Interview

Wie ECM-Lösungen bei der Umsetzung der DSGVO unterstützen

Am kommenden Sonntag ist europäischer Datenschutztag. Vor allem die Entscheider in Unternehmen und Organisationen dürften sich an diesem Aktionstag, der das Bewusstsein für Datenschutz in Europa stärken soll, ihre Gedanken machen. Denn: Die EU-DSGVO kommt – und das schon bald: Am 25. Mai 2018 ist Stichtag. Ein Interview mit Sabine Köhler, Datenschutz-Consultant der Ceyoniq Technology GmbH.

Die DSGVO ist ein umfangreiches und komplexes Regelwerk. Welchen grundsätzlichen Rat geben Sie Unternehmen, um die wichtigsten Anforderungen der Verordnung zu erfüllen?

Anzeige

Sabine Köhler: Planen Sie die Anpassung Ihrer Prozesse nach DSGVO strategisch durch. Dazu gehören umfassende Pro-zessanalysen, die Erstellung von Dokumentationen aber auch die Neubewertung altgedienter Sicherheitsmaßnahmen. Besonders wichtig: Vermeiden Sie unnötige Datenhaltung! Die DSGVO dient dem Zweck, Personen, deren Daten von Unternehmen verarbeitet werden, vor dem Missbrauch dieser Daten zu schützen. Es liegt auf der Hand, dass der Aufwand, der dafür betrieben werden muss, mit der Masse an Daten wächst. Es sollten also nur die Daten verarbeitet werden, die tatsächlich unverzichtbar sind. Ziel muss es sein, ein Gleichgewicht zwischen ausreichen-dem sowie gesetzeskonformen Schutz und vertretbarer Usability für den Anwender zu schaffen.

Einige Anforderungen der DSGVO sind bereits im Bundesdatenschutzgesetz (BDSG) verankert. Die Einhaltung von Löschfristen und die Informationspflicht sind zwei Beispiele. Wo liegen die Unterschiede zwischen BSDG und DSGVO, betrachtet man diese beiden Aspekte?

Sabine Köhler: Hinsichtlich der Löschfristen liegt der Unterschied vor allem darin, dass mit der DSGVO erstmals Bußgelder drohen, sollten die Fristen nicht eingehalten werden. Blickt man auf die Informationspflicht, müssen betroffene Personen genau über die Art der Verarbeitung ihrer Daten informiert werden. Auch das ist prinzipiell nicht neu. Allerdings sind die Informationen, die Betroffenen zur Verfügung gestellt werden müssen, weitaus umfangreicher, als dies bisher der Fall war. Informationen zu Datenverarbeitungen, die noch nach BDSG-alt bereitgestellt worden sind, dürften den Anforderungen nur in den seltensten Fällen gerecht werden. Hier besteht also auch für „alte“ Prozesse großer Nachholbedarf. Sowohl die Information an die Betroffenen als auch die Löschfristen sind künftig im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Durch diese und weitere Vorschriften geht das Verzeichnis in seiner Komplexität weit über das bisher geforderte Mindestmaß hinaus.

Die DSGVO führt erstmals konkrete Schutzziele per Gesetz in den Datenschutz ein, die vom BDSG-neu durch Kategorien technisch-organisatorischer Maßnahmen ergänzt werden. Was müssen Unternehmen aus Ihrer Sicht tun, um künftig ein angemessenes Sicherheitsniveau nachweisen zu können?

Sabine Köhler: Viele Unternehmen haben bereits in der Vergangenheit technisch-organisatorische Maßnahmen ergriffen. Diese müssen nun im Rahmen einer Risikoanalyse neu bewertet, angepasst und in die geänderte Kategorisierung des BDSG-neu eingeordnet werden. Da konstante Datensicherheit nur nachgewiesen werden kann, wenn sie messbar ist, ist es sinnvoll, ein umfassendes Datenschutzmanagementsystem (DSMS) zu implementieren. Ein solches DSMS muss kontinuierlich überprüft und verbessert werden und neben der eingesetzten Technologie auch die Mitarbeiter miteinbeziehen. Sie müssen für datenschutzrelevante Aspekte sensibilisiert und geschult werden. Kommt es doch einmal zu einem Verstoß, dient das DSMS auch als Nachweis, dass der Schutz personenbezogener Daten bestmöglich durchgeführt wurde. Um sich die Wirksamkeit eines DSMS bestätigen zu lassen, sollen diese in Zukunft auch zertifiziert werden können. Dies kann bei einem Datenschutzvorfall zur Strafmilderung führen.

In Zusammenhang mit der DSGVO rücken technische Lösungen wie ECM-Software in den Fokus. Wie wichtig sind solche Systeme und welche Vorteile bieten sie?

Sabine Köhler: Eine leistungsfähige ECM-Lösung ist ein zentrales Werkzeug bei der Umsetzung der neuen Verordnung. Mittels moderner Software ist es möglich, Dokumente und Daten zuverlässig und mit geringem Aufwand zu verwalten. Außerdem versetzen führende ECM-Systeme Unternehmen in die Lage, die Dokumente und Daten mit Lösch-, Sperr- und Aufbewahrungsfristen zu ver-sehen. In Kombination mit der Übersichtlichkeit, die ein ECM bietet, lassen sich Löschkonzepte dadurch deutlich komfortabler umsetzen. Des Weiteren können Sichtbarkeitsregeln für einzelne Benutzer oder für festgelegte Rollen wie zum Beispiel Vertrieb oder Geschäftsführung definiert werden. Darüber lassen sich komplexe Berechtigungskonzepte erstellen, die bei der Einhaltung von Datenschutzgrundlagen wie der Zweckbindung oder der Datenminimierung unterstützen. Kurzum: Ein ECM hilft dabei, grundlegende Anforderungen der DSGVO bei der Dokumentenhaltung umzusetzen.

Genügt die Einführung einer ECM-Lösung, um beim Datenschutz auf der sicheren Seite zu sein, oder sollten Unternehmen weitere Maßnahmen ergreifen?

Sabine Köhler: Die Anschaffung eines ECM-Systems alleine reicht nicht aus. Mit entsprechender Software haben Unternehmen sozusagen das richtige Werkzeug zur Hand, doch muss dieses auch zielge-richtet eingesetzt werden. Denn welche Daten wie geschützt werden müssen, hängt stark vom jeweiligen Unternehmen ab. Daher muss im Vorfeld eine Analyse durchgeführt werden, die die wichtigsten Fragen beantwortet: Welche Daten und Informationen liegen vor und in welchen Szenarien werden sie genutzt? Es folgt eine Risikobewertung, bei der festgelegt wird, welche Daten in welchem Umfang zu schützen sind. Idealerweise setzen Unternehmen in dieser Phase auf Experten, die nicht nur die Technologie-Basis mitbringen, sondern die Umsetzung der Vorschriften Schritt für Schritt mit tiefgreifendem Know-how begleiten.

www.ceyoniq.com
 

 

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.