{"id":11198,"date":"2017-06-19T14:33:10","date_gmt":"2017-06-19T12:33:10","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=11198"},"modified":"2017-06-12T09:13:03","modified_gmt":"2017-06-12T07:13:03","slug":"ein-jahr-vor-der-dsgvo-wie-unternehmen-den-eu-datenschutz-umsetzen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=11198","title":{"rendered":"Ein Jahr vor der DSGVO \u2013 Wie Unternehmen den EU-Datenschutz umsetzen"},"content":{"rendered":"
\"\"<\/a>
Erwin Ritter ist seit 2008 als Leiter Organisation und Prozesse bei der Axians Infoma GmbH t\u00e4tig. Er ist Datenschutzbeauftragter bei mehreren Gesellschaften von Axians. Davor war er \u00fcber 20 Jahre als ORG\/IT-Leiter, Prokurist und Mitglied der Gesch\u00e4ftsleitung bei einem mittelst\u00e4ndischen Produktionsunternehmen t\u00e4tig. (Quelle: Axians Infoma GmbH)<\/figcaption><\/figure>\n

Autor\/Redakteur: Erwin Ritter, Leiter Organisation und Prozesse bei der Axians Infoma GmbH<\/a>\/gg<\/p>\n

Im Mai 2018 wird das EU-Regelwerk zum Datenschutz „scharf gestellt“. Unternehmen bleibt nicht viel Zeit, ihre IT f\u00fcr einen gesetzeskonformen Umgang mit personenbezogenen Daten umzubauen. Dabei ist mehr als Datenklassifizierung, Risikoanalyse und Dokumentation gefragt. Die gute Nachricht: Es ist noch nicht zu sp\u00e4t.<\/p>\n

<\/p>\n

Der Datenschutz in Europa wird vereinheitlicht. Darauf zielt die EU-Datenschutz-Grundverordnung (DSGVO) ab. Das Regelwerk, die Verordnung (EU) 2016\/679 des Europ\u00e4ischen Parlaments und des Rates, wurde im April 2016 im EU-Parlament verabschiedet und am 4. Mai 2016 im EU-Amtsblatt ver\u00f6ffentlicht. Die 28 EU-Mitgliedstaaten haben bis zum 25. Mai 2018 Zeit, alle Vorgaben umzusetzen. In Europa gibt es Richtlinien, die von den EU-Staaten in nationales Recht umgesetzt werden m\u00fcssen und Verordnungen, die unmittelbar geltendes Recht sind. Die DSGVO ist eine Verordnung und enth\u00e4lt etwa 70 \u00d6ffnungsklauseln, wo es jedem Mitgliedsstaat \u00fcberlassen ist, diese mit entsprechenden Regelungen zu f\u00fcllen. Somit sind noch viele nationale Gesetze anzupassen und zu verabschieden. Auch das bisherige Bundesdatenschutzgesetz (BDSG) wird durch das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) ersetzt. Bis zum 25. Mai 2018 ist also auch vom Gesetzgeber noch viel zu tun. Die Zeit wird knapp \u2013 man bedenke, dass am 24. September 2017 Bundestagswahlen sind und ein schnelles Vorankommen in der Gesetzgebung durch Wahlvorbereitungen und das sp\u00e4tere Etablieren der neuen Bundesregierung eher verz\u00f6gert wird.<\/p>\n

Einen Plan, wie ein DSGVO-konformer Umgang mit personenbezogenen Daten aussieht, haben nur die wenigsten Unternehmen. Das gaben 97 Prozent der Befragten im vergangenen Herbst im Rahmen einer Studie von Dell zu. Grund, in Panik zu verfallen, besteht nicht. Aber die Unternehmenswelt muss sich dringend um Datensicherheit und Datenschutz k\u00fcmmern.<\/p>\n

Was bedeutet das \u201eRecht auf Vergessen werden\u201c?<\/strong><\/p>\n

In der EU gilt also in einem Jahr das \u201eRecht auf Vergessen werden\u201c. Das Risiko verteilt sich dann auf den Verantwortlichen und den Auftragsverarbeiter, die beide in der Haftung stehen. Dies ist wichtig zu wissen f\u00fcr s\u00e4mtliche Unternehmen, die etwa as-a-Service-Angebote (Datenverarbeitung) beziehen oder anbieten. Personen haben das Recht, ihre Daten plus Links l\u00f6schen zu lassen, wenn ihre Daten rechtswidrig verarbeitet oder behandelt wurden. F\u00fcr mehr Transparenz r\u00e4umt der Gesetzgeber Personen ein Auskunftsrecht ein, um den Zweck der Datenverarbeitung, Speicherdauer, Empf\u00e4nger der Daten und vieles mehr abzufragen. Au\u00dferdem k\u00f6nnen Verbraucher ihre Daten mitnehmen, wechseln sie zu einem anderen Anbieter. Auf der anderen Seite ergeben sich f\u00fcr Unternehmen umfangreiche Informations- und Dokumentationspflichten. So kann die Aufsichtsbeh\u00f6rde einen Datenverarbeiter auffordern, nachzuweisen, dass er mit den pers\u00f6nlichen Informationen korrekt umgeht.<\/p>\n

Bei Verst\u00f6\u00dfen gegen die DSGVO drohen Unternehmen drakonische Strafen bis zu 20 Millionen Euro oder bis zu vier Prozent ihres weltweit erzielten Jahresumsatzes. Es greift der h\u00f6here Wert. Wer k\u00fcnftig die technischen und organisatorischen Ma\u00dfnahmen f\u00fcr die Datensicherheit und den Datenschutz nicht ergreift, muss auch Bu\u00dfgeld zahlen.<\/p>\n

Zur Datensparsamkeit \u00fcber Klassifizierung und Risikoanalyse<\/strong><\/p>\n

Die EU verpflichtet Unternehmen dazu, sich so aufzustellen, dass sie Daten vermeiden. F\u00fcr das Prinzip der Datensparsamkeit schreibt die DSGVO Privacy by Design und Privacy by Default vor. Die Technik realisiert den Datenschutz. Und in ihren Voreinstellungen gew\u00e4hrleistet jede Applikation, die pers\u00f6nliche Daten verarbeitet, den Datenschutz. Unternehmen sollten bereits f\u00fcr das Produktdesign den Datenschutz prozessorientiert mitdenken.<\/p>\n

Als erstes m\u00fcssen sich Unternehmen klarmachen, welche personenbezogenen Daten sie speichern und verarbeiten. Das bildet die Grundlage, um \u00fcberhaupt Daten zu klassifizieren und Risiken zu bewerten. Sonst herrscht bei Datenportabilt\u00e4t und Zugriffsrechten schnell ein undurchschaubares Wirrwarr. Die beste Orientierung liefert ein ganzheitlicher Ansatz, den gute IT-Berater im Wesentlichen aus drei IT-Komponenten zusammenf\u00fcgen, anpassen und realisieren: Rechenschaftspflicht f\u00fcr den Datenschutz, Datenschutzrisikoanalyse und Sicherheitsrisikoanalyse. Zu letztgenannten bieten Hersteller wie etwa IBM viele L\u00f6sungen.<\/p>\n

Die Breite und Tiefe des Angebots \u00fcberfordern jedoch potenzielle Anwenderfirmen, stellen wir bei Axians in unseren Beratungsgespr\u00e4chen immer wieder fest. Unternehmen sollten sich auf L\u00f6sungen konzentrieren, die eine DSGVO-konforme Bewertung ihrer IT in Aussicht stellen. Es empfiehlt sich auf folgenden Leistungsumfang zu achten: Das Identifizieren und Beheben von Sicherheitsschwachstellen, das Ermitteln und Klassifizieren personenbezogener Daten sowie die Audit-sichere Datenkontrolle.<\/p>\n

Nachvollziehbar m\u00fcssen die Rechte sein, wo wer wie auf Daten zugreift, diese bearbeitet, l\u00f6scht und \u00fcbertr\u00e4gt. Das Managen und Melden von Verst\u00f6\u00dfen einschlie\u00dflich einer IT-Forensik zu St\u00f6rungen geh\u00f6rt ebenso abgedeckt, wodurch privilegierte Benutzer im Fokus stehen. Das Verschl\u00fcsseln und das Pseudonymisieren der Daten vor dem Verarbeiten f\u00fchrt die Verordnung explizit auf. Dort steht aber auch, dass die Informationspflicht bei Verschl\u00fcsselung und Pseudonymisierung entf\u00e4llt. Ansonsten m\u00fcssen Unternehmen Sicherheitsvorf\u00e4lle und -verst\u00f6\u00dfe innerhalb von 72 Stunden melden.<\/p>\n

Wegweisende Kriterien<\/strong><\/p>\n

Der Weg zum einheitlichen Datenschutz in der EU ist vorgezeichnet. Den m\u00fcssen alle Unternehmen mitgehen. Einfache L\u00f6sungen von der Stange gibt es nicht, denn im Optimalfall werden Firmenprozesse, interne wie externe Best Practices und organisatorische Bed\u00fcrfnisse ber\u00fccksichtigt und gegen die neuen Anforderungen evaluiert. M\u00f6gliche Schwerpunkte liegen im Datenmapping, um Datenportabilit\u00e4t, Zugriffsrechte und das Recht auf L\u00f6schen umzusetzen. Es gilt nun, den Datenschutzauftrag der EU ernst zu nehmen und sofort anzugehen \u2013 dann muss kein Unternehmen dem 25. Mai 2018 mit Sorge entgegenblicken. Vielmehr bietet die DSGVO Unternehmen die Chance, \u00fcber das \u201eVerzeichnis der Verarbeitungst\u00e4tigkeiten\u201c einen genauen \u00dcberblick \u00fcber alle Datenverarbeitungsprozesse und den gespeicherten Daten zu erhalten. Zudem profitiert jedes Unternehmen sicherheitstechnisch davon, eine aktuelle Risikoeinsch\u00e4tzung vorzunehmen und m\u00f6gliche Risiken \u00fcber entsprechende Aktivit\u00e4ten nachhaltig zu minimieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Erwin Ritter, Leiter Organisation und Prozesse bei der Axians Infoma GmbH\/gg Im Mai 2018 wird das EU-Regelwerk zum Datenschutz<\/p>\n","protected":false},"author":1,"featured_media":11196,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[1881,39],"tags":[9290,8698,9725,9726,9727,1015,9408,3923,1920,316,9724,5274,4252,1138],"class_list":["post-11198","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-glosse","category-management","tag-axians","tag-bdsg","tag-dasupug-eu","tag-datenmapping","tag-datenportabilitaet","tag-datenschutz","tag-dsgvo","tag-eu","tag-forensik","tag-ibm","tag-infoma","tag-klassifizierung","tag-risiko","tag-risikoanalyse"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11198","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11198"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11198\/revisions"}],"predecessor-version":[{"id":11199,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11198\/revisions\/11199"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/11196"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11198"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11198"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11198"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}