Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

DSGVO Datum 746843218 500

Am kommenden Sonntag ist europäischer Datenschutztag. Vor allem die Entscheider in Unternehmen und Organisationen dürften sich an diesem Aktionstag, der das Bewusstsein für Datenschutz in Europa stärken soll, ihre Gedanken machen. Denn: Die EU-DSGVO kommt – und das schon bald: Am 25. Mai 2018 ist Stichtag. Ein Interview mit Sabine Köhler, Datenschutz-Consultant der Ceyoniq Technology GmbH.

Die DSGVO ist ein umfangreiches und komplexes Regelwerk. Welchen grundsätzlichen Rat geben Sie Unternehmen, um die wichtigsten Anforderungen der Verordnung zu erfüllen?

Sabine Köhler: Planen Sie die Anpassung Ihrer Prozesse nach DSGVO strategisch durch. Dazu gehören umfassende Pro-zessanalysen, die Erstellung von Dokumentationen aber auch die Neubewertung altgedienter Sicherheitsmaßnahmen. Besonders wichtig: Vermeiden Sie unnötige Datenhaltung! Die DSGVO dient dem Zweck, Personen, deren Daten von Unternehmen verarbeitet werden, vor dem Missbrauch dieser Daten zu schützen. Es liegt auf der Hand, dass der Aufwand, der dafür betrieben werden muss, mit der Masse an Daten wächst. Es sollten also nur die Daten verarbeitet werden, die tatsächlich unverzichtbar sind. Ziel muss es sein, ein Gleichgewicht zwischen ausreichen-dem sowie gesetzeskonformen Schutz und vertretbarer Usability für den Anwender zu schaffen.

Einige Anforderungen der DSGVO sind bereits im Bundesdatenschutzgesetz (BDSG) verankert. Die Einhaltung von Löschfristen und die Informationspflicht sind zwei Beispiele. Wo liegen die Unterschiede zwischen BSDG und DSGVO, betrachtet man diese beiden Aspekte?

Sabine Köhler: Hinsichtlich der Löschfristen liegt der Unterschied vor allem darin, dass mit der DSGVO erstmals Bußgelder drohen, sollten die Fristen nicht eingehalten werden. Blickt man auf die Informationspflicht, müssen betroffene Personen genau über die Art der Verarbeitung ihrer Daten informiert werden. Auch das ist prinzipiell nicht neu. Allerdings sind die Informationen, die Betroffenen zur Verfügung gestellt werden müssen, weitaus umfangreicher, als dies bisher der Fall war. Informationen zu Datenverarbeitungen, die noch nach BDSG-alt bereitgestellt worden sind, dürften den Anforderungen nur in den seltensten Fällen gerecht werden. Hier besteht also auch für „alte“ Prozesse großer Nachholbedarf. Sowohl die Information an die Betroffenen als auch die Löschfristen sind künftig im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Durch diese und weitere Vorschriften geht das Verzeichnis in seiner Komplexität weit über das bisher geforderte Mindestmaß hinaus.

Die DSGVO führt erstmals konkrete Schutzziele per Gesetz in den Datenschutz ein, die vom BDSG-neu durch Kategorien technisch-organisatorischer Maßnahmen ergänzt werden. Was müssen Unternehmen aus Ihrer Sicht tun, um künftig ein angemessenes Sicherheitsniveau nachweisen zu können?

Sabine Köhler: Viele Unternehmen haben bereits in der Vergangenheit technisch-organisatorische Maßnahmen ergriffen. Diese müssen nun im Rahmen einer Risikoanalyse neu bewertet, angepasst und in die geänderte Kategorisierung des BDSG-neu eingeordnet werden. Da konstante Datensicherheit nur nachgewiesen werden kann, wenn sie messbar ist, ist es sinnvoll, ein umfassendes Datenschutzmanagementsystem (DSMS) zu implementieren. Ein solches DSMS muss kontinuierlich überprüft und verbessert werden und neben der eingesetzten Technologie auch die Mitarbeiter miteinbeziehen. Sie müssen für datenschutzrelevante Aspekte sensibilisiert und geschult werden. Kommt es doch einmal zu einem Verstoß, dient das DSMS auch als Nachweis, dass der Schutz personenbezogener Daten bestmöglich durchgeführt wurde. Um sich die Wirksamkeit eines DSMS bestätigen zu lassen, sollen diese in Zukunft auch zertifiziert werden können. Dies kann bei einem Datenschutzvorfall zur Strafmilderung führen.

In Zusammenhang mit der DSGVO rücken technische Lösungen wie ECM-Software in den Fokus. Wie wichtig sind solche Systeme und welche Vorteile bieten sie?

Sabine Köhler: Eine leistungsfähige ECM-Lösung ist ein zentrales Werkzeug bei der Umsetzung der neuen Verordnung. Mittels moderner Software ist es möglich, Dokumente und Daten zuverlässig und mit geringem Aufwand zu verwalten. Außerdem versetzen führende ECM-Systeme Unternehmen in die Lage, die Dokumente und Daten mit Lösch-, Sperr- und Aufbewahrungsfristen zu ver-sehen. In Kombination mit der Übersichtlichkeit, die ein ECM bietet, lassen sich Löschkonzepte dadurch deutlich komfortabler umsetzen. Des Weiteren können Sichtbarkeitsregeln für einzelne Benutzer oder für festgelegte Rollen wie zum Beispiel Vertrieb oder Geschäftsführung definiert werden. Darüber lassen sich komplexe Berechtigungskonzepte erstellen, die bei der Einhaltung von Datenschutzgrundlagen wie der Zweckbindung oder der Datenminimierung unterstützen. Kurzum: Ein ECM hilft dabei, grundlegende Anforderungen der DSGVO bei der Dokumentenhaltung umzusetzen.

Genügt die Einführung einer ECM-Lösung, um beim Datenschutz auf der sicheren Seite zu sein, oder sollten Unternehmen weitere Maßnahmen ergreifen?

Sabine Köhler: Die Anschaffung eines ECM-Systems alleine reicht nicht aus. Mit entsprechender Software haben Unternehmen sozusagen das richtige Werkzeug zur Hand, doch muss dieses auch zielge-richtet eingesetzt werden. Denn welche Daten wie geschützt werden müssen, hängt stark vom jeweiligen Unternehmen ab. Daher muss im Vorfeld eine Analyse durchgeführt werden, die die wichtigsten Fragen beantwortet: Welche Daten und Informationen liegen vor und in welchen Szenarien werden sie genutzt? Es folgt eine Risikobewertung, bei der festgelegt wird, welche Daten in welchem Umfang zu schützen sind. Idealerweise setzen Unternehmen in dieser Phase auf Experten, die nicht nur die Technologie-Basis mitbringen, sondern die Umsetzung der Vorschriften Schritt für Schritt mit tiefgreifendem Know-how begleiten.

www.ceyoniq.com
 

 

 

GRID LIST
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…
Tb W190 H80 Crop Int 572a4c67eb285d3ea59f2c45c09865f3

Polizei-Bodycams: Wohin mit den Aufnahmen?

Körperkameras, sogenannte Bodycams, sollen die Sicherheit bei Polizeieinsätzen erhöhen…
Sprachsteuerung

Alexa, Siri und Co: Mehr Datenschutz für Dialoge der Nutzer

Sprachdialogsysteme wie Alexa und Siri sind inzwischen große Hilfen zum Beispiel bei der…
DSGVO Abmahnung

Warum von kostenlosen Datenschutzerklärungen abzuraten ist

Für eine Vielzahl von Unternehmern scheint sich das Thema Datenschutz damit erledigt zu…
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…