Die größte Herausforderung für Unternehmen ist die Intransparenz bezüglich ihrer Daten und hier insbesondere ihrer personenbezogenen Daten: Welche Daten fallen an, wo kommen sie her, wohin fließen sie und wo werden sie abgelegt? Unter Umständen handelt es sich dabei auch nur um Datenbestandteile, die weiterverarbeitet werden – Datenfragmentierung ist hier das Stichwort.
Aber warum ist das alles relevant?
- Personen haben das Recht „vergessen zu werden“. Unternehmen müssen Daten also auf Anfrage löschen. Aber was löst das denn aus: „Bitte alle Daten über mich löschen“? Wie wird dieser Aufforderung vollumfänglich nachgekommen?
- „Pflicht zur Auskunft“: Das bedeutet, dass das datenverarbeitende Unternehmen in der Lage sein muss, Auskunft darüber geben zu können, welche Unternehmensbereiche in die Datenverarbeitung involviert sind und wer der jeweilige Datenschutzverantwortliche ist.
- „Datenlecks“: Mögliche Datenlecks müssen frühzeitig erkannt werden. Dafür ist wiederum ein funktionierendes Risikomanagement nötig, welches regelmäßig und insbesondere IT-Risiken ermittelt und, im Hinblick auf Datenschutzverletzungen, bewertet. Ferner muss man hierzu wissen inwiefern Daten – und welche – betroffen sein könnten.
- “Datenflüsse” über Unternehmensbereichsgrenzen oder gar Unternehmensgrenzen hinweg sind immer eine Schwachstelle für mögliche Datenlecks. Somit ist es wichtig zu wissen, über welche Kanäle und wohin bzw. woher schutzrelevante Daten fließen. Was natürlich deswegen geschieht, weil das eigene Unternehmen diese Daten entweder auswertet oder verarbeitet, und hier sind wir wieder bei dem Punkt: Welche IT-Systeme und welche Unternehmensbereiche sind involviert?
- „Privacy by Design“: Nur für diesen Zweck relevante IT-Systeme dürfen Zugriff auf personenbezogene Daten haben. Umgekehrt ist zu ermitteln, welche IT-Systeme unnötigerweise ebenfalls solche Daten entweder speichern oder verarbeiten. Insgesamt ist die IT-Landschaft und damit jedes IT-System so zu gestalten (zu designen) oder auch umzugestalten, dass der Schutz personenbezogener Daten gewährleistet ist.
Warum ist das wichtig?
Die General Data Protection Regulation (GDPR) bzw. die EU-Datenschutz-Grundverordnung setzt enge Fristen für das Melden von Datenschutzverletzungen wie zum Beispiel von Datenlecks. Das heißt konkret: ohne unangemessene Verzögerung und zwar innerhalb von 72h. In öffentlichen Quellen kursieren derzeitig Zeiträume von ca. 250 Tagen, bis überhaupt eine Datenschutzverletzung erkannt wird sowie von weiteren 80 Tagen bis zur Behebung – also fast ein Jahr!
Hier offenbart sich das Ausmaß der vorhandenen Intransparenz: Selbstverständlich werden auch in der Zukunft Datenlecks auftreten und erst nach einer gewissen Zeit erkannt werden, und dennoch gibt es zwei Stellschrauben:
- Insgesamt weniger mögliche Datenlecks durch eine frühzeitige Risikoidentifizierung und -bewertung
- Schnellere Behebung, falls es doch zu einem Datenleck kommt und schneller Klarheit darüber erlangen, welche Ausmaße es hat, worauf und wie es zu beheben wäre. Im Wesentlichen also eine Analyse tatsächlicher und möglicher Abhängigkeiten zu IT-Systemen, Prozessen, Unternehmensbereichen, anderen Daten.
Konsequenzen, und zwar äußerst drastische, drohen im Falle von Nichteinhaltung der Verordnung. Man spricht von Bußgeldern bis 20 Millionen Euro oder 4% des jährlichen Umsatzes pro Verstoß. Jetzt könnte man meinen, das ist in Deutschland wahrscheinlich nicht so ein Problem, da es ja bisher schon das Bundesdatenschutzgesetz gab und viele Bestandteile der DSGVO darin enthalten sind. Es ist nur so, dass selbst hierzu viele Unternehmen nicht „compliant“ waren und zum Teil auch heute noch nicht sind und zwar aus dem einfachen Grund, weil die Strafen relativ gering waren. Wie gesagt: waren. In dem derzeitigen Entwurf (BDSG-E) sind Strafen für Haftungsrisiken möglich, und zwar für Datenschutzbeauftragte, Manager sowie involvierte Mitarbeiter. Auch wenn es lokal Spielräume gibt, wird das BDSG doch sehr weitgehend durch diese europäische Verordnung ersetzt und man darf deutliche höhere Dokumentationsaufwendungen erwarten.
Was tun?
Wie gefordert sollte man alle möglicherweise für das Thema relevanten Mitarbeiter angemessen mit Bezug auf ihren jeweiligen Arbeitsbereich unterweisen. Wie könnte das aussehen? In der einfachsten Form lässt man sie einfach eine entsprechende Anweisung unterschreiben, legt diese ab und zeigt sie dann dem Auditor, wenn er danach fragt. Zwar teilerfüllt man damit Artikel 32 (Sicherheit der Verarbeitung), aber tatsächlich wird dadurch die Verantwortung nur auf die Mitarbeiter verlagert und das Risiko bspw. eines Datenlecks ist womöglich immer noch vorhanden. Auch die Zeit, die für die Entdeckung und Behebung einer Datenschutzverletzung vergeht, wird wohl noch weiterhin 250 bzw. 80 Tage dauern.
Außerdem – und jetzt wird’s konkret – ist damit Artikel 30 der EU Datenschutz-Grundverordnung (Verzeichnis aller Verarbeitungstätigkeiten) nicht ausreichend bedient. Dieser verlangt nämlich im Wesentlichen: Darlegung eben ALLER Verarbeitungstätigkeiten, Zwecke, Kategorien betroffener Personen und deren Daten.
Der erste Schritt muss also eigentlich sein, dass das Unternehmen einen genauen Überblick darüber gewinnt, welche IT-Systeme, Anwendungen und Prozesse vorhanden sind und wo sie sich befinden (IT-Inventar). In Folgeiterationen ist dann zu ermitteln, wo personenbezogene Daten, z.B. Kundendaten, liegen und welche IT-Systeme oder Anwendungen darauf zugreifen bzw. durch welche Prozesse sie verändert oder verarbeitet werden (www.searchsecurity.de/meinung/EU-Datenschutz-Cloud-Sicherheit-und-die-GDPR-erste-Schritte-fuer-die-Compliance). Sie stellen wahrscheinlich fest, dass Sie über mehr Kundendaten verfügen als Sie jetzt denken…
Ein derart erfasstes „IT-und Dateninventar“ kann dann – außer, dass man es als Informationsgrundlage für die Einleitung korrektiver Maßnahmen nutzt – neben der an Mitarbeiter zu verteilenden und zu unterschreibenden Anweisung der zweite wesentliche Bestandteil der „Bewusstseinserweiterung“ für die Mitarbeiter sein. Das Unternehmen könnte beispielsweise ein Informationsportal darauf aufbauen, so dass jeder für seinen Bereich sehen kann, bei welchen Tätigkeiten im Rahmen welcher Prozesse und unter Verwendung welcher IT-Systeme er oder sie auf personenbezogene Daten zugreift. Und dieses Portal im Ganzen ist auch die ideale Erfüllung des Artikels 30 „Verzeichnis aller Verarbeitungstätigkeiten“. Im Übrigen unterstützt Inventarisierung, sofern sie Prozesse, IT-Systeme und Daten und deren Abhängigkeiten erfasst ganz direkt auch Artikel 35 „Folgenabschätzung“.
Unternehmen müssen übrigens beweisen, dass sie „State-Of-The-Art“-Technologie und Abläufe einsetzen respektive implementieren, um den GDPR-Anforderungen zu genügen. Dies trifft auf den Betrieb zu, aber auch auf die Dokumentation. Das Informationsportal schlägt quasi 2 Fliegen mit einer Klappe: Zum einen – wenn richtig gemacht – ist es revisionssicher, hält historische Stände vor und bietet geeignete Sichten je nach Rolle (also auch für den Auditor), zum anderen ist es wie schon angedeutet die Informationsgrundlage für Prozessumstrukturierungen sowie Änderungen an IT-Landschaft und IT-Systemen.
Übrigens:
Mit Erscheinungsdatum dieses Blog stehen Ihnen noch 342 Tage bis zum Erreichen der Deadline (28.05.2018) zur Verfügung. Wenn Sie aber an die durchschnittlichen Zeiten denken, die vom Auftreten bis zum Beheben eines Datenlecks vergehen, ist die Zeit schon fast abgelaufen. In Panik muss deshalb nun niemand verfallen, wir empfehlen aber dringend sich zeitnah mit dem Thema GDPR auseinanderzusetzen.
Weitere Information zum Thema EU-DSGVO erhalten Sie auf www.mega.com.
Peter Brünenberg leitet als Vice President & Managing Director, German, Austrian, and Swiss Operations die Geschäftsentwicklung der deutschen, österreichischen und schweizerischen Märkte. Nach zwei Jahren als Head of Technology bei MEGA wurde er beauftragt, die deutsche Tochtergesellschaft von Berlin aus zu führen. Peter Brünenberg ist von Hause aus Diplom-Wirtschaftsinformatiker (FH).