«Daten sind das neue Gold». Deswegen regelt die Datenschutz-Grundverordnung der Europäischen Union (GPDR) den Umgang damit und sorgt für mehr Schutz für Einzelpersonen sowie Rechtsklarheit.
Mittlerweile hat man schon viel über GDPR* gehört. Dementsprechend sollte die Umsetzung bei den meisten Unternehmen bereits in vollem Gang und weit fortgeschritten sein. Die Uhr tickt, denn ab dem 25. Mai 2018 tritt die Datenschutz-Grundverordnung in Kraft. Danach drohen Unternehmen bei Verstössen hohe Bussenbeträge zwischen 10 und 20 Millionen Euro, respektive 2% bis 4% des globalen Jahresumsatzes. Trotzdem nehmen wir bei Dinotronic in vielen Kundengesprächen wahr, dass die Herangehensweisen und das nötige Fachwissen sehr unterschiedlich sind. Einige Unternehmen sind bereits mitten in der Umsetzung von Massnahmen, andere beginnen erst mit der Analyse und der Risikobeurteilung. Wie meistens bei der Einführung neuer Reglemente wird der mangelnde Fortschritt bei deren Umsetzungen mit Ressourcenknappheit oder unklaren Vorgaben verargumentiert. Wir gehen davon aus, dass insbesondere in kleineren Unternehmen die Ursache für die Verzögerung im fehlenden Fachwissen auf Managementebene und beim internen Datenschutzbeauftragten liegt.
Eine erfolgreiche GDPR-Umsetzung wird viel einfacher, wenn man sich die richtigen Fragen stellt, die notwendigen Massnahmen priorisiert aufzeichnet und verwaltet. In diesem Blog zeigen wir Ihnen auf, wo Sie starten und wie Sie sich auf ein Assessment vorbereiten sollten.
*Was ist GDPR?
GDPR = General Data Protection Regulation oder auf deutsch DSGVO = Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung der Europäischen Union tritt am 25. Mai 2018 in Kraft und betrifft alle Unternehmen, Behörden, gemeinnützige und andere Organisationen, die Waren und Dienstleistungen an Personen in der EU verkaufen beziehungsweise Daten von EU-Bürgern erfassen und sammeln. Sie bietet Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten, sorgt für mehr Transparenz über die Nutzung dieser Daten und erfordert Sicherheit und Kontrollen zum Schutz von Daten.
GDPR soll den Schutz von Personen im Bereich der persönlichen Datenverarbeitung standardisieren und die Rechte der Einzelpersonen auf ihre persönlichen Daten stärken. Wie oft haben Sie die allgemeinen Geschäftsbedingungen einer Internetdienstleistung gelesen und falls ja, danach noch verstanden, was mit den von Ihnen angegebenen Daten passiert? Ein bekanntes Szenario, welches sich verbessern muss!
Mit Personendaten kann bereits heute viel Vermögen und Einfluss erzeugt werden, weshalb sie bestmöglichem Schutz unterstellt werden müssen. Zukünftig sollen Sie als Person jederzeit die Möglichkeit haben, zu ergründen, was mit Ihren Daten passiert. So müssen, wenn Sie sich beispielsweise von einer Dienstleistung abmelden, Ihre Daten vollumfänglich gelöscht werden. Gesetzliche Massnahmen bestehen weiter, Kontextinformationen (Quer- und Längsprofil) rund um Ihre Person dürfen nach der Löschung nicht mehr vorhanden sein.
Anhand der vorherigen Beschreibung, werden IT-Spezialisten die damit verbundenen grossen technischen Herausforderungen bereits erkannt haben. Die Umsetzung von GDPR ist jedoch nicht nur eine rein technische Massnahme, sie beginnt bereits mit der Strategie des Unternehmens, welches Daten als Vermögenswerte erkennt, verwaltet, schützt und über die es jederzeit Auskunft geben kann.
Es gibt verschiedene Modelle, wie Sie ein Assessment starten können. Wir empfehlen Ihnen, mit einem Asset-Impact Oriented Approach (Vermögenswerte / Auswirkung ausgerichtete Analyse) zu beginnen.
Definieren Sie dafür Ihre Assets wie Prozesse, Subprozesse, Systeme und Informationen über Kunden und Mitarbeitende. Welche sammeln Daten? Wie werden diese ausgewertet? Welche GDPR-Auflagen haben Auswirkung auf Ihre Prozesse?
Nachdem Sie wissen, was es zu schützen gibt, sollten Sie aufzeigen, wie Sie es schützen. Definieren Sie Ihre Führungspraktiken und Prozesse. Zeigen Sie auf, wo welche Daten erfasst und bearbeitet werden. Haben Sie bereits ein Konzept zur Datenklassifizierung? Wer kann auf die Daten während ihres Lebenszyklus zugreifen oder sie aus Ihrem Unternehmen exportieren? Und wer ist in Ihrem Unternehmen für die Datensicherheit zuständig?
Sind Prozesse und Strukturen definiert, benennen Sie nun auch die technischen Implementationen und wie diese zum Schutz der personenbezogenen Daten beitragen. Sind Ihre Daten durch die Architektur Ihrer Software geschützt? Welche Kontrollmöglichkeiten haben Sie im Betrieb, um den Schutz aufrecht zu halten? Die bekanntesten Kontrollen sind die Pseudonymisierung und die Verschlüsselung. Verfügen Sie über die Fähigkeit, spezifische Daten zu löschen oder auf Anfrage hin zu anonymisieren? Wie gehen Sie mit Risiken um?
Der sehr wahrscheinlich wichtigste Faktor in der Umsetzung der GDPR in Ihrem Unternehmen ist die Transparenz.
Können Sie in nützlicher Frist aufzeigen, wo sich Ihre Daten befinden? Können Sie den Datenfluss aus und in den europäischen Raum feststellen? Und wie sind Ihre Partner (Dienstleistungen von Dritten) diesbezüglich geschützt?
Daten sind in der vierten industriellen Revolution ein wichtiges Gut, um erfolgreich am Markt operieren zu können. Mittlerweile kennen viele Unternehmen die Redewendung “Daten sind das neue Gold”. GDPR nimmt sich genau dieser Herausforderung an, hilft, den Umgang mit personenbezogenen Daten zu regeln und sorgt somit international für gleich lange Spiesse in der Rechtsklarheit.
Heutzutage passiert das Sammeln solcher Informationen häufig unbewusst und nicht oder nur sehr schlecht überwacht. Aus diesem Grund sehen wir bei Dinotronic die GDPR nicht ausschliesslich als Regulativ für Ihr Unternehmen oder Ihre Organisation, sondern vielmehr auch als ein wichtiges Unterscheidungskriterium.
Kontaktieren Sie uns noch heute und legen Sie das Fundament für eine erfolgreiche Umsetzung.
15. März 2018 | Geschrieben von Philipp Hiestand