Tipps zur DSGVO

Keine Angst vor dem europäischen Datenschutz!

| Autor / Redakteur: Jürgen Bähr / Peter Schmitz

Viele der Auflagen der neuen DSGVO sind nicht so kompliziert, wie sie auf den ersten Blick erscheinen. Trotzdem müssen sich Unternehmen damit dringend auseinandersetzen.
Viele der Auflagen der neuen DSGVO sind nicht so kompliziert, wie sie auf den ersten Blick erscheinen. Trotzdem müssen sich Unternehmen damit dringend auseinandersetzen. (Bild: Pixabay / CC0)

Die neue Datenschutzgrundverordnung (DSGVO) gilt ab dem 25. Mai 2018 in allen EU-Mitgliedsstaaten und bringt den Datenschutz in der Europäischen Union auf ein einheitliches Niveau. Unternehmen, die ab Mai 2018 die neuen Regeln verletzen, drohen hohe Strafen. Aber nicht alles wird komplizierter. Die DSGVO zeichnet sich vor allem durch Kompaktheit und eine klare Struktur aus.

Vier Jahre haben die EU-Parlamentarier in Brüssel an der neuen Verordnung gearbeitet, die zum Ziel hat den Schutz der Bürger zu verbessern. 2016 trat die Regelung in Kraft, 2018 endet die Übergangsfrist und die neue Regelung gilt direkt. Verstöße können ab besagtem Datum mit Geldstrafen geahndet werden, die vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorigen Geschäftsjahres entsprechen. Damit wird der Schutz personenbezogener Daten für Unternehmen zu einer ernstzunehmenden Aufgabe.

Verständlich, dass die Regelung manch einem Unternehmer Sorge bereitet, ergeben sich doch durch die neue Verordnung einige zum Teil erhebliche Änderungen. So müssen Unternehmen zum Beispiel ab 2018 nicht nur die Prinzipien des Datenschutzes einhalten, sondern dies auch nachweisen können. Doch nicht alles wird komplizierter. Die neue Verordnung zeichnet sich vor allem durch Kompaktheit und eine klare Struktur aus. Im Folgenden werden einige dieser Vorgaben herausgenommen und Strategien für eine einfache Umsetzung aufgezeigt.

Verstöße müssen gemeldet werden

Ein wichtiger Punkt der DSGVO ist die Meldepflicht von Verstößen. Kommt es zu einer Verletzung des Datenschutzes, sind Unternehmen laut Artikel 33 Abs. 1 DSGVO verpflichtet, diese Verletzung innerhalb von 72 Stunden an eine Aufsichtsbehörde zu melden. Außerdem sind in dieser Zeitspanne auch die betroffenen Personen zu informieren. Am besten erfüllen Sie diese Vorgabe, indem Sie Zugriffe und Zugriffsberechtigungen elektronisch erfassen. Wenn es dann tatsächlich zu einem Verstoß kommt, haben Unternehmen keine Zeit zu verlieren. Mit einer Access Governance-Lösung können Sie schnell, einfach und sehr genau nachvollziehen, wer auf welche Daten zugreifen kann und wie lange er diese Berechtigung bereits hat. Das hilft Ihnen nicht nur, Fehler im Berechtigungssystem früh zu erkennen und mögliche Schäden zu verhindern, bevor sie entstehen. Diese Informationen helfen Ihnen auch, die Meldung an die Aufsichtsbehörde schnell und mit allen notwendigen Informationen zu machen.

Der Datenschutzbeauftragte

Unter bestimmten Voraussetzungen, die in Artikel 37 Abs. 1 DSGVO geregelt sind, müssen Unternehmen einen Datenschutzbeauftragten benennen. Er überwacht im Wesentlichen die Einhaltung der geltenden Vorschriften, berät die Verantwortlichen und informiert ggf. die Aufsichtsbehörde. Allerdings steht es Unternehmen frei, einen Datenschutzbeauftragten auch dann zu benennen, wenn sie nicht dazu verpflichtet sind. Viele Unternehmen entscheiden sich bereits jetzt dazu, einen externen Datenschutzbeauftragten zu benennen. Das hat den Vorteil, dass die eigenen Mitarbeiter ihren Kernaufgaben nachgehen können, während gleichzeitig ein zertifizierter Experte über die Einhaltung der Regelungen wacht und Beratung anbietet. Viele Systemintegratoren, Systemhäuser und Reseller bieten bereits Dienste in dieser Richtung an.

Zugriffsrechte überwachen und verwalten

In Artikel 5 Abs. 1 DSGVO ist festgelegt, dass personenbezogene Daten gegen den Verlust, unbeabsichtigte Änderungen und natürlich unbefugten Zugriff zu sichern sind. Es dürfen also nur berechtigte Mitarbeiter auf diese Daten zugreifen. Ferner ist dies auch nach Artikel 5 Abs. 2 DSGVO revisionssicher zu dokumentieren. Das bedeutet, dass ein Unternehmen bei einer Überprüfung nachweisen können muss, dass die Daten in der Vergangenheit vor unbefugtem Zugriff geschützt waren. Hier empfiehlt sich wieder der Einsatz einer Software. Gute Access Governance-Lösungen sind in der Lage, die Rechtestrukturen in bestehenden Systemen auszuwerten und so den Ist-Zustand der Berechtigungen sowie die Historie übersichtlich darzustellen. Mit einem übergeordneten Rollenkonzept können Sie jedem Mitarbeiter eine Rolle und darüber die zugehörigen Rechte zuweisen. Daraus leitet sich ein Soll-Zustand ab. Über Abweichungen können die verantwortlichen Mitarbeiter sofort automatisch informiert werden. So halten Sie mit einer Access Governance-Lösung nicht nur die gesetzlichen Vorgaben ein. Eine klare Rechtestruktur trägt auch maßgeblich zur Unternehmenssicherheit bei und entlastet Ihre IT-Abteilung bei neuen Rechtevergaben und der Erstellung von Berechtigungsanalysen.

Ein Tipp: Wenn Sie darüber hinaus die Datensicherheit erhöhen und Kosten einsparen möchten, dann ist die zusätzliche Einführung eines Identity Management-Systems zu empfehlen. Weg von manuellen und papiergebundenen Anträgen hin zu einem elektronischen Antragswesen mit automatisierter Berechtigungsanlage und unmittelbarem Berechtigungsentzug bei Austritt oder Abteilungswechsel.

Fazit

Viele der Auflagen der neuen DSGVO sind nicht so kompliziert, wie sie auf den ersten Blick erscheinen. Es gibt bereits heute externe Dienstleister, die sich darauf spezialisiert haben, Unternehmen bei der Vorbereitung auf das Inkrafttreten der DSGVO am 25. Mai 2018 zu unterstützen. Viele der Anforderungen können zudem durch den Einsatz von Software, zum Beispiel einer Access Governance-Lösung, unkompliziert erfüllt werden. In diesem Fall ist besonders auf eine einfache Bedienbarkeit, ein übergeordnetes Rollenkonzept und eine revisionssichere Dokumentation von Zugriffsberechtigungen zu achten. Durch den Einsatz eines IDM-Systems ergeben sich hier auch noch weitere Möglichkeiten, Arbeitsprozesse zu optimieren. Wer sich rechtzeitig auf den 25. Mai 2018 vorbereitet, wird mit der DSGVO nicht nur keine Schwierigkeiten haben, sondern sogar Chancen entdecken.

Zum Autor: Jürgen Bähr ist Geschäftsführer der G+H Systems GmbH in Offenbach. Das Unternehmen ist unter anderem im Bereich Identity Management und Access Governance aktiv.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44848057 / Compliance und Datenschutz )