Tracking, Cookies, Big Data: In der aktuellen Debatte um den Datenschutz sind diese Begriffe in aller Munde. Im Mai 2018 tritt die neue Datenschutz Grundverordnung (DSGVO) in Kraft und verpflichtet Unternehmen, sich auf die EU-weiten Richtlinien zum Datenschutz einzustellen. Ist Ihr Unternehmen fit für die DSGVO? Sieben grundlegende Prinzipien leisten Hilfestellung bei der Bewertung.

DSGVO: Steuern Sie Ihre Datenschutz Reise mit Ivanti

Egal, ob Fischerboot, Kreuzfahrtdampfer oder Hochseeschiff – ein guter Kapitän steuert sicher durch jedes noch so raue Gewässer, um am Ende sicher ans Ziel zu kommen. Doch auch mit der modernsten Technik ist nie vollständig kalkulierbar, welche Turbulenzen auf der Route lauern und wo das Schiff vom Kurs abkommt. Jedes Mal, wenn der sichere Hafen verlassen wird, herrscht nervöse Unsicherheit über den Ausgang der Reise.

Rüsten Sie den Datenschutz auf

Ganz ähnlich verhält es sich mit Unternehmen, die sich auf dem Weg zu neuen Compliance-Standards befinden. Noch bis zum 25. Mai 2018 bleibt Zeit, den Kurs auszuloten, denn dann tritt die Datenschutz Grundverordnung (auch General Data Protection Regulation/GDPR) in Kraft und setzt ein EU-weit einheitliche Rechtsgrundlage für den Datenschutz fest. Unter anderem definiert sie, wie personenbezogene Daten von privaten Unternehmen und öffentlichen Stellen verarbeitet werden dürfen. Einerseits stellt dies den Datenschutz sicher und gewährleistet andererseits auch den freien Datenverkehr innerhalb der EU.

Die DSGVO setzt klare Anforderungen, wenn es um die Sicherung und den Schutz von Kundendaten geht. Weniger klar wird hingegen, wie genau Unternehmen bei der Datensicherung vorgehen sollten, um ihre Daten zu sichern. Was erwartet sie, wenn die Richtlinien der DSGVO umgesetzt werden? Wenn Unternehmen ihre Compliance-Strategie festlegen, bedarf es bei einigen Regularien der individuellen Interpretation. Der Weg zu einem DSGVO-konformen Umgang verläuft ohnehin immer anders, auch wenn das Endergebnis dasselbe sein wird.

Der Weg zur DSGVO-Strategie

Vielleicht hat ihr Unternehmen noch nicht einmal den sicheren Hafen verlassen, wenn es um die Reise zur Einhaltung der Datenschutz Grundverordnung geht. Vielleicht aber waren Sie auch schon eine Weile unterwegs, geraten aber in raue Gewässer? Die gute Nachricht: egal, in welchem Stadium der Entwicklung Ihrer DSGVO-Strategie Sie sind. Werfen Sie den Anker, um einige der Schlüsselprinzipien zu evaluieren und das Risikoniveau Ihres Unternehmens auf Basis dieser sieben Grundprinzipien des Datenschutzes zu bewerten:

  1. Gesetzmäßige, faire und transparente Verarbeitung – Dieser Grundsatz betont die Transparenz für alle Beauftragten für Datenschutz in der EU. Bei der Erhebung der Daten muss klar sein, warum die Daten erhoben werden und wofür sie verwendet werden. Unternehmen müssen außerdem bereit sein, auf Anfrage des Betroffenen Angaben zur Datenverarbeitung zu machen. Welche Daten liegen dem Unternehmen überhaupt vor? Wer ist der Datenschutz-Beauftragte im betreffenden Unternehmen?
  2. Zweckbeschränkung – Es muss ein rechtmäßiger und legitimer Zweck vorliegen, um Informationen überhaupt zu verarbeiten. Überlegen Sie, bei wie vielen Unternehmen Sie ein Formular mit 20 Feldern ausfüllen müssen, obwohl Ihr Name, eine E-Mail- und Lieferadresse und vielleicht noch eine Telefonnummer ausreichen würden um Ihnen die Ware zu liefern. Einfach ausgedrückt geht es in diesem Grundsatz darum, dass Unternehmen keine Kundendaten wahllos sammeln sollten, die keinem bestimmten Zweck entsprechen.
  3. Datenminimierung – Stellen Sie sicher, dass die erfassten Daten bedarfsgerecht, relevant und begrenzt sind. In der heutigen Zeit erfassen und sammeln Unternehmen alle möglichen personenbezogenen Daten aus verschiedenen Gründen, um z. B. das Kaufverhalten der Kunden zu analysieren oder Muster auszumachen. Nach diesem Grundsatz müssen Unternehmen sicherstellen, dass sie ausschließlich die für den spezifischen Zweck erforderlichen Daten gespeichert werden.
  4. Präzise und aktuelle Verarbeitung – Beauftragte für Datenschutz müssen sicherstellen, dass die Informationen fehlerfrei, rechtskräftig und zweckmäßig sind. Es müssen Prozesse aufgesetzt werden, die die Verarbeitung und Speicherung der Daten regeln. Dies mag nach einer Menge Arbeit klingen, doch die kontinuierliche Pflege einer Kunden- und Mitarbeiterdatenbank zahlt sich aus. So kann Compliance nachgewiesen werden und auch für das Unternehmen selbst bringt so eine Datenbank einen Mehrwert.
  5. Begrenzung der Speicherung in identifizierbarer Form – Verhindern Sie unnötige Datenredundanz und -replikation. Es sollte begrenzt werden, wie die Daten gespeichert und verschoben werden. Außerdem sollte die Dauer der Datenspeicherung klar definiert und festgelegt werden, wie betroffene Personen im Falle eines Datendiebstahls identifiziert werden können. Unternehmen müssen gewährleisten, dass die Vorschriften der Datenschutz Grundverordnung eingehalten und die Speicherung und der Transport von Daten vollständig kontrolliert werden. Hiermit verbunden ist auch die Implementierung und Durchsetzung von Richtlinien zur Datenaufbewahrung. Die Speicherung von Daten an mehreren Orten sollte limitiert werden. Verhindern Sie beispielsweise, dass Benutzer eine Kopie einer Kundenliste auf einem lokalen Laptop speichern oder die Daten auf ein externes Speichermedium wie einen USB-Stick übertragen. Mehrere illegitime Kopien derselben Daten an mehreren Standorten sind der Alptraum eines jeden Verantwortlichen für Datenschutz.
  6. Vertraulich und sicher – Dieser Grundsatz schützt die Integrität und Vertraulichkeit von Daten, indem er deren Sicherheit gewährleistet (dies betrifft IT-Systeme, Papierakten und physische Sicherheit gleichermaßen). Ein Unternehmen, das Daten sammelt und verarbeitet, ist alleinverantwortlich für die Umsetzung der entsprechenden Sicherheitsmaßnahmen, welche in einem angemessenen Verhältnis zu den Rechten und Risiken betroffener Personen stehen sollten. Unter der Datenschutz Grundverordnung ist Nachlässigkeit keine Entschuldigung mehr. Unternehmen müssen für ausreichende Ressourcen sorgen, um die Daten vor denjenigen zu schützen, die damit Schindluder treiben wollen. Bewerten Sie, wie gut Sicherheitsrichtlinien in Ihrem Unternehmen durchgesetzt werden, inwieweit die Identität derjenigen überprüft wird, die auf die Daten zugreifen können und ob sie ausreichend vor Malware jeglicher Art geschützt sind.
  7. Haftung und Verantwortung – Unternehmen müssen dafür sorgen, dass Compliance auch nachgewiesen werden kann. Sie müssen den Rechtsorganen nachweisen können, dass Sie die notwendigen Schritte unternommen haben, um Betroffene keinem unnötigen Risiko auszusetzen. Jeder Schritt der DSGVO-Strategie muss prüfbar sein und ein Nachweis schnell und effizient erbracht werden. So müssen Unternehmen beispielsweise umgehend auf Anfragen der betroffenen Personen reagieren, welche Daten gespeichert sind und diese Daten auf Wunsch auch unverzüglich löschen. Hierfür muss also nicht nur ein Prozess zur Verwaltung des Antrags aufgesetzt werden, sondern auch ein vollständiger Audit-Trail, um nachzuweisen, dass Sie die richtigen Schritte unternommen haben.

Die einzelnen Richtlinien der Datenschutz Grundverordnung könnten noch viel kleinteiliger aufgedröselt werden, doch diese Übersicht ist ein guter Ausgangspunkt. Nehmen Sie sich die Zeit, die Sie brauchen, um Ihr Risiko zu bewerten. Denken Sie daran, so ehrlich wie möglich mit sich selbst zu sein, wenn Sie ihren Status quo ermitteln. Beginnen Sie dann mit der Planung Ihres Kurses und kalkulieren Sie ein, dass Ihnen auf der Reise auch ungeplante Herausforderungen begegnen können.

Höchste Zeit zu Handeln

Wir sind weniger als ein Jahr von der Compliance-Frist der DSGVO am 25. Mai 2018 entfernt. Wenn Sie mehr darüber erfahren möchten, wie Ivanti Ihnen in den stürmischen Meeren der DSGVO helfen kann, lesen Sie unser Whitepaper oder machen Sie den DSGVO-Test  auf unserer Webseite.