Experten­interview zur DSGVO – IT-Sicherheit als zentraler Faktor

Während meines Jura-Studiums mit Schwerpunkt IT-Recht verbrachte ich mein Referendariat in der Datenschutz-Abteilung einer Anwaltskanzlei in San Francisco. Diesen Aufenthalt habe ich genutzt, um mit Kollegen über neue Geschäftsmodelle in der Anwaltsbranche zu sprechen. Das nahm ich dann zum Anlass für den Versuch, eine klassische Beratungsdienstleistung in skalierbare Produkte zu übertragen. Dadurch entstanden insgesamt drei Produkte, welche Unternehmen bei Datenschutz-Themen unterstützen. Zusätzlich stellen wir ihnen Datenschutzbeauftragte zur Verfügung.

Mit der Harmonisierung des europäischen Datenschutzrechts durch die DSGVO am 25.05.2018 steigen die Haftungsrisiken für Unternehmen drastisch an. Setzen Unternehmen Systeme ein, die nicht dem aktuellen Stand der Technik entsprechen, so haben Aufsichtsbehörden nach derzeitiger Rechtslage lediglich die Möglichkeit, die veralteten Systeme abzuschalten. Bußgelder werden erst verhängt, wenn Daten verloren gehen.

Das ändert sich mit dem neuen Gesetz grundlegend. Sozusagen von 0 auf 100, werden nach dem Stichtag direkt Bußgelder möglich in Höhe von 4% des Konzern-Umsatzes oder von 20 Millionen Euro, je nachdem welcher Betrag höher ist. Deshalb ist es nun sehr wichtig, zumindest die Grundlagen des Datenschutzes zu beachten.

Dabei gilt es, drei elementare Einfluss-Bereiche in Betracht zu ziehen:

• Datenschutz
• Datensicherheit
• Strategie

Das Führen bestimmter kritischer Systeme nach dem Stand der Technik kostet sehr viele Ressourcen. Gerade für KMUs stellt sich an dieser Stelle also die Kostenfrage, vor allem im Hinblick auf die hohen Bußgelder. Ist es möglich, sinnvoll und sicher, diese Systeme hausintern zu organisieren und zu bezahlen? Oder ist es nicht klüger, diese Aufgaben an einen Spezialanbieter zu übertragen?

Spezifisches IT Know-how ist oftmals selten. Setzen Unternehmen diese wertvollen Ressourcen also zum Beispiel ein, um interne Exchange-Server zu betreiben, fehlen diese an anderer Stelle. Dementsprechend kommt es mittlerweile häufiger vor, dass Unternehmen gewisse Basisanwendungen außer Haus geben, um sich verstärkt auf ihr eigentliches Kerngeschäft zu konzentrieren.

Anhand des Datenschutz-Tempels lässt sich ein 5 Punkte Programm für einen grundlegenden Datenschutz ableiten:

Das Dach des Tempels bildet die Implementierung einer Datenschutzrichtlinie. Künftig liegt die Nachweispflicht aufgrund der faktischen Beweislastumkehr bei den Unternehmen. An dieser Stelle hilft die Richtlinie beim Nachweis der Datenschutzkonformität. In diesem zentralen Dokument sollten idealerweise alle wichtigen Kernprozesse des Unternehmens festgehalten werden. Die Richtlinie beschreibt das Verhalten bei Verstößen und beinhaltet unter anderem Verantwortlichkeiten sowie Regelungen für die drei Säulen des Tempels. Es werden zum Beispiel folgende Fragen beantwortet: Wer macht wie was zum Datenschutz? Wie sehen meine Kernprozesse in dem Bereich aus?

Die erste Säule stellt das Verfahrensregister dar, eine Beschreibung der zentralen Verfahren oder Prozesse zur Datenverarbeitung. Dabei empfiehlt es sich, zunächst nur die Kernverfahren zu beschreiben.

Zentrale Kernverfahren:

• Mail und Fileserver
• Telefonie
• Website
• Videoüberwachung
• Lohn & Gehalt
• CRM
• Zentrales System für Mitarbeiterdaten

Wird pro Kernverfahren ein Verfahrensdokument ausgefüllt, entsteht dadurch bereits eine Grunddokumentation. Anschließend kann die weitere Dokumentation sukzessive nach der jeweiligen Priorität erfolgen, um die Aussagefähigkeit im Fall eines Audits zumindest für die Grundverfahren zu gewährleisten.

Erwartungshaltung nach Unternehmensgröße:

Klein: 10 Verfahren

Mittel: 30-40 Verfahren

Groß: über 100 Verfahren

Die Grundanforderungen an die zweite Säule, IT-Sicherheit, ändern sich durch die DSGVO nicht, lediglich die Haftung. Deshalb ist es jetzt an der Zeit, bestehende Grundlagenlücken in der IT zu schließen. Wichtige Basics sind die Implementierung einer 2-Faktor-Authentifizierung, die bauliche und technische Sicherung von Servern sowie die Verschlüsselung mobiler Devices, wie Smartphones, USB-Sticks und Notebooks. Außerdem empfiehlt sich im Rahmen einer grundlegenden Passwort-Policy zumindest eine gewisse Passwort-Komplexität und irgendein festgelegtes Änderungsintervall.

Die letzte Säule bilden mögliche Drittdienstleister. Werden Dienstleistungen an ein anderes Unternehmen ausgelagert, wird ein Datenschutzvertrag benötigt. Hierbei sind typische Fragestellungen: Wann muss ich mich melden, wenn etwas schiefläuft? Wo befinden sich meine Daten? Wie darf ich auditieren? Wann werden meine Daten gelöscht, wenn ich den Vertrag kündige? Welche Subunternehmer dürfen eingesetzt werden?

Der gesamte Datenschutz-Tempel beruht auf dem Fundament der Mitarbeitersensibilisierung. Einfach einen Datenschutzbeauftragten zu bestimmen, reicht künftig nicht mehr aus. Für die Umsetzung und Einhaltung der DSGVO ist es wichtig, alle Mitarbeiter für das Thema Datenschutz zu sensibilisieren und entsprechend zu schulen, entweder persönlich oder über eLearning.

Die Säule IT-Sicherheit aus der Tempelgrafik ist von entscheidender Bedeutung und Bedarf neben der theoretischen Datenschutzexpertise auch der technischen Umsetzung und Implementierung. Um diesen wichtigen Bereich also umfassend abdecken zu können, sitzt mit digatus ein IT-Experte mit im Boot. Durch diese strategische Partnerschaft ergeben sich zahlreiche Synergien, wodurch wir für unsere Kunden den größtmöglichen Wert schaffen können.