Frage: Die DSGVO ist ein umfangreiches und komplexes Regelwerk. Welchen grundsätzlichen Rat geben Sie Unternehmen, um die wichtigsten Anforderungen der Verordnung zu erfüllen?
Sabine Köhler: Planen Sie die Anpassung Ihrer Prozesse nach DSGVO strategisch durch. Dazu gehören umfassende Prozessanalysen, die Erstellung von Dokumentationen aber auch die Neubewertung altgedienter Sicherheitsmaßnahmen. Besonders wichtig: Vermeiden Sie unnötige Datenhaltung! Die DSGVO dient dem Zweck, Personen, deren Daten von Unternehmen verarbeitet werden, vor dem Missbrauch dieser Daten zu schützen. Es liegt auf der Hand, dass der Aufwand, der dafür betrieben werden muss, mit der Masse an Daten wächst. Es sollten also nur die Daten verarbeitet werden, die tatsächlich unverzichtbar sind. Ziel muss es sein, ein Gleichgewicht zwischen ausreichendem sowie gesetzeskonformen Schutz und vertretbarer Usability für den Anwender zu schaffen.
Frage: Einige Anforderungen der DSGVO sind bereits im Bundesdatenschutzgesetz (BDSG) verankert. Die Einhaltung von Löschfristen und die Informationspflicht sind zwei Beispiele. Wo liegen die Unterschiede zwischen BSDG und DSGVO, betrachtet man diese beiden Aspekte?
SK: Hinsichtlich der Löschfristen liegt der Unterschied vor allem darin, dass mit der DSGVO erstmals Bußgelder drohen, sollten die Fristen nicht eingehalten werden. Blickt man auf die Informationspflicht, müssen betroffene Personen genau über die Art der Verarbeitung ihrer Daten informiert werden. Auch das ist prinzipiell nicht neu. Allerdings sind die Informationen, die Betroffenen zur Verfügung gestellt werden müssen, weitaus umfangreicher, als dies bisher der Fall war. Informationen zu Datenverarbeitungen, die noch nach BDSG-alt bereitgestellt worden sind, dürften den Anforderungen nur in den seltensten Fällen gerecht werden. Hier besteht also auch für "alte" Prozesse großer Nachholbedarf. Sowohl die Information an die Betroffenen als auch die Löschfristen sind künftig im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Durch diese und weitere Vorschriften geht das Verzeichnis in seiner Komplexität weit über das bisher geforderte Mindestmaß hinaus.
Frage: Die DSGVO führt erstmals konkrete Schutzziele per Gesetz in den Datenschutz ein, die vom BDSG-neu durch Kategorien technisch-organisatorischer Maßnahmen ergänzt werden. Was müssen Unternehmen aus Ihrer Sicht tun, um künftig ein angemessenes Sicherheitsniveau nachweisen zu können?
SK: Viele Unternehmen haben bereits in der Vergangenheit technisch-organisatorische Maßnahmen ergriffen. Diese müssen nun im Rahmen einer Risikoanalyse neu bewertet, angepasst und in die geänderte Kategorisierung des BDSG-neu eingeordnet werden. Da konstante Datensicherheit nur nachgewiesen werden kann, wenn sie messbar ist, ist es sinnvoll, ein umfassendes Datenschutzmanagementsystem (DSMS) zu implementieren. Ein solches DSMS muss kontinuierlich überprüft und verbessert werden und neben der eingesetzten Technologie auch die Mitarbeiter miteinbeziehen. Sie müssen für datenschutzrelevante Aspekte sensibilisiert und geschult werden. Kommt es doch einmal zu einem Verstoß, dient das DSMS auch als Nachweis, dass der Schutz personenbezogener Daten bestmöglich durchgeführt wurde. Um sich die Wirksamkeit eines DSMS bestätigen zu lassen, sollen diese in Zukunft auch zertifiziert werden können. Dies kann bei einem Datenschutzvorfall zur Strafmilderung führen.
Frage: In Zusammenhang mit der DSGVO rücken technische Lösungen wie ECM-Software in den Fokus. Wie wichtig sind solche Systeme und welche Vorteile bieten sie?
SK: Eine leistungsfähige ECM-Lösung ist ein zentrales Werkzeug bei der Umsetzung der neuen Verordnung. Mittels moderner Software ist es möglich, Dokumente und Daten zuverlässig und mit geringem Aufwand zu verwalten. Außerdem versetzen führende ECM-Systeme Unternehmen in die Lage, die Dokumente und Daten mit Lösch-, Sperr- und Aufbewahrungsfristen zu versehen. In Kombination mit der Übersichtlichkeit, die ein ECM bietet, lassen sich Löschkonzepte dadurch deutlich komfortabler umsetzen. Des Weiteren können Sichtbarkeitsregeln für einzelne Benutzer oder für festgelegte Rollen wie zum Beispiel Vertrieb oder Geschäftsführung definiert werden. Darüber lassen sich komplexe Berechtigungskonzepte erstellen, die bei der Einhaltung von Datenschutzgrundlagen wie der Zweckbindung oder der Datenminimierung unterstützen. Kurzum: Ein ECM hilft dabei, grundlegende Anforderungen der DSGVO bei der Dokumentenhaltung umzusetzen.
Frage: Genügt die Einführung einer ECM-Lösung, um beim Datenschutz auf der sicheren Seite zu sein, oder sollten Unternehmen weitere Maßnahmen ergreifen?
SK: Die Anschaffung eines ECM-Systems alleine reicht nicht aus. Mit entsprechender Software haben Unternehmen sozusagen das richtige Werkzeug zur Hand, doch muss dieses auch zielgerichtet eingesetzt werden. Denn welche Daten wie geschützt werden müssen, hängt stark vom jeweiligen Unternehmen ab. Daher muss im Vorfeld eine Analyse durchgeführt werden, die die wichtigsten Fragen beantwortet: Welche Daten und Informationen liegen vor und in welchen Szenarien werden sie genutzt? Es folgt eine Risikobewertung, bei der festgelegt wird, welche Daten in welchem Umfang zu schützen sind. Idealerweise setzen Unternehmen in dieser Phase auf Experten, die nicht nur die Technologie-Basis mitbringen, sondern die Umsetzung der Vorschriften Schritt für Schritt mit tiefgreifendem Know-how begleiten.
Weitere Informationen: www.ceyoniq.com
Über Sabine Köhler: Sabine Köhler ist Consultant für Datenschutz und Expertin für die DSGVO bei dem Bielefelder Software-Hersteller Ceyoniq Technology GmbH.
Seit mehr als 25 Jahren ist die Ceyoniq Technology GmbH Hersteller branchenübergreifender, intelligenter Softwarelösungen in den Bereichen DMS, ECM & EIM auf Basis der Informationsplattform nscale. Mithilfe dieser modularen, skalierbaren und hochflexiblen Informationsplattform können komplexe Geschäfts- und Kommunikationsprozesse optimiert, Daten zu werthaltigen Informationen aufgewertet und Dokumente revisionssicher und beweiskräftig archiviert werden. Hinzu kommt ein umfassendes Consulting-Portfolio für Informationssicherheit, Datenschutz und Prozessberatung der Versorgungs- und Versicherungswirtschaft. Die Ceyoniq Technology GmbH ist ein Tochterunternehmen der KYOCERA Document Solutions Inc. und beschäftigt am Hauptsitz in Bielefeld sowie an weiteren bundesweiten Standorten mehr als 150 Mitarbeiter.
Ceyoniq Technology GmbH
Boulevard 9
33613 Bielefeld
Telefon: +49 (521) 9318-1000
Telefax: +49 (521) 9318-1111
http://www.ceyoniq.com
Branchenleiter IT & Telekommunikation
Telefon: +49 (228) 30412-630
Fax: +49 (228) 30412-639
E-Mail: limbrock@sputnik-agentur.de