Aktueller Channel Fokus:

Managed Services

Riesiger Wachstumsmarkt

10 Tipps für den Channel zur DSGVO

| Redakteur: Heidemarie Schuster

Die DSGVO muss bis zum 25. Mai 2018 umgesetzt sein.
Die DSGVO muss bis zum 25. Mai 2018 umgesetzt sein. (Bild: Pixabay)

Westcon-Comstor berät Reseller und Systemintegratoren bei der Compliance-konformen Umsetzung der Datenschutzgrundverordnung (DSGVO). Dazu hat der Paderborner VAD 10 Tipps für den Channel zusammengetragen.

Der Value Added Distributor Westcon-Comstor hilft mit einer Checkliste seinen Partnern, damit diese ihre Kunden optimal auf die Umsetzung der DSGVO vorbereiten können.

„Drei Monate, bevor der Gesetzgeber mit der Durchsetzung der DSGVO beginnt, stehen viele Unternehmen derzeit noch ganz am Anfang ihrer Vorbereitung. Der Beratungsbedarf im Markt ist daher enorm“, erklärt Robert Jung, General Manager bei Westcon Security in Deutschland. „Für Reseller-Partner, die ihre Hausaufgaben gemacht haben, ist die DSGVO der perfekte Türöffner zu einem riesigen Wachstumsmarkt mit hohem Services- und Consulting-Anteil. So können sie ihren Kunden als kompetenter Partner in Fragen von Datenschutz und Cloud zur Seite stehen – und das eigene Lösungsgeschäft nachhaltig ausbauen.“

1. Holen Sie alle Entscheider an Bord

Die DSGVO macht Datenschutz zur Chefsache: Mit Blick auf die Geschäftsführerhaftung und die empfindlichen Strafen, die bei Verstößen drohen, sollten Sie die Geschäftsleitung Ihres Kunden von Beginn an mit an den Tisch holen. Auch der Betriebsrat, die IT-Abteilung und alle Fachabteilungen, die mit kritischen Daten arbeiten, haben einen Platz im Projektteam. Größere Unternehmen sind überdies verpflichtet, im Zuge der DSGVO-Umsetzung einen eigenen Datenschutzbeauftragten zu berufen. Wenn sämtliche betroffenen Parteien frühzeitig eingebunden werden, ist garantiert, dass alle am gleichen Strang ziehen.

2. Kategorisieren Sie den Datenbestand

Für einen DSGVO-konformen Betrieb benötigt das Projekt-Team einen genauen Überblick über die sensiblen Daten und die Prozesse, bei denen personenbezogene Daten verarbeitet werden. Neben klassischen Kundendaten wie Projektdaten und Adresslisten gehören hierzu insbesondere auch Daten aus der Auftragsverarbeitung sowie viele zu Unrecht als unkritisch wahrgenommene Daten – etwa IP-Adressen von Kunden oder Informationen aus der HR-Abteilung. Das Projektteam muss sich daher ausreichend Zeit nehmen, um diese Daten sorgfältig zu erfassen und je nach Gefährdungspotenzial zu kategorisieren.

3. Prüfen Sie die rechtlichen Grundlagen der Datenverarbeitung

Die DSGVO sieht vor, dass personenbezogene Daten nur in Ausnahmefällen erfasst und verarbeitet werden dürfen – typischerweise, weil dies zur Erfüllung bestehender Verträge erforderlich ist, oder weil die explizite Einwilligung der Betroffenen vorliegt. Verifizieren Sie mit Ihren Kunden, ob dies für alle kategorisierten Daten zutrifft. Prüfen Sie dabei auch, ob eventuell vorhandene Einwilligungserklärungen im neuen gesetzlichen Rahmen noch statthaft sind oder angepasst werden müssen.

4. Stellen Sie die Weichen für eine klare Kommunikation

Die DSGVO verpflichtet Unternehmen, die EU-Bürger über die Verarbeitung ihrer Daten auf dem Laufenden zu halten. Helfen Sie Ihren Kunden, von Beginn an klare Leitplanken für diese Kommunikation zu definieren und den Zweck, die Rechtsgrundlage, die Herkunft und die Speicherdauer der Daten zeitnah, transparent und verständlich mitzuteilen. Dazu gehört es auch, Betroffene proaktiv auf ihre Rechte hinzuweisen – beispielsweise das Recht zum Widerruf von Einwilligungserklärungen oder zur Beschwerde bei Aufsichtsbehörden.

5. Definieren Sie geeignete technische und organisatorische Maßnahmen

Als Systemintegrator sind Sie hervorragend aufgestellt, um Ihre Kunden bei der Integration geeigneter Technologien und Prozesse zum Schutz kritischer Daten zu unterstützen. Dabei gilt es zunächst, den Schutzbedarf der verschiedenen Datenkategorien zu evaluieren – und dann je nach Risikoklasse angemessene Maßnahmen zu treffen, etwa durch die Implementierung einer zeitgemäßen Pseudomisierung oder einer End-to-End-Verschlüsselung.

6. Stellen Sie Verträge mit Nicht-EU-Dienstleistern auf den Prüfstand

Auch Auftragsverarbeiter mit Sitz außerhalb der EU müssen künftig DSGVO-konform arbeiten. Dies ist für die IT-Branche insbesondere im Zusammenhang mit Cloud-Diensten eine Herausforderung. Stellen Sie gemeinsam mit dem Projektteam sicher, dass sämtliche externen Dienstleister die entsprechenden Vorgaben einhalten und passen Sie bestehende Verträge zur Auftragsverarbeitung an die neuen Bestimmungen an. Orientieren Sie sich dabei an den Privacy-Shield-Vorgaben und Binding Corporate Rules.

7. Nehmen Sie die Meldepflicht nicht auf die leichte Schulter

Die neue Gesetzgebung verpflichtet Unternehmen, Datenschutzverstöße binnen 72 Stunden zu melden. Etablieren Sie mit Ihren Kunden effiziente Kommunikationsprozesse – sowohl intern als auch gegenüber Kunden und den zuständigen Behörden –, um die Einhaltung der Fristen auch am Wochenende oder in der Urlaubszeit sicherzustellen.

8. Dokumentieren Sie alle relevanten Abläufe

Etablieren Sie mit Ihren Kunden frühzeitig eine lückenlose Dokumentation aller datenschutzrechtlich relevanten Regeln, Rollen, Abläufe und Änderungen. Dies ermöglicht es dem zuständigen Team, seine Prozesse regelmäßig zu prüfen und zu optimieren und sich rechtlich abzusichern. Hinzu kommt, dass es Ihnen die Dokumentation wesentlich erleichtern wird, die Datenschutzanforderungen bei Bedarf zeitnah an neue Entwicklungen anzupassen.

9. Nach der Einführung ist vor der Einführung

Der 25. Mai 2018 ist zwar ein wichtiger Stichtag für die DSGVO-Umsetzung – Sie sollten das Projektteam aber auf jeden Fall auch über diesen Termin hinaus aufrechterhalten und regelmäßig versammeln. Auf diese Weise lässt sich sicherstellen, dass eventuelle Neuerungen im Unternehmen oder in der Gesetzgebung zeitnah berücksichtigt und neue Technologien frühzeitig eingebunden werden.

10. Zögern Sie nicht, selbst externe Experten hinzuzuziehen

Die Umsetzung der DSGVO-Bestimmungen ist eine äußerst komplexe Aufgabe – mit enormem Schadenspotenzial, hohem Koordinationsaufwand und oft intransparenten Ausstrahleffekten in das gesamte Unternehmen. Selbst erfahrene Systemintegratoren müssen in Teilbereichen daher oft Knowhow- oder Zertifizierungslücken überbrücken. Value-Added Distributoren wie Westcon verfügen über die erforderlichen Kenntnisse und Ressourcen, und können in diesen Fällen für Entlastung sorgen.

Weitere Informationen

Westcon-Comstor steht Partnern und deren Kunden bei allen Fragen zur Einführung und Umsetzung der DSGVO zur Seite. Am 21. März 2018 veranstaltet der VAD in Frankfurt einen eintägigen GDPR Kongress, bei dem sich Integratoren und Anwender detailliert über die Auswirkungen der neuen Vorgaben informieren können. Die Anmeldung findet unter http://westcon-comstor-academy.com/de/gdpr-kongress-2018/ statt.

Mittelstand zögert noch beim Cloud Computing

Trusted Cloud Jahreskongress 2014

Mittelstand zögert noch beim Cloud Computing

27.06.14 - Wie vertrauenswürdig ist die „Mittelstands-Cloud“ wirklich? Der Jahreskongress des Technologieförderprogramms Trusted Cloud zeigte vor allem eines: Gefragt sind statt markiger Versprechen der Anbieter handfeste Lösungen, die auch im robusten Alltagseinsatz bestehen. lesen

Die EU-DSGVO als Chance nutzen

Überblick und Tipps

Die EU-DSGVO als Chance nutzen

26.01.18 - Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Flut an Informationen kämpfen. Doch es gibt auch viele Vorteile. lesen

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45156296 / Recht)