Aktueller Channel Fokus:

Cloud Business Software

Besser spät als nie

DSGVO Schritt für Schritt angehen und umsetzen

| Autor / Redakteur: Ralf Nemeyer / Peter Schmitz

Es ist nie zu spät, um sich mit der DSGVO zu beschäftigen. Aber Unternehmen sollten die Umsetzung auch 6 Monate nach dem Stichtag Schritt für Schritt planen.
Es ist nie zu spät, um sich mit der DSGVO zu beschäftigen. Aber Unternehmen sollten die Umsetzung auch 6 Monate nach dem Stichtag Schritt für Schritt planen. (Bild: Pixabay / CC0)

Mehr zum Thema

Der 25. Mai 2018 liegt schon eine Weile hinter uns und der große Knall blieb bislang aus. Doch viele Unternehmen sind auch nach dem Stichtag noch nicht „DSGVO-ready“– was an der Vielzahl der neuen Anforderungen und deren Komplexität liegt. Wichtig für alle, die noch nicht „auf Kurs“ sind, ist jetzt einen risikobasierten Ansatz zu verfolgen und sich auf die wichtigsten Bereiche zu konzentrieren.

Eine Hauptanforderung der DSGVO ist die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (VVT). Dabei handelt es sich um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten im Unternehmen verarbeitet werden. Zwar gab es in der Vergangenheit bereits das Verfahrensverzeichnis (nach §§ 4g Abs. 2, 4e Bundesdatenschutzgesetz), das neue Verzeichnis von Verarbeitungstätigkeiten gemäß DSGVO (Art. 30) muss allerdings deutlich umfangreicher ausfallen. So haben Organisationen die Pflicht, jeden einzelnen Prozess aufzulisten, in dem personenbezogene Daten verarbeitet werden. Sie müssen unter anderem den Zweck der Erhebung sowie den Speicherort der Daten definieren und angeben, ob Daten in Drittländer übertragen werden. Für viele Unternehmen liegt hier einer der großen Knackpunkte bei der Umsetzung der DSGVO.

Verzeichnis von Verarbeitungstätigkeiten ist ein Muss

Weil sämtliche Geschäftsprozesse zu überprüfen sind – und das in der Regel manuell – ist die Erstellung dieses Verzeichnisses sehr aufwändig. Und genau hierin liegt die größte Hürde, denn erfahrungsgemäß sind viele Unternehmen nicht in der Lage, sich einen ganzheitlichen Überblick über alle personenbezogenen Daten zu verschaffen. Seit dem 25. Mai 2018 sind Organisationen aber verpflichtet, das Verzeichnis von Verarbeitungstätigkeiten jederzeit und vollständig für die Aufsichtsbehörden vorzuhalten, ansonsten kann ein Bußgeld (Art. 83 Abs. 4a DSGVO) drohen.

Risikobasiert vorgehen

Was also tun, wenn der Stichtag bereits verstrichen ist? Diese Fragestellung galt es in den vergangenen Monaten häufig zu beantworten, denn die meisten Unternehmen haben sich nicht rechtzeitig mit dieser Aufgabe beschäftigt. Die Antwort ist ein pragmatischer, risikobasierter Ansatz – es gilt also, sich auf Teilbereiche der DSGVO zu konzentrieren, in vielen Fällen ist das im ersten Schritt die Kategorie der Kundendaten. Unternehmen sind verpflichtet, die personenbezogenen Daten in Kategorien anzugeben, beispielsweise Kundendaten, Mitarbeiterdaten und Lieferantendaten. Viele Unternehmen sehen bei den Kundendaten das größte Risiko und konzentrieren sich folgerichtig im ersten Schritt auf diesen Bereich.

Ob und wie viele Prüfungen die Aufsichtsbehörden künftig durchführen werden, weiß derzeit zwar noch niemand, eines ist jedoch sicher: Bei einer Prüfung wird die Aufsichtsbehörde sicherlich nachfragen, was das Unternehmen unternimmt, um DSGVO-konform zu werden. Daher sollten Firmen, die noch nicht „DSGVO-ready“ sind, eine Roadmap erstellen, in der das entsprechende Vorgehen in einem begrenzten Anwendungsbereich mit der jeweiligen Risikobetrachtung verankert ist. Nicht ohne Grund also ist die Erstellung solcher VVT-Roadmaps derzeit ein größeres Thema bei Unternehmen, die noch nicht DSGVO-ready sind.

Automatisierung der Datenerhebung

Fragen wie „Warum haben Sie diese Daten gespeichert?“ oder „Wie haben Sie diese Daten gespeichert?“ lassen sich nicht mit einem Tool beantworten, sondern nur über Assessments und Interviews. Unsere Security Assessment Services haben sich dabei als hilfreiche Unterstützung bewährt. Auf diese Weise können Unternehmen die Erhebung der Informationen, die im Verzeichnis von Verarbeitungstätigkeiten aufzuführen sind, in großem Umfang einfach und schnell erfassen. Großunternehmen greifen bereits seit einigen Jahren auf diese Services zurück, um eine transparente Umsetzung von Compliance-Vorgaben oder -Risiken zu gewährleisten.

Bei den Security Assessment Services entwickelt ein erfahrener Consultant gemeinsam mit dem Unternehmen eine spezifische Methode zur Datenerhebung. Im Fokus steht hier die Frage: „Welche Daten müssen erfasst werden, um das Verzeichnis von Verarbeitungstätigkeiten zu füllen?“ Das Ergebnis ist ein klares Vorgehensmodell mit einer Checkliste als Kern der Erhebung. Die zu erarbeitende Methode ist nicht für jedes Unternehmen gleich, häufig werden aber ähnliche Anforderungen zur Darstellung der Informationen gestellt. Auf Basis dessen können Blue Prints aus anderen Projekten, in denen Computacenter bereits Erfahrungen gesammelt hat, wertvolle Beiträge liefern.

DSGVO – und jetzt?

eBook

DSGVO – und jetzt?

Die wichtigsten Änderungen: Was ist neu und was wurde verschärft? Praxishilfen: Leitlinien und bewährte Verfahren der Aufsichtsbehörden Konkretisierung: Neues Bundesdatenschutzgesetz ergänzt die DSGVO. weiter...

Wahrung der Betroffenenrechte

Neben der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten stellt auch die Wahrung der Betroffenenrechte Organisationen vor große Herausforderungen. So müssen sie künftig in der Lage sein, beispielsweise nach Aufforderung eines Kunden alle über ihn vorhandenen Informationen zu löschen. Dazu ist es notwendig, sämtliche bestehenden Daten ausfindig zu machen und zu entfernen.

Manuell ist dies ein sehr aufwändiges Unterfangen. Aber es gibt mittlerweile Tools, die sowohl strukturierte Daten in Datenbanken als auch unstrukturierte Daten auf File-Server, Exchange-Server oder in SharePoint nach personenbezogenen Informationen durchsuchen. Die Ergebnisse werden an ein Ticketsystem weitergeleitet und ein „virtueller Löschknopf“ erstellt. Auch dieses Teilprojekt auf dem Weg zur DSGVO-Compliance ist bei vielen Unternehmen momentan im Fokus.

Fazit

Auch wenn Unternehmen die neuen Anforderungen der DSGVO heute noch nicht erfüllen, können und müssen sie sich wichtige Meilensteine setzen und auf diese hinarbeiten. Mit einer klaren Roadmap sowie den richtigen Services und Tools zur Automatisierung der wichtigsten Prozesse bei der Auflistung von personenbezogenen Daten im VVT sowie zur Wahrung der Betroffenenrechte kommen Unternehmen der Erfüllung der DSGVO einen großen Schritt näher. Wichtig ist aber, diesen Schritt zeitnah zu gehen – denn das Risiko bleibt enorm.

Über den Autor: Ralf Nemeyer ist Principal Consultant Secure Information bei Computacenter. Bereits seit 1996 ist er im Themenfeld der Informationssicherheit tätig und fokussiert sich auf Information Management Services-Prozessberatung, Risikoanalysen, Automation, und Compliance Management.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45658197 / Recht)