(aus der Reihe: Erträge der Arbeit: ein Artikel für das EFIT-Magazin aus dem September ‘17)
Am 25. Mai 2018 ändert sich zwar nicht alles, aber doch sehr Wichtiges für Unternehmen in Deutschland und der Europäischen Union. Die EU-Datenschutzgrundverordnung (EU-DSGVO) – seit 25. Mai 2016 in Kraft – wird ab diesem „scharf gestellt“. Firmen müssen spätestens dann nachweisen, dass sie klar definierte Anforderungen zum Datenschutz erfüllen. Sonst drohen abschreckend hohe Strafen. Das Regelwerk verstehen ist das Eine. Die Anforderungen fristgerecht umsetzen, das Andere. Was ist hier zu beachten?
Die Erkenntnis ist gereift. Die Entscheidung ist gefallen. Ein mittelständischer Maschinenbauer will sein Unternehmen auf die EU-Datenschutzgrundverordnung vorbereiten. Doch wie geht er vor? Als allererstes sollte er dafür einen externen Berater einschalten, der ihn Schritt für Schritt bei der Umsetzung unterstützt – oder dafür eine spezielle Software zur Hilfe nehmen.
Da kein Unternehmen datenschutzrechtlich im leeren Raum unterwegs ist, gilt es zunächst den aktuellen Status zu erfassen. Wie weit hat das Unternehmen z.B. die aktuellen Vorgaben des derzeitigen bundesdeutschen Datenschutzrechtes (BDSG) umgesetzt? Was lässt sich davon übernehmen, was muss man abändern, was ergänzen, wo sind umfangreichere Lücken? Eine Checkliste dient hier zur Selbstauskunft. Diese bildet die Basis für die Vor-Ort-Begehung durch den externen Sicherheitsberater. Der Spezialist klopft die Angaben auf Plausibilität ab, prüft z.B. Zutrittskontrollsysteme und entwirft darauf aufbauend seinen Beratungsbericht für den Umstieg auf die EU-DSGVO.
Dieser Beratungsbericht stellt quasi ein Pflichtenheft dar, in dem beschrieben wird, was in welcher Reihenfolge zu tun ist. Wenn der mittelständische Beispielunternehmer im September beginnt, sollte das Konzept bis zum Jahresende soweit stehen. Alle Prozesse sollten bis dahin an die neuen Anforderungen angepasst sein. Im ersten Quartal 2018 folgt die Feinjustierung. Im zweiten Quartal 2018 sollte alles zum Start der EU-DSGVO und zum Übergang in die Phase der kontinuierlichen Verbesserung bereit sein.
Ist ein Datenschutzbeauftragter bestellt? Jedes Unternehmen mit mehr als neun Mitarbeitern, das sich mit personenbezogenen Daten beschäftigt, muss einen Datenschutzbeauftragten haben. Anders gesagt: ab dem zehnten Mitarbeiter, der ein E-Mail-Postfach hat, besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen. Gibt es den bisher nicht, ist jetzt dringend Handeln angesagt. Meist werden externe Datenschutzbeauftragte bestellt, weil interne Mitarbeiter keine Zeit für die umfangreichen Aufgaben haben oder auch aus Haftungs- bzw. Wissensgründen ausscheiden. Eine zentrale Aufgabe für ein Datenschutzmandat ist es, personenbezogene Daten in einer verantwortlichen Stelle (Unternehmen oder Behörde) in jeder Hinsicht sicher zu halten. Dies ist ein Teil des Versprechens an die Kunden, die zunehmend besorgt sind über ihr persönliches Risiko aus Datenschutzverletzungen und –verlusten. Also kann eine Investition in eine ordnungsgemäße Datensicherheit ein entscheidender Wettbewerbsfaktor sein.
Dem externen Datenschutzbeauftragten sollte ein interner Koordinator zur Seite stehen. „Meine Erfahrung aus der jahrelangen Praxis als externer Sicherheitsbeauftragter ist es, dass der Koordinator, entsprechend geschult, unsere Arbeit enorm erleichtert. Er kennt Prozesse, Mitarbeiter, Dienstleister und spricht ohne Vermittlungsprobleme die richtigen Mitarbeiter an“, sagt Thomas Ströbele, Berater für Datenschutz und IT-Sicherheit und Geschäftsführer der YourIT GmbH. Verfahrensverzeichnis und Auftragsdatenverarbeitung sowie ähnliche aufwändige Erfassungstätigkeiten liegen in der Obhut des internen Koordinators.
Wie kritisch sind die im Unternehmen verarbeiteten Daten? Ein Unternehmen mit B2B-Geschäft muss primär die Personaldaten schützen. Sie enthalten Informationen zur Gesundheit, der Konfession oder andere kritische Datensätze. Ein Industrieunternehmen z.B. erfasst solche Daten nicht im Kundenstamm. Es genügt also die Mitarbeiterdaten nur in einen bestimmten Bereich auf dem Server oder klassisch in Ordnern in einem speziell gesicherten Personalarchiv abzulegen. Und den Zugang genau zu regeln. Ein Orthopädiehandel verarbeitet dagegen kritische personenbezogene B2C-Daten. Gesundheitsdaten sind quasi im ganzen Unternehmen zugänglich und können nicht gekapselt werden. Entsprechend strenger gelten hier die gesetzlichen Anforderungen der EU-DSGVO.
Vorbereiten muss man sich ebenfalls für den Bereich Verfahren und der Verarbeitungsaktivitäten. Dieser wurde bisher häufig vernachlässigt, sicherlich auch weil es hier bisher keinen Bußgeldparagrafen gab. Heute muss ein Unternehmen ein Verfahrensverzeichnis bzw. künftig ein Verzeichnis der Verarbeitungsaktivitäten in Bezug auf personenbezogene Daten vorweisen. Auch der Auftragsdaten-Verarbeiter muss die Verfahren aufzeichnen und dem Auftraggeber zur Verfügung stellen. Gefragt wird hier insbesondere: Welche Daten werden zu welchem Zweck mit welchem Rechtsgrund verarbeitet, wann sollen sie gelöscht werden? Wie sind die technischen und organisatorischen Maßnahmen, um sicher zu sein.
Wer die EU-DSVGO angeht, sollte über den nächsten Schritt mitdenken. Laut Verordnung betreffen die „Sicherheit der Bearbeitung“ geeignete technische und organisatorische Maßnahmen, aber eben auch die Fähigkeit, die Vertraulichkeit und Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zu gewährleisten. Die EU-DSGVO fordert also letztlich ein Informationssicherheits-Management (ISMS) wie z.B. in der ISO 27001. Deren Pfeiler sind Vertraulichkeit, Integrität und Sicherheit der Daten. Angesichts der Gefahren aus dem Cyberraum sollte der Datenschutz wie ihn die EU-DSGVO einfordert, nur der erste Schritt in Richtung des umfassenden Schutzes aller Informationen sein.