Die 3 wichtigsten Punkte, die geregelt werden müssen, um GDPR- konform zu werden

Die General Data Protection Regulation (GDPR) ist ein europäisches Gesetz, das einerseits den Datenschutz europäischer Einwohner vorsieht und andererseits Bewusstsein bei der Verarbeitung von Personendaten schafft. Für Sie als CISO führt das Gesetz in erster Instanz zu viel Arbeit. 

Die Zahl der Anpassungshandlungen, die sich aus der GDPR ergeben, ist groß, Ihre Organisation leistet noch Widerstand und die Zeit drängt. Seit dem 25. Mai 2018 muss die Betriebsführung der GDPR entsprechen.

Dieser Artikel beschreibt die ersten 3 Schritte, die jeder vernünftige CISO ab sofort macht. In unserer Checkliste über GDPR-Konformität beschreiben wir diese Schritte detaillierter und besprechen ebenfalls die notwendigen Folgeschritte.

GDPR bezieht sich auf die Bewusstseinsschaffung

Der Gesetzgeber will, dass Organisationen über die Verarbeitung (Sammlung, Bearbeitung und Speicherung) von Personendaten nachdenken. Es ist dabei egal, ob es um Daten von Kunden, Führungskräften oder Mitarbeitern geht. In allen Fällen handelt es sich um Personendaten.

Innerhalb der GDPR legt der Gesetzgeber auch viel Wert auf die Beschränkung der Personendatenmenge und die Verschaffung einer Übersicht über die Risiken. Auch die Ergreifung von Maßnahmen, um Datenlecks zu verhindern, die Beweislieferung des Funktionierens dieser Maßnahmen und die Schadensbeschränkung stellen wichtige Themen dar. Falsche Handlungen und das Verschweigen von Zwischenfällen können zu hohen Geldbußen führen. 

Wenn sensible Personendaten an eine Stelle geraten, wo diese nicht hingehören, ist von einem Datenleck die Rede. In den meisten Fällen sind Datenlecks die Folge menschlicher Fehler, die Mitarbeiter aus Versehen machen. Denken Sie hier beispielsweise an den versehentlichen Versand eines Dossiers an eine falsche E-Mail-Adresse oder den Austausch sensibler Informationen über öffentliche Kanäle. Das Fehlen guter Datenschutzbestimmungen verstärkt das Entstehen von Datenlecks - mit allen dazugehörigen Folgen. 

„Das Ziel der GDPR ist die Bewusstseinsschaffung wie auf eine sichere Art und Weise mit Personendaten umgegangen werden soll. Dieses Ziel geht auch aus der Tatsache hervor, dass der Gesetzgeber die Unterlassung der Meldung eines Datenlecks mit einer höheren Geldbuße bestraft als das Datenleck an sich.” - Erick van Veghel, CISO.

Wie starten Sie?

Beginnen Sie mit der Zusammensetzung des richtigen Teams. Heutzutage speichern Organisationen hauptsächlich digital. Verschiedene Systeme und Applikationen teilen diese Daten untereinander. Das Team, dass die Organisation mit der GDPR-Gesetzgebung in Einklang bringen wird, muss deshalb über die richtigen Disziplinen verfügen. Im Idealfall besteht das Kernteam aus einem Juristen, einem Datenschutzexperten und einem ICT-Mitarbeiter. Sie beziehen pro Abteilung die verantwortlichen Führungskräfte und inhaltlichen Spezialisten mit ein.

1.     Einsichtserwerb

Anwalt I Chu Chao von HVG Law empfiehlt, mit der Aufzeichnung einer Übersicht über die heutigen Datenströme anzufangen. Weil es um sehr viele gehen könnte, ist es vernünftig, dass Sie mit den wichtigsten oder sensibelsten Datenströmen anfangen. Fragen, die Sie hierzu stellen müssen, sind:

  • Welche Daten sammeln wir und an welcher Stelle?
  • Wo und wie bewahren wir diese Daten auf?
  • Wer empfängt und hat Zugriff auf diese Daten?

Auf diese Weise bekommen Sie Einsicht in die Infrastruktur und Systeme Ihrer Organisation. 

2.     Auswirkungen auf die Organisation feststellen

Sobald Sie sich eine Übersicht über alle Datenströme verschafft haben, werden Sie diese mittels einer Gap-Analyse an der GDPR prüfen. Sie analysieren dann die heutige Situation und vergleichen diese mit der erwünschten Situation. Hieraus ergibt sich eine Reihe von Maßnahmen, die erforderlich sind, um die Lücken zu schließen. In manchen Fällen sind hierzu bereits bestehende Richtlinien vorhanden, die Sie updaten können. In anderen Fällen müssen Sie neue Regeln erstellen. Es ist vernünftig (aber nicht immer verpflichtet), dies auf Grundlage eines Registers zu tun.

Verarbeitungsregister führen 
Arbeiten Sie in einer Organisation mit 250 oder mehr Mitarbeitern, haben Sie alle Personendatenverarbeitungen in einem internen Register zu umschreiben. Für Organisationen mit weniger Mitarbeitern gibt es nur eine Registrierungspflicht, wenn:

  • risikoreiche Verarbeitungen stattfinden - beispielsweise automatische Profilierung für gezieltes Marketing oder eine automatisierte Ablehnung für eine Krankenversicherung;
  • eine Organisation sensible Daten verarbeitet, denken Sie hier beispielsweise an medizinische Daten;
  • eine Organisation sehr große Datenmengen verarbeitet.

Erstellen Sie das Verarbeitungsregister nach den Richtlinien, erfüllen Sie gleich die Registrierungspflicht innerhalb der GDPR. Das Register ist formfrei und Sie können dies zum Beispiel in einem Spreadsheet oder in einem spezialisierten Softwarepaket führen. Der Inhalt des Registers ist an Regeln gebunden. Unsere Checkliste über GDPR-Konformität gibt hierzu weitere Informationen. Die Informationen im Register müssen zeitgemäß und vollständig sein.

3.     Strategie entwickeln und aufrecht erhalten

Das Verarbeitungsregister gibt Ihnen Einsicht in die verarbeiteten Personendaten und verpflichtet Sie auf jeden Fall, über die von Ihnen zu speichernden Personendaten und deren Zweck sowie die Aufbewahrungsfrist der Daten und deren Sicherung nachzudenken. Dies bildet die Grundlage für die Entwicklung einer (ergänzenden) Strategie. Laut Herrn I Chu Chao, Anwalt bei HVG Law, will der Gesetzgeber auf diese Weise dafür sorgen, dass wir Datenschutz wirklich ernst nehmen und gut über die Daten und den Grund nachdenken, warum wir diese sammeln und speichern möchten. Hierzu gilt das Prinzip von ‚Datenvermeidung und Datensparsamkeit’, wobei wir nur jene Daten speichern, die wir wirklich benötigen - mit einer minimalen Aufbewahrungsfrist. Dies steht im Widerspruch zur Arbeitsweise, die jetzt in vielen Organisationen gängig ist. Diese ist in etwa so zu beschreiben: ‚Wir speichern alles und bewahren es so lange wie möglich auf, man weiß ja nie, was für Gutes es uns bringt’. Infolge dieser Einstellung betrachten viele Betriebe Datenschutz als eine Last. Das zeigt auch auf, dass wir mit der Sammlung von Personendaten vielleicht etwas zu weit gegangen sind. Die GDPR korrigiert es.

Aufgrund des Registers erstellen Sie sowohl für die Kunden (extern) wie auch Ihre Arbeitnehmer (intern) eine Datenschutzerklärung. Diese Erklärung stellen Sie allen Beteiligten zur Verfügung. Diese hat zum Ziel, die Beteiligten im Voraus über die von Ihnen gesammelten Personendaten zu informieren und sie auf ihre Rechte hinzuweisen. Das Dokument enthält auf jeden Fall folgende Informationen:

  • Die Identität und Kontaktdaten des Verantwortlichen für die Daten. In den meisten Fällen ist das Ihr Unternehmen. Gibt es einen Datenschutzbeauftragten, müssen seine Kontaktdaten auch erwähnt werden;
  • Zweck der Verarbeitung und die juristische Grundlage hierfür;
  • Empfänger (Dritte) der Daten. Sind diese außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig, welche ergänzenden Schutzmaßnahmen sind dann getroffen worden, damit Weiterleitung außerhalb des EWR erlaubt ist?
  • Die Aufbewahrungsfrist der Personendaten.
  • Informationen über die Rechte der Beteiligten, beispielsweise
    • das Recht auf Beschränkung, Zugriff, Korrektur und Löschung der Daten;
    • das Recht auf Datenportabilität, beispielsweise Daten von der einen Organisation zur anderen mitnehmen können;
    • die Möglichkeit, die Verarbeitungszustimmung zu widerrufen, beispielsweise durch den Abmeldelink in einer E-Mail;
    • eine Klage gegen die Behörden einreichen können;
    • Einspruch gegen die Profilierungsanwendung erheben können.

Weiter enthält eine interne Datenschutzerklärung für die Mitarbeiter oft Richtlinien über den Umgang und die Sicherung von (sensiblen) Personendaten innerhalb der Organisation. Meistens wird die interne Datenschutzerklärung ins Arbeitnehmerhandbuch aufgenommen, das Teil des Arbeitsvertrages ist. Daneben wird die interne Datenschutzerklärung häufig auf einer Intranetseite oder in einem Arbeitnehmerportal zur Verfügung gestellt, damit Mitarbeiter sie leicht heranziehen können. 

Damit alle Mitarbeiter die Regeln aus der Datenschutzerklärung auch tatsächlich einhalten, ist es notwendig, dass die Datenschutzregeln für die Mitarbeiter wirklich Bedeutung bekommen. Sie müssen Teil ihres Alltags werden. So ist ein wiederholtes (praxisorientiertes) Training für alle Mitarbeiter notwendig, die mit Personendaten arbeiten - nicht nur für die Manager. Machen Sie die Mitarbeiter mit den möglichen Datenschutzrisiken  in ihrer Praxis vertraut und kombinieren Sie dies mit dem Einsatz zugänglicher, benutzerfreundlicher Hilfsmittel mit denen das Risiko von Zwischenfällen erheblich verringert wird. Damit haben Sie bereits einige große Schritte in Richtung einer GDPR-konformen Organisation gemacht.

Ähnliche Blogs

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Probefahrt mit neuer Software

Wenn man ein Produkt zur langfristigen Anwendung einkauft, erprobt man es am besten vorab und in der tatsächlichen Nutzung. Dieses Prinzip gilt nicht nur beim Autokauf, sondern auch beim Einführen einer neuen Software. In diesem Kontext bezeichnet man die Probefahrt - wie üblich im IT-Englisch - als „Proof of Concept”. Dieser vorangestellte Probelauf in der eigenen […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen