Experteninterview zur DSGVO – IT-Sicherheit als zentraler Faktor
Dr. Sebastian Kraska, Anwalt für Datenschutz, erklärt im Interview seine Beweggründe für die Entwicklung seines Datenschutz-Toolkit und welche entscheidende Bedeutung dabei der IT-Sicherheit zuteilwird. Des Weiteren spricht er über den aktuellen Stand in den Unternehmen und zeigt auf, was sich am 25. Mai mit der Datenschutzgrundverordnung konkret ändert und was beim Datenschutz zu beachten ist.
Wie kommt man vom typischen Beratungsgeschäft eines Anwalts hin zum Produktgeschäft?
Während meines Jura-Studiums mit Schwerpunkt IT-Recht verbrachte ich mein Referendariat in der Datenschutz-Abteilung einer Anwaltskanzlei in San Francisco. Diesen Aufenthalt habe ich genutzt, um mit Kollegen über neue Geschäftsmodelle in der Anwaltsbranche zu sprechen. Das nahm ich dann zum Anlass für den Versuch, eine klassische Beratungsdienstleistung in skalierbare Produkte zu übertragen. Dadurch entstanden insgesamt drei Produkte, welche Unternehmen bei Datenschutz-Themen unterstützen. Zusätzlich stellen wir ihnen Datenschutzbeauftragte zur Verfügung.
Was ändert sich mit der DSGVO konkret für die Unternehmen?
Mit der Harmonisierung des europäischen Datenschutzrechts durch die DSGVO am 25.05.2018 steigen die Haftungsrisiken für Unternehmen drastisch an. Setzen Unternehmen Systeme ein, die nicht dem aktuellen Stand der Technik entsprechen, so haben Aufsichtsbehörden nach derzeitiger Rechtslage lediglich die Möglichkeit, die veralteten Systeme abzuschalten. Bußgelder werden erst verhängt, wenn Daten verloren gehen.
Das ändert sich mit dem neuen Gesetz grundlegend. Sozusagen von 0 auf 100, werden nach dem Stichtag direkt Bußgelder möglich in Höhe von 4% des Konzern-Umsatzes oder von 20 Millionen Euro, je nachdem welcher Betrag höher ist. Deshalb ist es nun sehr wichtig, zumindest die Grundlagen des Datenschutzes zu beachten.
Dabei gilt es, drei elementare Einfluss-Bereiche in Betracht zu ziehen:
- Datenschutz
- Datensicherheit
- Strategie
Wie ist der aktuelle Stand in den Unternehmen?
Das Führen bestimmter kritischer Systeme nach dem Stand der Technik kostet sehr viele Ressourcen. Gerade für KMUs stellt sich an dieser Stelle also die Kostenfrage, vor allem im Hinblick auf die hohen Bußgelder. Ist es möglich, sinnvoll und sicher, diese Systeme hausintern zu organisieren und zu bezahlen? Oder ist es nicht klüger, diese Aufgaben an einen Spezialanbieter zu übertragen?
Spezifisches IT Know-how ist oftmals selten. Setzen Unternehmen diese wertvollen Ressourcen also zum Beispiel ein, um interne Exchange-Server zu betreiben, fehlen diese an anderer Stelle. Dementsprechend kommt es mittlerweile häufiger vor, dass Unternehmen gewisse Basisanwendungen außer Haus geben, um sich verstärkt auf ihr eigentliches Kerngeschäft zu konzentrieren.
Was ist zu tun?
Anhand des Datenschutz-Tempels lässt sich ein 5 Punkte Programm für einen grundlegenden Datenschutz ableiten:
Das Dach des Tempels bildet die Implementierung einer Datenschutzrichtlinie. Künftig liegt die Nachweispflicht aufgrund der faktischen Beweislastumkehr bei den Unternehmen. An dieser Stelle hilft die Richtlinie beim Nachweis der Datenschutzkonformität. In diesem zentralen Dokument sollten idealerweise alle wichtigen Kernprozesse des Unternehmens festgehalten werden. Die Richtlinie beschreibt das Verhalten bei Verstößen und beinhaltet unter anderem Verantwortlichkeiten sowie Regelungen für die drei Säulen des Tempels. Es werden zum Beispiel folgende Fragen beantwortet: Wer macht wie was zum Datenschutz? Wie sehen meine Kernprozesse in dem Bereich aus?
Die erste Säule stellt das Verfahrensregister dar, eine Beschreibung der zentralen Verfahren oder Prozesse zur Datenverarbeitung. Dabei empfiehlt es sich, zunächst nur die Kernverfahren zu beschreiben.
Zentrale Kernverfahren:
- Mail und Fileserver
- Telefonie
- Website
- Videoüberwachung
- Lohn & Gehalt
- CRM
- Zentrales System für Mitarbeiterdaten
Wird pro Kernverfahren ein Verfahrensdokument ausgefüllt, entsteht dadurch bereits eine Grunddokumentation. Anschließend kann die weitere Dokumentation sukzessive nach der jeweiligen Priorität erfolgen, um die Aussagefähigkeit im Fall eines Audits zumindest für die Grundverfahren zu gewährleisten.
Erwartungshaltung nach Unternehmensgröße:
Klein: 10 Verfahren
Mittel: 30-40 Verfahren
Groß: über 100 Verfahren
Die Grundanforderungen an die zweite Säule, IT-Sicherheit, ändern sich durch die DSGVO nicht, lediglich die Haftung. Deshalb ist es jetzt an der Zeit, bestehende Grundlagenlücken in der IT zu schließen. Wichtige Basics sind die Implementierung einer 2-Faktor-Authentifizierung, die bauliche und technische Sicherung von Servern sowie die Verschlüsselung mobiler Devices, wie Smartphones, USB-Sticks und Notebooks. Außerdem empfiehlt sich im Rahmen einer grundlegenden Passwort-Policy zumindest eine gewisse Passwort-Komplexität und irgendein festgelegtes Änderungsintervall.
Die letzte Säule bilden mögliche Drittdienstleister. Werden Dienstleistungen an ein anderes Unternehmen ausgelagert, wird ein Datenschutzvertrag benötigt. Hierbei sind typische Fragestellungen: Wann muss ich mich melden, wenn etwas schiefläuft? Wo befinden sich meine Daten? Wie darf ich auditieren? Wann werden meine Daten gelöscht, wenn ich den Vertrag kündige? Welche Subunternehmer dürfen eingesetzt werden?
Der gesamte Datenschutz-Tempel beruht auf dem Fundament der Mitarbeitersensibilisierung. Einfach einen Datenschutzbeauftragten zu bestimmen, reicht künftig nicht mehr aus. Für die Umsetzung und Einhaltung der DSGVO ist es wichtig, alle Mitarbeiter für das Thema Datenschutz zu sensibilisieren und entsprechend zu schulen, entweder persönlich oder über eLearning.
Welche Ziele verfolgen Sie durch die Partnerschaft mit digatus?
Die Säule IT-Sicherheit aus der Tempelgrafik ist von entscheidender Bedeutung und Bedarf neben der theoretischen Datenschutzexpertise auch der technischen Umsetzung und Implementierung. Um diesen wichtigen Bereich also umfassend abdecken zu können, sitzt mit digatus ein IT-Experte mit im Boot. Durch diese strategische Partnerschaft ergeben sich zahlreiche Synergien, wodurch wir für unsere Kunden den größtmöglichen Wert schaffen können.
Bereits während des Studiums begann er seine Karriere bei digatus und verfasste dabei im Rahmen eines internen Projekts auch seine Masterthese. Durch seine mehrjährige Erfahrung in verschiedenen Projekten im Großkundensegment, kennt er zahlreiche best-practice Lösungsansätze aus der Praxis. Mittlerweile verantwortet er den Bereich Industries innerhalb unserer Consulting-Einheit. Seine gesammelten Projektmanagement- und Führungserfahrungen setzt er nun beim Aufbau des neuen Standorts Nürnberg ein.