Experteninterview zur DSGVO
11.05.2018 | Patrick Streit | 8 min Lesezeit
merken
Stern Icon
Stern Icon
Briefumschlag Iconper E-Mail erinnern X Icon
Ladekreisel
Bitte geben Sie eine E-Mail Adresse ein!
Das Datum darf nicht in der Vergangenheit liegen!
Stern Icondiesen Artikel merken
Stern Icondieser Artikel ist auf der Merkliste

Experten­interview zur DSGVO – IT-Sicherheit als zentraler Faktor

grüne Trennlinie

Dr. Sebastian Kraska, Anwalt für Datenschutz, erklärt im Interview seine Beweggründe für die Entwicklung seines Datenschutz-Toolkit und welche entscheidende Bedeutung dabei der IT-Sicherheit zuteilwird. Des Weiteren spricht er über den aktuellen Stand in den Unternehmen und zeigt auf, was sich am 25. Mai mit der Datenschutzgrundverordnung konkret ändert und was beim Datenschutz zu beachten ist.

Wie kommt man vom typischen Beratungs­­geschäft eines Anwalts hin zum Produkt­­geschäft?

grüne Trennlinie

Während meines Jura-Studiums mit Schwerpunkt IT-Recht verbrachte ich mein Referendariat in der Datenschutz-Abteilung einer Anwaltskanzlei in San Francisco. Diesen Aufenthalt habe ich genutzt, um mit Kollegen über neue Geschäftsmodelle in der Anwaltsbranche zu sprechen. Das nahm ich dann zum Anlass für den Versuch, eine klassische Beratungsdienstleistung in skalierbare Produkte zu übertragen. Dadurch entstanden insgesamt drei Produkte, welche Unternehmen bei Datenschutz-Themen unterstützen. Zusätzlich stellen wir ihnen Datenschutzbeauftragte zur Verfügung.

Was ändert sich mit der DSGVO konkret für die Unternehmen?

grüne Trennlinie

Mit der Harmonisierung des europäischen Datenschutzrechts durch die DSGVO am 25.05.2018 steigen die Haftungsrisiken für Unternehmen drastisch an. Setzen Unternehmen Systeme ein, die nicht dem aktuellen Stand der Technik entsprechen, so haben Aufsichtsbehörden nach derzeitiger Rechtslage lediglich die Möglichkeit, die veralteten Systeme abzuschalten. Bußgelder werden erst verhängt, wenn Daten verloren gehen.

Das ändert sich mit dem neuen Gesetz grundlegend. Sozusagen von 0 auf 100, werden nach dem Stichtag direkt Bußgelder möglich in Höhe von 4% des Konzern-Umsatzes oder von 20 Millionen Euro, je nachdem welcher Betrag höher ist. Deshalb ist es nun sehr wichtig, zumindest die Grundlagen des Datenschutzes zu beachten.

Dabei gilt es, drei elementare Einfluss-Bereiche in Betracht zu ziehen:

  • Datenschutz
  • Datensicherheit
  • Strategie
Anführungszeichen
Aufsichts­behörden werden wohl zunächst prüfen, ob Unternehmen das kleine 1x1 des Daten­­schutzes beherrschen, denn der inner­­behördliche Meinungs­­bildungs­­prozess zur Auslegung einzelner Begriffe wird noch einige Zeit dauern.
Dr. Sebastian Kraska
Dr. Sebastian Kraska
Experte für Datenschutz

Wie ist der aktuelle Stand in den Unternehmen?

grüne Trennlinie

Das Führen bestimmter kritischer Systeme nach dem Stand der Technik kostet sehr viele Ressourcen. Gerade für KMUs stellt sich an dieser Stelle also die Kostenfrage, vor allem im Hinblick auf die hohen Bußgelder. Ist es möglich, sinnvoll und sicher, diese Systeme hausintern zu organisieren und zu bezahlen? Oder ist es nicht klüger, diese Aufgaben an einen Spezialanbieter zu übertragen?

Spezifisches IT Know-how ist oftmals selten. Setzen Unternehmen diese wertvollen Ressourcen also zum Beispiel ein, um interne Exchange-Server zu betreiben, fehlen diese an anderer Stelle. Dementsprechend kommt es mittlerweile häufiger vor, dass Unternehmen gewisse Basisanwendungen außer Haus geben, um sich verstärkt auf ihr eigentliches Kerngeschäft zu konzentrieren.

Was ist zu tun?

grüne Trennlinie

Anhand des Datenschutz-Tempels lässt sich ein 5 Punkte Programm für einen grundlegenden Datenschutz ableiten:

Datenschutz Tempel Aufbau DSGVO
Datenschutz-Tempel

Das Dach des Tempels bildet die Implementierung einer Datenschutzrichtlinie. Künftig liegt die Nachweispflicht aufgrund der faktischen Beweislastumkehr bei den Unternehmen. An dieser Stelle hilft die Richtlinie beim Nachweis der Datenschutzkonformität. In diesem zentralen Dokument sollten idealerweise alle wichtigen Kernprozesse des Unternehmens festgehalten werden. Die Richtlinie beschreibt das Verhalten bei Verstößen und beinhaltet unter anderem Verantwortlichkeiten sowie Regelungen für die drei Säulen des Tempels. Es werden zum Beispiel folgende Fragen beantwortet: Wer macht wie was zum Datenschutz? Wie sehen meine Kernprozesse in dem Bereich aus?

Die erste Säule stellt das Verfahrensregister dar, eine Beschreibung der zentralen Verfahren oder Prozesse zur Datenverarbeitung. Dabei empfiehlt es sich, zunächst nur die Kernverfahren zu beschreiben.

 

Zentrale Kernverfahren:

  • Mail und Fileserver
  • Telefonie
  • Website
  • Videoüberwachung
  • Lohn & Gehalt
  • CRM
  • Zentrales System für Mitarbeiterdaten

 

Wird pro Kernverfahren ein Verfahrensdokument ausgefüllt, entsteht dadurch bereits eine Grunddokumentation. Anschließend kann die weitere Dokumentation sukzessive nach der jeweiligen Priorität erfolgen, um die Aussagefähigkeit im Fall eines Audits zumindest für die Grundverfahren zu gewährleisten.

 

Erwartungshaltung nach Unternehmensgröße:

Klein: 10 Verfahren

Mittel: 30-40 Verfahren

Groß: über 100 Verfahren

 

Die Grundanforderungen an die zweite Säule, IT-Sicherheit, ändern sich durch die DSGVO nicht, lediglich die Haftung. Deshalb ist es jetzt an der Zeit, bestehende Grundlagenlücken in der IT zu schließen. Wichtige Basics sind die Implementierung einer 2-Faktor-Authentifizierung, die bauliche und technische Sicherung von Servern sowie die Verschlüsselung mobiler Devices, wie Smartphones, USB-Sticks und Notebooks. Außerdem empfiehlt sich im Rahmen einer grundlegenden Passwort-Policy zumindest eine gewisse Passwort-Komplexität und irgendein festgelegtes Änderungsintervall.

Die letzte Säule bilden mögliche Drittdienstleister. Werden Dienstleistungen an ein anderes Unternehmen ausgelagert, wird ein Datenschutzvertrag benötigt. Hierbei sind typische Fragestellungen: Wann muss ich mich melden, wenn etwas schiefläuft? Wo befinden sich meine Daten? Wie darf ich auditieren? Wann werden meine Daten gelöscht, wenn ich den Vertrag kündige? Welche Subunternehmer dürfen eingesetzt werden?

Der gesamte Datenschutz-Tempel beruht auf dem Fundament der Mitarbeitersensibilisierung. Einfach einen Datenschutzbeauftragten zu bestimmen, reicht künftig nicht mehr aus. Für die Umsetzung und Einhaltung der DSGVO ist es wichtig, alle Mitarbeiter für das Thema Datenschutz zu sensibilisieren und entsprechend zu schulen, entweder persönlich oder über eLearning.

Welche Ziele verfolgen Sie durch die Partner­schaft mit digatus?

grüne Trennlinie

Die Säule IT-Sicherheit aus der Tempelgrafik ist von entscheidender Bedeutung und Bedarf neben der theoretischen Datenschutzexpertise auch der technischen Umsetzung und Implementierung. Um diesen wichtigen Bereich also umfassend abdecken zu können, sitzt mit digatus ein IT-Experte mit im Boot. Durch diese strategische Partnerschaft ergeben sich zahlreiche Synergien, wodurch wir für unsere Kunden den größtmöglichen Wert schaffen können.

Wie Sie in Ihrem Unternehmen mit der DSGVO richtig umgehen und Ihre IT mit Unterstützung von digatus auf den aktuellen Stand der Technik bringen, erfahren Sie hier.

Autor Profilbild

Patrick Streit

grüne Trennlinie

ähnliche Artikel

grüne Trennlinie
Zur Artikelübersicht