Drei Jahre DSGVO: Die fünf größten Fallstricke bei der Umsetzung
Illustration: Absmeier Die DSGVO stellt die IT-Verantwortlichen vor die große Herausforderung, einen regelkonformen Umgang mit personenbezogenen Daten sicherzustellen. Auf dem Weg zur Datenschutz-Compliance lauern – ob nun aus Unwissenheit, aus Unklarheit oder aus einer unternehmerischen Laissez-faire-Haltung heraus – zahlreiche Stolpersteine. NTT nennt die fünf größten Fallstricke bei der Umsetzung der DSGVO. Am 25. Mai 2018 trat die EU-Datenschutzgrundverordnung in Kraft. Deren Ziel ist, die Daten jedes einzelnen EU-Bürgers nach einer strengen, einheitlichen Gesetzgebung zu schützen und ihm die Hoheit darüber zu geben, ob und wie seine Daten verwendet werden. Die Nichteinhaltung der strengen DSGVO-Regeln hat für Unternehmen weitreichende Konsequenzen: Die Deutsche Wohnen beispielsweise wurde Ende 2019 zu einer Strafzahlung von 14 Millionen Euro verurteilt, weil das Archivsystem der Wohnungsgesellschaft keine Löschmöglichkeit hatte. Trotzdem haben viele Unternehmen auch nach knapp drei Jahren noch nicht ausreichend adäquate Maßnahmen getroffen, um Daten entsprechend der Vorgaben zu verarbeiten, zu speichern und zu löschen. Bei der Umsetzung der DSGVO lauern aus Sicht von NTT fünf große Fallstricke: - Interne Interessenskonflikte und mangelndes Verständnis. Der betriebliche Datenschutzbeauftragte kümmert sich um den Schutz personenbezogener Daten im Unternehmen. In kleinen und mittelständischen Betrieben ist es häufig so, dass er seinen bisherigen Aufgaben weiterhin nachgeht. Hieraus kann sich ein Interessenkonflikt mit der bestehenden Tätigkeit ergeben. Gerade die Ernennung des IT-Leiters zum Datenschutzbeauftragten lässt aus Sicht der zuständigen Landesämter für Datenschutzaufsicht Zweifel an der Neutralität aufkommen. Immerhin ist es die zentrale Aufgabe des Datenschutzbeauftragten, die Einhaltung der DSGVO-Bestimmungen zu überwachen, und das beinhaltet explizit die »Sicherheit der Verarbeitung« durch geeignete technische und organisatorische Maßnahmen seitens der IT-Abteilung. In der Konsequenz müsste er sich also selber überwachen. Ein anderer Stolperstein sind fehlende Kenntnisse in puncto Daten-Compliance. Das umfasst die unterschiedlichen Datenklassen, die Einführung einer praktikablen Datenklassifizierung und die Festlegung der Rechtsgrundlage für die Datenverarbeitung, eine saubere Trennung zwischen Geschäftsdaten und personenbezogen Daten sowie die Privacy-Shield-Problematik bei der Cloud-Nutzung. - Probleme bei der technischen und organisatorischen Umsetzung. Zu den zentralen Elementen der DSGVO gehören die Betroffenenrechte, darunter das Auskunftsrecht. Jede Person darf umfassend Auskunft über sie betreffende personenbezogene Daten sowie weitere Informationen verlangen. Dies schließt unter anderem die Verarbeitungszwecke, die Empfänger der Daten und die geplante Dauer der Speicherung ein. Die Auskunft muss in verständlicher Form, präzise und transparent erfolgen sowie ein gängiges Datenformat haben. Voraussetzung für eine schnelle Antwort auf eine Betroffenenanfrage ist die Erstellung eines gut strukturierten Datenschutzkonzeptes, die Implementierung eines Prozesses, der eine fristgerechte und korrekte Bearbeitung der Anträge gewährleistet, und Tools, die die Auskunft nahezu auf Knopfdruck erteilen. Ein ähnliches Vorgehen empfiehlt sich beim Recht auf Vergessenwerden: Durch einen klar definierten Prozess stellen Unternehmen sicher, dass Daten gelöscht werden, wenn eine Person die Einwilligung zur Verarbeitung zurückzieht. - Korrekte Erstellung und Abnahme von Verträgen. Die Verarbeitung von Daten im Auftrag kommt in nahezu jedem Unternehmen vor. Angefangen von der Nutzung eines externen Rechenzentrums über As-a-Service-Modelle bis hin zu Cloud Computing. In allen Fällen liegt in der Regel eine sogenannte Auftragsverarbeitung (AV) vor, für die Unternehmen im Rahmen der DSGVO besondere Maßnahmen treffen müssen. Pflicht ist ein entsprechender AV-Vertrag, dessen Inhalt überwiegend vorgegeben ist. Fehlt er, sieht die DSGVO bei Verletzungen der Datenschutzbestimmungen eine gemeinsame Haftung von Auftraggeber und Auftragnehmer vor. - Design und Implementierung von TOMs. Technische und organisatorische Maßnahmen (TOM) umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten. Neben dem Datenschutz, der die rechtlichen Voraussetzungen für die Erhebung und Verarbeitung personenbezogener Daten regelt, kommt hier das Thema Datensicherheit ins Spiel. Darunter fallen technische Vorkehrungen wie die Verwendung einer Firewall, die Protokollierung des Zugriffs auf Datenbanken oder die Verschlüsselung bei der Datenübertragung, aber auch organisatorische Maßnahmen wie Mitarbeiterschulungen und die Vereinbarung zur Geheimhaltungspflicht. Die Implementierung angemessener TOMs stellt eine gesetzliche Anforderung dar und ist dokumentationspflichtig. Bei der Auswahl angemessener Schutzmaßnahmen bildet eine Risikoanalyse die Grundlage. Eine große Rolle spielen »Privacy by design« und »Privacy by default«. Die DSGVO verlangt, dass das Thema Datenschutz bereits bei der technischen Umsetzung beachtet wird und dass datenschutzfreundliche Voreinstellungen implementiert werden. Nicht vergessen werden darf beim Einsatz von neuer Technik oder einem neuen System für die Datenverarbeitung auch die Datenschutz-Folgeabschätzung. Mit ihr werden Risiken für betroffene Personen erkannt und bewertet. - Rechtliche Unklarheiten und fehlende Unterstützung. Erschwerend kommen für Unternehmen rechtliche Unklarheiten durch Änderungen seitens der Gesetzgebung und eine mangelnde Umsetzungshilfe durch die Aufsichtsbehörden hinzu. Andererseits gilt es für Unternehmen, die Meldepflicht bei Verstößen einzuhalten. Sicherheitsverstöße, etwa wenn ein Mitarbeiter versehentlich Daten veröffentlicht, ein Notebook abhandenkommt oder Hacker das Unternehmen angreifen, sind nicht gerade selten und müssen umgehend gemeldet werden. Bei der Entscheidung, in welchen Fällen eine Meldepflicht begründet ist, sollten sich Firmen professionell beraten lassen. »Die Sicherheit bei der Verarbeitung personenbezogener Daten ist ein wesentlicher Bestandteil für die Gewährleistung des Datenschutzes. Unternehmen sind verpflichtet, mögliche Risiken für Betroffene vorausschauend zu ermitteln und entsprechende Gegenmaßnahmen umzusetzen. Wie gut Unternehmen in puncto DSGVO aufgestellt sind, ist sehr unterschiedlich«, erklärt Christoph Seidel, Senior Manager, GRC European Practice, der Security Division von NTT Ltd. »Durch den rasant zunehmenden Einsatz von Internet of Things, Cloud-Technologie, Künstlicher Intelligenz, Big Data und Blockchain, aber auch durch das Pandemie-bedingte Arbeiten von zuhause nehmen die Herausforderungen bei der Umsetzung der richtigen DSGVO-Strategie zu.«
1392 Artikel zu "DSGVO"
NEWS | BUSINESS | KOMMENTAR
Wie die SCHUFA die DSGVO zum zahnlosen Tiger macht
11. März 2021
Während viele aktuell darauf pochen, die DSGVO abzuschwächen, zeigt das Beispiel SCHUFA deutlich, dass sie nicht weit genug greift. Aufgrund der bereits bestehenden Ausnahmen wird die DSGVO nämlich zum zahnlosen Tiger – zumindest, was die Transparenz der SCHUFA angeht. Die SCHUFA weist jeder Person einen Score zu, in den sehr viele Daten einfließen und der… Weiterlesen → NEWS | CLOUD COMPUTING | PRODUKTMELDUNG
Europäische Datensouveränität und DSGVO-Konformität: Telekom und Nextcloud bieten Collaboration-Lösung
11. Januar 2021
Covid-Pandemie zwingt zu Zusammenarbeit aus der Ferne. Gemanagtes Angebot für Unternehmen in Europa. Europäische Datensouveränität und DSGVO-Konformität im Mittelpunkt. Die Deutsche Telekom und Nextcloud GmbH bieten Unternehmen ab sofort eine rein europäische Collaboration-Plattform an. Die gemanagte Lösung erfüllt die Anforderungen der Datenschutzgrundverordnung (DSGVO) für sicheren Daten- und Dokumentenaustausch mit Online-Bearbeitungsfunktionen. Sie basiert auf Nextcloud Hub… Weiterlesen → NEWS | IT-SECURITY | AUSGABE 9-10-2020 | SECURITY SPEZIAL 9-10-2020
GeschGehG: Geschäftsgeheimnisgesetz – Die DSGVO als Leitfaden für den Geheimnisschutz
23. Oktober 2020
Mit dem im April 2019 erlassenen Geschäftsgeheimnis-gesetz hat der Gesetzgeber eine neue Grundlage für den Schutz von Betriebs- und Geschäftsgeheimnissen geschaffen. Unternehmen können bei der Umsetzung von den Erfahrungen aus der DSGVO-Umsetzung und eventuellen ISO-Zertifizierungen profitieren. Weiterlesen → NEWS | PRODUKTMELDUNG
Sicher und grün – die Basis für DSGVO-konforme Collaboration
11. Oktober 2020
DRACOON, Marktführer für Enterprise File Services im deutschsprachigen Raum, hat sich für die noris network AG als IT-Dienstleister entschieden. Ab sofort werden Datenspeicherungs- und Datentransfer-Services von DRACOON ausfallsicher und hochverfügbar in zwei Hochsicherheitsrechenzentren in Nürnberg betrieben. Die ihren datenschutzkonformen Dienstleistungen zugrunde liegenden Managed-Shared-Storage-Ressourcen bezieht DRACOON in Form beliebig skalierbarer virtueller Server im VMware-basierenden vDatacenter von… Weiterlesen → NEWS | IT-SECURITY | SERVICES
Drei Herausforderungen verschärfen die DSGVO-Problematik
8. Juni 2020
NTT, ein Technologie-Dienstleister, rät Unternehmen, ihre DSGVO-Konformität angesichts anstehender Novellierungen und der veränderten Arbeitsbedingungen kritisch zu prüfen. Ende Mai 2020 jähret sich das Inkrafttreten der DSGVO zum zweiten Mal. Das Thema ist jedoch weitgehend von der Agenda verdrängt worden und spielt in der öffentlichen Aufmerksamkeit eine geringere Rolle. Nach Auffassung von NTT ist diese… Weiterlesen → NEWS | IT-SECURITY | KOMMENTAR
Mehr behördliche Zusammenarbeit für mehr erwünschte Effekte bei der DSGVO
31. Mai 2020
Seit über zwei Jahren bietet die Datenschutzgrundverordnung einen globalen Rahmen für den Datenschutz. Allerdings wartet die DSGVO mit einigen Herausforderungen auf. Die sind zum einen mit den Erwartungen an die Verordnung verbunden, zum anderen sind sie im Gesetzgebungsprozess selbst verwurzelt. Praktisch mit Inkrafttreten der DSGVO haben wir Inkonsistenzen bei der Anwendung der Richtlinie beobachtet. Obwohl… Weiterlesen → NEWS | TRENDS 2020 | TRENDS WIRTSCHAFT | BUSINESS | IT-SECURITY | KOMMENTAR
Zwei Jahre DSGVO: Bitkom zieht Bilanz
23. Mai 2020
Berg: »Corona zeigt: Unser bislang gut ausbalanciertes System an Freiheits- und Schutzrechten ist aus den Fugen geraten.« 8 von 10 Unternehmen sehen Datenschutz als größte Hürde für Einsatz neuer Technologien. Seit knapp zwei Jahren gilt die EU-Datenschutz-Grundverordnung. Unternehmen und Organisation haben dadurch u.a. erweiterte Informationspflichten, müssen Verarbeitungsverzeichnisse für Personendaten erstellen sowie Datenschutz schon in Produktionsprozessen… Weiterlesen → NEWS | IT-SECURITY | STRATEGIEN
Datenschutz – Zunehmende DSGVO-Geldbußen rücken »Privacy by Design« ins Interesse
27. April 2020
Der Datenschutz hat sich seit der Einführung der Datenschutzgrundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet. Die DSGVO gibt… Weiterlesen → NEWS | CLOUD COMPUTING | IT-SECURITY | LÖSUNGEN
DSGVO: In der Public Cloud auch mit sensiblen Daten arbeiten
29. Januar 2020
Unternehmen wissen: Softwarelösungen lassen sich in der Public Cloud schneller und flexibler realisieren, indem sie etwa auf die bestehenden Infrastruktur-Services von AWS aufsetzen. Ein Anbieter für Softwarelösungen hat dieses Potenzial an Geschwindigkeit und Flexibilität der Public Cloud erkannt und nach Wegen gesucht, wie Produkte und Angebote auch mit sensiblen Daten in der Public Cloud sicher… Weiterlesen → NEWS | FAVORITEN DER REDAKTION | Read the full article











