältigt werden, um das Risiko von Datenschutzpannen zu minimieren.
  • Unter Anderem ist die Steigerung der Awareness innerhalb der Unternehmen unabdingbar, wenn es um die Umsetzung der EU-DSGVO geht. Denn nur wenn die Mitarbeiter-Awareness innerhalb der Unternehmen steigt, können diese die Umsetzung von Maßnahmen erfolgreich meistern.
  • Maßgeblich erfolgreich in der Umsetzung der DSGVO-Readiness werden diejenigen Unternehmen sein, die ein hohes Datenschutz-Mindset gepaart mit einem geringem Datenschutz-Risiko vorweisen. Hierbei geht es vor allem um die Analyse der notwendigen Schritte während der Planung und der tatsächlichen Umsetzung (Datenschutz-Mindset) sowie der Risikominimierung gegen die EU-DSGVO zu verstoßen (Datenschutz-Risiko).
  • Generell lässt sich festhalten, dass eine “Security-First-Strategie” für alle Unternehmen sinnvoll ist. Analog zu den IT-Sicherheitskonzepten, die unternehmensintern in der hauseigenen IT bzw. dem eigenen Rechenzentrum gelten, muss auch für den Betrieb in der Public Cloud ein entsprechendes Sicherheitskonzept entwickelt und mit bestehenden Sicherheitskonzepten in Einklang gebracht werden. Durch die Vielzahl an Fragestellungen, die innerhalb der Unternehmen aufkommen, ist es enorm wichtig für die Planung und Umsetzung relevanter Maßnahmen Hilfe von Dienstleistern ins Haus zu holen.

Dass die EU-Datenschutzgrundverordnung (EU-DSGVO) vor der Tür steht und wie die EU-DSGVO sich auf Cloud Computing auswirkt, konnten Sie bereits im ersten Teil des EU-DSGVO Readiness Analyst Views lesen. Unternehmensentscheidern und CISOs ist es mittlerweile durch zahlreiche mahnende Publikationen bekannt, dass die EU-DSGVO am 25. Mai 2018 in Kraft treten wird. Neben den altbekannten Datenschutz-Pflichten, wie dem Transparenz- und Einwilligungsprinzip, welche weiterhin Bestandteil der EU-DSGVO sind, gibt es eine Reihe von Neuerungen, etwa zur Haftung von Unternehmen und deren Führungskräften. Den wenigsten ist jedoch bekannt , dass die EU-DSGVO vor allem vor dem Hintergrund Cloud Computing eine besondere Rolle spielt. Denn im technischen Sinne wird Cloud Computing als primäre Auftragsdatenverarbeitung gewertet (Art. 28 EU-DSGVO) – dies ist und bleibt auch ein zentraler Punkt der EU-DSGVO. Doch ab welchen Bedingungen sind meine Cloud-Anwendungen DSGVO-konform? – eine Frage, die sich derzeit eine Vielzahl von CEOs und CISOs stellen sollten.

Für Unternehmen, die tagtäglich mit einer Vielzahl von personenbezogenen Daten hantieren, bedeutet die Vorbereitung und Umsetzung der EU-DSGVO hingegen viel mehr als ein Zertifikat nach außen hin zu repräsentieren.

Um die Frage zu beantworten, wie Unternehmen die Umsetzung der DSGVO vorbereiten und durchführen sollten, muss das Datenschutz-Mindset von der Basis der Unternehmen gelebt werden – den Arbeitskräften. Nur wenn an jedem Arbeitsplatz garantiert werden kann, dass Datenschutzpannen vermieden werden können und das Inkrafttreten der EU-DSGVO in der gesamten Organisation bekannt ist, kann das eigene Unternehmen auf die EU-DSGVO vorbereitet werden.

Wenn diese Awareness innerhalb der Unternehmen stattfindet bzw. stattgefunden hat, können Unternehmen mit der Planung von Maßnahmen beginnen, um das Unternehmen DSGVO-ready zu machen. Das bedeutet im nächsten Schritt:

Was Unternehmen beachten sollten: EU-DSGVO + Handlungsempfehlungen

Erst wenn die Planung hinreichend fortgeschritten ist, kann die Umsetzung von Datenschutz-Strategien vorangetrieben werden und das eigene Unternehmen “DSGVO-ready” gemacht werden. Die Grundsätze der EU-DSGVO, also die grundlegenden Pflichten, sind zunächst in Artikel 5 der EU-DSGVO geregelt. Den Unternehmen sollte vor diesem Hintergrund bekannt sein, dass bestimmte Rechte der betroffenen Personen berücksichtigt werden müssen bzw. welche Pflichten als verantwortliches Unternehmen erfüllt werden müssen, damit personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen. Darunter fallen zum Beispiel:

Darüber hinaus sollten vor allem die Regelungen der Artikel 25 und 32 beachtet werden. Hier sind die Maßnahmen zur Sicherheit und Stand der Technik (Art. 32 EU-DSGVO) sowie die Beachtung von Privacy by Design und Privacy by Default (Art. 25 EU-DSGVO) besonders wichtig für die Umsetzung.

Dies sind vor allem Maßnahmen zur Erfüllung der allgemeinen Pflichten bezüglich der Verantwortung gem. Art 24-31 EU-DSGVO. Dazu gehören zum Beispiel Maßnahmen wie:

Besonders technische Sicherheitsmaßnahmen (Art.32-34 DSGVO) spielen bei der “DSGVO-Readiness” eine wichtige Rolle. Diese Maßnahmen geben darüber Auskunft, inwieweit das eigene Unternehmen DSGVO-ready ist. Mittels folgender Vorkehrungen ist ein positiver Umgang mit personenbezogenen Daten auf der technischen Seite garantiert:

Zertifikate nach dem Art. 42 sind besonders hilfreich, damit sich datenschutzkonforme Unternehmen diese über eine Auszeichnung bestätigen lassen können und gegenüber Außenstehenden unter Beweis stellen können. Mit dem richtigen Zertifikat können sich Unternehmen ebenso absichern und Vertrauen beim Kunden bzw. Nutzer gewinnen. Relevant sind sämtliche ISO Zertifikate bzw. Zertifikate des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Um den Anforderungen der EU-DSGVO gerecht zu werden, sollten sich CEOs und CISOs für die Planung und Umsetzung relevanter Maßnahmen Hilfe von Fachleuten ins Haus holen. In der verbleibenden Zeit bis zum Inkrafttreten der Verordnung im Mai, können zumeist nur noch Sparringspartner den Datenschutz, die IT-Security sowie die EU-DSGVO selbst in Einklang mit der bereits vorhandenen digitalen Strategie bringen.

Unternehmenslenkern ist es an die Hand zu geben, die Awareness zu steigern und in diesem Kontext auch die Datenschutz-Strategie auf die EU-DSGVO zu mappen. Hier können vor allem externe Dienstleister als Sparringspartner dienen. Vor diesem Hintergrund wurde das “DSGVO-Readiness Tool” entworfen. Dieses Tool hilft als Instrument, den eigenen Reifegrad zur DSGVO-Readiness zu analysieren.

EU-DSGVO-Readiness garantiert: Tool by Crisp Research und ProfitBricks

Um aus der Vielzahl von Fragestellungen die für Ihr Unternehmen wesentlichen herauszufiltern, haben Crisp Research und ProfitBricks ein Tool entwickelt, welches Entscheidern in Unternehmen, IT-Security- und Datenschutzverantwortlichen eine Einschätzung liefern soll, wie hoch ihr Risiko im Kontext des Datenschutzes ist und wo sie bei der Planung und Umsetzung der neuen EU-Datenschutzgrundverordnung stehen.

Das “DSGVO-Readiness Tool” ist auf Basis eigener Evaluierungsverfahren und einer Selbsteinschätzung der Digitalisierungsentscheider entstanden. Dieses Tool informiert zum Stand des Datenschutz-Risikos bzw. der Readiness der Unternehmen im Kontext der neuen EU-DSGVO und spiegelt wider, inwieweit das eigene Unternehmen “DSGVO-ready” ist.

Im Rahmen des „DSGVO-Readiness Tools“ wurden Informationen zu den allgemeinen Digitalisierungs-Aktivitäten analysiert und bewertet. Dies inkludiert insbesondere datenschutzspezifische Aktivitäten sowie Informationen bezüglich der DSGVO-Planung und -Umsetzung.

Das „DSGVO-Readiness Tool“ von Crisp Research und ProfitBricks bietet Ihnen:

  • Eine Positionsbestimmung zum Stand Ihrer Vorbereitung auf die EU-DSGVO des eigenen Unternehmens.
  • Die Identifikation von Herausforderungen und relevanter Handlungsfelder im Kontext des Datenschutzes.
  • Eine GAP-Analyse zur Bewertung des IST/SOLL-Zustandes im Rahmen des Datenschutzes im eigenen Unternehmen.
  • Konkrete Empfehlungen, um die weiteren Schritte der EU-DSGVO erfolgreich und agil zu gestalten.

Teilnahme unter https://dsgvo.profitbricks.de/