Unternehmen sollten zunächst alle relevanten Stakeholder über die wichtigsten Aspekte der EU-DSGVO ausreichend informieren. Ansonsten wird ein Projekt dieser Größenordnung nicht erfolgreich zu bewältigen sein. Danach folgt die Gap-Analyse. Diese umfasst zunächst die Dokumentation des Ist-Zustandes: Wie haben wir den Datenschutz bisher gemanaged? Ist das Verfahrensverzeichnis aktuell? Welche Richtlinien zum Datenschutz und zur Datensicherheit liegen vor?
Die wesentlichen Punkte der neuen EU-DSGVO finden Sie hier.
Anschließend ist der konkrete Handlungsbedarf durch einen Soll-Ist-Abgleich zu bestimmen. Hierfür ist es erforderlich, ein möglichst differenziertes Verständnis der neuen gesetzlichen Anforderungen zu besitzen. Die aufgeführten Kernpunkte der EU-DSGVO vermitteln einen Eindruck vom Aufwand, der mit der Umsetzung der EU-DSGVO in einem relativ kurzen Zeitfenster verbunden ist. Eine sinnvolle Vorgehensweise ist es, in einer Gap-Analyse die Findings risikobasiert zu priorisieren. Bestimmte Gaps sollten nicht zuletzt wegen der immensen Bußgelder und dem drohenden Reputationsschaden als Erstes angegangen werden.
Bei Engpässen mit externen Expertern arbeiten
Wer das Know-How nicht im Hause hat und mit personellen Engpässen zu kämpfen hat, ist beim Aufsetzen oder der Weiterentwicklung seines Datenschutzmanagementsystems mit externer Unterstützung gut beraten. Die Consultants sollten die EU-DSGVO nicht allein durch die juristische Brille betrachten, sondern über Erfahrung in der Umsetzung von Managementsystemen und über ein umfassendes Verständnis informationssicherheits-technologischer Zusammenhänge verfügen. Das Unternehmen wiederum sollte einen Projektverantwortlichen benennen können, der den externen Berater bei der Implementierung unterstützt und der auch für die Zeit nach der Implementierung gecoacht werden kann.
Die Suche nach Unterstützung fachkundiger Dritter sollten Unternehmen nicht auf die lange Bank schieben. Denn viele Unternehmen befinden sich in einer vergleichbaren Situation und die Zahl der verfügbaren Berater ist endlich. Organisationen, die zum Stichtag noch nicht alle Anforderungen erfüllen, riskieren empfindliche Sanktionen. Strafmildernd dürfte sich allerdings der Nachweis auswirken, dass sich das Unternehmen bereits eingehend mit der Thematik befasst hat. hei
Studie zur DSGVO
Genau ein Jahr vor Inkrafttreten der DSGVO wurden 500 IT-Entscheidungsträger aus den USA, UK, Frankreich und Deutschland im Auftrag von Varonis Systems, einem Anbieter von Softwarelösungen zum Schutz von Daten vor Insiderbedrohungen und Cyberattacken, befragt.
Ein Ergebnis: 81 Prozent der Befragten zweifeln an der fristgerechten Einführung in ihren Unternehmen. Gleichzeitig betrachten 58 Prozent die Umsetzung nicht als Priorität in ihrem Handeln – trotz empfindlicher Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes (je nachdem, was höher ist).
Außerdem sehen deutsche Unternehmen folgende Punkte als größte Problemfelder:
- 57 Prozent der deutschen Unternehmen sehen beim „Recht auf Vergessenwerden“ (Artikel 17) Schwierigkeiten in der Identifizierung und im Auffinden der entsprechenden Daten sowie im automatischen Löschen auf Kundenaufforderung
- 55 Prozent erwarten bei der Umsetzung eines Privilegienmodells auf Basis der minimalen Rechtevergabe, der Einführung haftbarer Datenbesitzer und der Erstellung entsprechender Nachweise über die Einhaltung von Richtlinien und Prozessen große bzw. sehr große Herausforderungen (Artikel 32)
- Gut jedes zweite Unternehmen in Deutschland (52 Prozent) befürchtet Schwierigkeiten bei der Identifizierung personenbezogener Daten und wer in welchem Umfang hierauf Zugriff hat
Gut ein Drittel (35 Prozent) der befragten Unternehmen hat in den letzten zwölf Monaten keine Daten-Bewertung (data impact assessment) durchgeführt, um auf diese Weise herauszufinden, wer Zugriff auf personenbezogene Daten hat. „Dies bedeutet auch, dass viele Unternehmen schlicht und einfach nicht wissen, wo ihre sensiblen Daten gespeichert sind“, Thomas Ehrlich, Country Manager DACH bei Varonis. „Durch die DSGVO wird es jedoch wichtiger denn je, seine Daten zu kennen: Wo sind die vertraulichen Informationen gespeichert? Wer hat Zugriff auf sie? Und vor allem: Wer sollte Zugriff auf sie haben?“
Das neue Gesetz setzt dabei einen „Privacy by Design“-Ansatz um: Die Sammlung persönlicher Daten soll dabei minimiert, nicht mehr benötigte gelöscht, der Zugriff nach dem „need-to-know“-Prinzip eingeschränkt und damit die Daten in ihrem gesamten Lebenszyklus geschützt werden. Die neuen Meldepflichten erfordern zudem eine erhöhte Überwachung und schnelle Alarmierungen, deren Grundlage die Erkennung von abnormalen Nutzer- und Zugriffsverhalten ist.
Weiter Ergebnisse der Befragung:
-
65 Prozent der Unternehmen haben bereits ein Data Assessment bzw. interne Audits durchgeführt, um zu prüfen, wer Zugriff auf personenbezogene Daten hat. Bei 55 Prozent der Befragten trat dabei mindestens ein Fall von übermäßigen Zugriffsrechten auf sensible Daten auf.
-
Nur 35 Prozent der Befragten halten ihr Budget für die Einführung DSGVO-konformer Prozesse für ausreichend. Bei den meisten Unternehmen (49 Prozent) müssen die IT-Abteilungen mehr für das gleiche Geld bewerkstelligen, da ihre Mittel für die DSGVO-Projekte aus anderen Datensicherheits-Projekten stammen.
-
Die Mehrheit der Unternehmen steht dem neuen Gesetz positiv gegenüber und sieht in ihm auch Chancen. So gaben 50 Prozent an, durch die DSGVO ihre Daten besser unter Kontrolle halten zu können, 48 Prozent erkennen Vorteile in der Lokalisierung personenbezogener Daten und 42 Prozent erwarten ein niedrigeres Risiko für Datenschutzverletzungen. Darüber hinaus versprechen sich 56 Prozent einen Wettbewerbsvorteil durch die Verordnung.
-
39 Prozent der Unternehmen verfügen bereits über einen Data Protection Officer (DPO) o.ä., 20 Prozent werden diese Stelle innerhalb der nächsten sechs Monate, 30 Prozent innerhalb der nächsten zwölf Monate schaffen.
-
Sowohl in Deutschland (85 Prozent) als auch weltweit (76 Prozent) herrscht Einigkeit in der Auffassung, dass die Bundesrepublik wohl am strengsten die Umsetzung überprüft und Verstöße ahnden wird.