single.php
< Beitrag von Wilfried Unterbusch

DSGVO-Fitness aufbauen

Am 25. Mai 2018 endet die „Schonfrist“ für die neue europäische Datenschutz-Grundverordnung (DSGVO). Die Zeit drängt also. Aus diesem Grund hatte ORBIT am 19. und 20. Januar 2018 zu einem CIO-Treffen eingeladen, um mit verantwortlichen IT-Managern die DSGVO-Fitness ihrer Unternehmen zu ermitteln. Moderiert wurde das CIO-Treffen durch einen Hochschul-Professor.

Nach Basis-Informationen zur DSGVO und ersten Vorträgen von Teilnehmern zu deren DSGVO-Strategie entwickelte sich unter den CIOs eine sehr konstruktive und rege Diskussion. Dabei kristallisierte sich schnell heraus, dass in den meisten Unternehmen folgende Meinung vorherrscht: „Die IT ist für den Datenschutz verantwortlich und somit auch dafür, dass die Vorgaben der DSGVO eingehalten werden.“

Aber ganz so einfach ist das nicht. Die Komplexität der Anforderungen zeigt sich schon im Hinblick auf die Fragen, die ein Unternehmen gemäß DSGVO jederzeit beantworten muss:

  • Wo liegen personenbezogene Daten?
  • Wer hat Zugriff auf diese Daten?
  • Welche Daten darf ich speichern?
  • Wie und wann muss ich Daten löschen?

DSGVO-Fitness ist Teamwork

Als die IT-Verantwortlichen versuchten, solchen Fragen auf den Grund zu gehen, gelangten sie schnell zu der Einsicht: Diese Aufgabe können wir nur im Team lösen. Auch wenn die IT-Abteilung eine wesentliche Rolle spielt – zur Umsetzung der DSGVO braucht jedes Unternehmen ein DSGVO-Umsetzungsteam mit definierten Rollen und Aufgaben:

  • Wichtige Stakeholder, wie Geschäftsleitung oder Personalleitung, müssen von Anfang an informiert und eingebunden werden.
  • Die IT ist verantwortlich für Hardware, Software und Systeme, welche die Anforderungen der EU-DSGVO erfüllen müssen.
  • Der Datenschutzbeauftragte berät, kontrolliert und hält den Kontakt zu den Aufsichtsbehörden.
  • Weiterhin muss der Betriebsrat bei der Verarbeitung von sensiblen und personenbezogenen Daten frühzeitig einbezogen werden.
  • Eine juristische Absicherung wird benötigt, um Fragen zu komplexen Rechtsgrundlagen und Verträgen zu klären.

DSGVO-Fitness: Team

Unterschiedliche DSGVO-Fitness-Grade

Der DSGVO-Fitness-Grad und die Schwerpunkte der Unternehmen bei der Umsetzung waren bemerkenswert unterschiedlich: Bei einige Firmen liegt der Fokus auf der Dokumentation der Verfahren. Andere konzentrieren sich auf die Regelung der Zugriffsrechte und des Datenschutzes. Wieder andere standen erst am Anfang erster Überlegungen und Planungen.

Nach spannenden Vorträgen und angeregten Diskussionen ergab sich das folgende Fazit:

  • Jedes Unternehmen braucht ein DSGVO-Team.
  • Die Sensibilisierung für die DSGVO ist schon der erste Schritt zur Umsetzung.
  • Viele Unternehmen müssen nicht alles neu machen, aber vieles prüfen und anpassen.
  • Die Basisanforderungen, wie z. B. die Dokumentationspflichten, haben Priorität und müssen schnell angepackt werden.
  • Nachhaltigkeit im Datenschutz ist unabdingbar.

DSGVO-Fitness: Prozess

Trotz den wahrhaftig nicht zu unterschätzenden Anforderungen der DSGVO an die Unternehmen nahmen die Teilnehmer auch diese Aspekte mit:

  • Die neue DSGVO bietet noch erheblichen Interpretationsspielraum.
  • Zum 25. Mai 2018 wird es keine 100%-Umsetzung geben. Umso wichtiger ist es, eine Umsetzungsstrategie zu entwickeln und kontinuierlich an der Umsetzung zu arbeiten.
  • Es empfiehlt sich, alle Schritte zu dokumentieren, die zur Umsetzung der DSGVO unternommen werden.
  • Ein gewisses Restrisiko wird bleiben.

Um Fitness zu erreichen, muss man aktiv werden und am Ball bleiben. Das gilt für auch für die DSGVO-Fitness.

Folgen
X

Folgen

E-mail : *
Kategorie: IT-Security | Schlagwörter: | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.