Datenschutz-Grundverordnung und Drittanbieter

DSGVO und effektive Compliance-Berichterstattung

| Autor / Redakteur: Jörg Vollmer / Peter Schmitz

Die DSGVO ist kein Einzelziel, sondern sollte als Katalog laufender Anforderungen an die Handhabung, Verwaltung und Speicherung von Daten im Unternehmen verstanden werden.
Die DSGVO ist kein Einzelziel, sondern sollte als Katalog laufender Anforderungen an die Handhabung, Verwaltung und Speicherung von Daten im Unternehmen verstanden werden. (Bild: Pixabay / CC0)

Im Mai 2018 wurde die Datenschutz-Grundverordnung der EU verbindlich und noch immer haben viele Unternehmen ihre DSGVO-Vorbereitungen nicht abgeschlossen. Dabei müssen Verantwortliche für die DSGVO und die Compliance-Maßnahmen im Unternehmen eigentlich kontinuierlich sicherstellen, dass die Bestimmungen eingehalten werden.

Wie Umfragen und Untersuchungen zeigen, waren zahlreiche Firmen im Vorfeld der Deadline nicht DSGVO-konform. Deloitte konstatierte, dass nur 15 Prozent der Unternehmen vor dem 25. Mai vollständig vorbereitet sein würden; 62 Prozent hatten Maßnahmen getroffen, um die wichtigsten Compliance-Anforderungen abzudecken und ihre Vorgehensweisen im Hinblick auf die restlichen Erfordernisse abgestimmt. Eine Untersuchung von Neustar im gemeinnützigen Sektor ergab, dass nur 31 Prozent der dortigen Einrichtungen meinten, vorbereitet zu sein – obwohl die Informationen, die in diesem Bereich gespeichert werden, zu den sensibelsten personenbezogenen Daten überhaupt gehören. Und einen Monat nach der Deadline erfüllen viele Unternehmen und Organisationen ihre Compliance-Verpflichtungen immer noch nicht.

Ein Teil des Problems ist hier allerdings, dass die DSGVO kein Einzelziel ist, das es zu erreichen gilt. Vielmehr sollte die DSGVO als ein Katalog laufender Anforderungen an die Handhabung, Verwaltung und Speicherung von Daten im gesamten Unternehmen verstanden werden.

Compliance – langfristige Strategien und kurzfristige Nachweise

Die meisten Unternehmen werden bereits verschiedene Prüfungen durchgeführt haben, um sich auf die DSGVO vorzubereiten. Einschätzungen zur Ermittlung wichtiger Bereiche, in denen betriebliche Veränderungen hinsichtlich der Datenverwaltung notwendig sind, können dazu genauso zählen wie detailliertere Analysen der bestehenden Datenprozesse im Unternehmen.

Diese Bestandsaufnahme und Darstellung der Daten sollte dazu beigetragen haben, alle Ströme DSGVO-geschützter Daten im Unternehmen zu ermitteln, zu lokalisieren, zu klassifizieren und abzubilden – von einfachen Vorgängen wie der Weitergabe eines Dokuments bis hin zur umfangreichen Nutzung von Daten für Personalisierung, Marketing und Empfehlungsdienste. Zugleich sollten im Rahmen dieser anfänglichen Maßnahmen die Rechenschaftspflichten und Zuständigkeiten geklärt worden sein, sodass klar wird, wer jeweils für die einzelnen Prozesse verantwortlich ist.

Unternehmen verändern sich jedoch im Lauf der Zeit. Neue Prozesse, neue Projekte, Personalwechsel und andere Entwicklungen im Unternehmen können dazu führen, dass einmal erstellte Berichte nach und nach an Genauigkeit – und folglich an Wert – verlieren. Unternehmen sollten deshalb planen, diese Einschätzungen in regelmäßigen Abständen auf ihre Genauigkeit zu überprüfen. Die Zeitabstände sollten im Rahmen eines umfassenderen Datenschutzplans auch dokumentiert werden.

Diese übergreifenden Berichte zum Compliance-Management sollten den Unternehmen eine Roadmap zum Schutz der Kundendaten an die Hand gegeben haben und ihnen zeigen, wie dieser Schutz auch künftig aufrechterhalten werden kann. Darüber hinaus gibt es jedoch noch eine weitere Gruppe von Berichten, die regelmäßig erstellt werden sollten. Diese zeigen, was aktuell vor sich geht und liefern Nachweise, ob die Vorschriften und Verfahrensweisen tatsächlich befolgt werden.

Diese Berichte sollten auf drei Bereiche fokussieren: die betrieblichen Maßnahmen, die Unternehmen treffen sollten; Drittanbieter-Management für alle Unternehmen, denen personenbezogene Daten anvertraut werden; sowie die Verfahrensweisen, die bei Datenschutzverstößen und deren Meldung anzuwenden sind.

Regelmäßige Kontrollen gewährleisten die Einhaltung von Richtlinien

Der erste Bereich, der eine reguläre Berichterstattung erfordert, sind die operativen Rahmenkonzepte, die darauf geprüft werden müssen, wie Daten tagtäglich verarbeitet werden. Die Ergebnisse sollten in die organisatorischen und technischen Maßnahmen einfließen, die getroffen werden, um die personenbezogenen Daten von Bürgern in der EU vor Verlust, unbefugten Zugriffen oder unbefugter Offenlegung zu schützen.

Dies sind die Berichte, die am stärksten auf die Implementierung von IT-Sicherheit und Datenschutz sowie die Prozesse fokussieren, mit denen die langfristige Nutzung der IT-Assets verwaltet werden. Herrscht Bewusstsein darüber, über welche IT-Assets Unternehmen verfügen und wie sicher diese sind, kann das Risiko von Datenverlusten minimiert werden – gleich, ob es durch die Kompromittierung eines einzelnen Laptops entsteht oder durch einen umfassenderen Angriff auf Anwendungen und Infrastrukturen, in denen kritische personenbezogene Daten gespeichert sind. Für viele Unternehmen wird dies eine Chance sein, dafür zu sorgen, dass alle ihre IT-Assets lückenlos inventarisiert werden.

Dieses anfänglich erstellte Inventar aller Geräte, Software und anderer IT-Assets wird sich im Lauf der Zeit weiterentwickeln. Software-Installationen werden aktualisiert, neue Geräte ins Netzwerk aufgenommen und ältere Rechner außer Dienst gestellt. All dieses Assets können jedoch möglicherweise personenbezogene Daten enthalten oder auf solche zugreifen. Deshalb müssen sie stets auf dem neuesten Stand gehalten werden. Werden alle Veränderungen in den IT-Beständen laufend verfolgt, können Datenschutzbewertungen leichter durchgeführt werden.

Der zweite Bereich, der eine regelmäßige Compliance-Berichterstattung erfordert, ist die laufende Kontrolle der Drittanbieter und deren Umgang mit den Daten, die sie von den Unternehmen erhalten. Viele Unternehmen lassen heute externe Dienstleister mit ihren Daten arbeiten, und es muss gewährleistet sein, dass diese die gleichen Sicherheits- und Datenschutzstandards einhalten wie die internen Teams. Dienstleister sind zwar für ihre Sicherheit selbst verantwortlich, doch das bedeutet nicht, dass die Unternehmen selbst keine Verantwortung mehr tragen, wenn Daten an Dienstleister weitergeben werden. Vielmehr wird jeder Verlust personenbezogener Daten, die ein Drittanbieter für erhoben oder verarbeitet hat, auch auf das Unternehmen zurückfallen.

Um diese Risiken zu minimieren, ist ein neuer Ansatz zur Bewertung von Drittanbietern erforderlich, mit dem erfasst wird, wie es bei jedem einzelnen Dienstleister um Sicherheitsmaßnahmen, Richtlinien und Verfahren rund um sensible Daten bestellt ist. Regelmäßige Kontrollen der Dienstleister sind somit eine notwendige Investition.

Alle Unternehmen sollten ihre untereinander bestehenden Verträge bewerten und feststellen, inwieweit dort verbindliche Standards für Datensicherheit festgelegt sind. Die Prüfung dieser Verträge kann eine gute Gelegenheit sein, sich zu vergewissern, dass alle Dienstleister das Thema Sicherheit und Datenschutz bereits ernst nehmen und die Standards anwenden, die erwartet werden. Sollte dies nicht der Fall sein, besteht die Möglichkeit bei den Dienstleistern Auskunft darüber einfordern, wie die Lücken geschlossen wurden oder in welche Maßnahmen sie investieren werden, um diese zu schließen.

Wenn die vertragliche Seite ins Spiel gebracht wird, haben Unternehmen etwas in der Hand, um die langfristige Einhaltung der eigenen Anforderungen durchzusetzen. Falls ein Dienstleister die Sicherheit nicht ernst nimmt, kann die Geschäftsbeziehung mit ihm beenden und stattdessen ein anderer Anbieter beauftragt werden.

Neben der Klärung dieser rechtlichen und geschäftlichen Fragen muss auch geprüft werden, ob die nötigen Maßnahmen in der Praxis tatsächlich durchgeführt werden. Mithilfe von Drittanbieter-Audits und Fragebögen zu den Sicherheitsprozessen ist es möglich zu ermitteln, ob alle Anforderungen erfüllt werden, die an die Sicherheit gestellt wurden.

Früher wäre man dabei manuell vorgegangen, mit Formularen, die ausgefüllt und nachverfolgt werden müssen. Solche Verfahren sind jedoch oft unzulänglich, weil sie voraussetzen, dass die Dienstleister ihre Tests auch wirklich durchführen und korrekte Informationen liefern. Aufgrund der DSGVO müssen jetzt mehr Unternehmen Audits dieser Art durchlaufen, was bewirkt, dass vermehrt technische Dienste genutzt und die nötigen Prozesse stärker automatisiert werden. Solche Dienste vereinfachen regelmäßige, maßgerechte Prüfungen und klären zuverlässig, ob wirklich alle erforderlichen Prozesse eingehalten werden.

Planen für Erfolg und Misserfolg

Neben diesen regelmäßigen Abläufen ist es auch wichtig, die Reaktion auf einen Sicherheitsvorfall vorzubereiten. Da Unternehmen ständig angegriffen werden und Menschen laufend Fehler machen, besteht selbst in optimal gerüsteten Unternehmen die Gefahr, dass es irgendwann zu einem Sicherheitszwischenfall kommt. Wenn Unternehmen darauf vorbereitet sind, können sie im Ernstfall leichter reagieren.

Mit einer Analyse der Verfahren zur Behandlung und Meldung von Datenschutzverletzungen kann gewährleistet werden, dass die landesspezifischen Auslegungen der DSGVO-Bestimmungen zur Anzeige von Verstößen verstanden wurden und entsprechend vorgegangen werden kann. Diese Auslegungen sind je nach Standort in Europa unterschiedlich. In Großbritannien hat ein Unternehmen 72 Stunden Zeit, um Vorfälle zu untersuchen, bevor es das Information Commissioner’s Office (ICO) verständigen und die betroffenen Personen kontaktieren muss. In den Niederlanden muss die Meldung sofort erfolgen; in anderen Ländern wiederum gelten 48-Stunden-Fristen.

Doch ganz gleich, wie viel Zeit bleibt – wichtig ist, dass Vorgehensweisen etabliert wurden, um die Datenschutzverletzung zu untersuchen und mit den beteiligten Parteien innerhalb und außerhalb des Unternehmens zu kommunizieren. Dies hilft den Umfang der Datenschutzverletzung zu ermitteln – von der simplen Fehlkonfiguration einer Website bis hin zum großangelegten Datenbank-Einbruch – und zu gewährleisten, dass alle Akteure ständig auf dem Laufenden gehalten werden.

In Großbritannien hat das ICO bereits zu verstehen gegeben, dass die Sanktionen und Bußgelder, die die DSGVO vorsieht, in den allermeisten Fällen wohl kaum angewandt werden. Solange ein Unternehmen mit Fehlerquellen proaktiv umgeht und nachweisen kann, dass es die Handhabung personenbezogener Daten aktiv zu verbessern sucht, ist es unwahrscheinlich, dass Bußgelder verhängt werden. Stattdessen will das ICO auf eine vermehrte Anwendung von Best Practices und eine bessere Vorbereitung rund um Datenmanagement und Compliance hinwirken.

Die Unternehmensverantwortlichen für die DSGVO und die Compliance-Maßnahmen stehen vor der Herausforderung, kontinuierlich sicherstellen zu müssen, dass die Bestimmungen eingehalten werden und die Richtlinien stets so präzise und adäquat bleiben wie zu dem Zeitpunkt, zu dem sie entwickelt wurden. Durch eine effektive Berichterstattung, bei der Informationen automatisiert erfasst und den beteiligten Akteuren auf einfache Weise zur Verfügung gestellt werden, kann ein Nachweis erfolgen, dass eine DSGVO-Konformität besteht und demonstriert werden, dass das auch in Zukunft so bleiben soll. Und mit Fragebögen zur Sicherheit und automatisierten Diensten kann die Kontrolle über externe Dienstleister gewahrt werden.

Über den Autor: Jörg Vollmer ist General Manager Field Operations DACH bei Qualys.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45462452 / Compliance und Datenschutz )