apsec Tipps & Tricks zur Umsetzung der EU-DSGVO

Der 25. Mai 2018 naht und damit das Ende der „Übergangsfrist“ zur Umsetzung der Europäischen Datenschutzgrundverordnung (kurz: EU-DSGVO).

 

Applied Security GmbH

Großwallstadt, 27.03.2018

Viele nutzen die aufkommenden Ängste, um den Verkauf von Soft- und hauptsächlich Hardwareprodukten mit der Argumentation anzukurbeln, dass man damit für die EU-DSGVO gerüstet wäre. In der Tat ist es jedoch so, dass ein einzelnes Produkt die Konformität zur EU-DSGVO nicht herstellen kann. Und auch eine „Produkt-Zertifizierung“ in der Form „EU-DSGVO ready“ enstammt primär den Marketing-Abteilungen der Hersteller. Zur Umsetzung der EU-DSGVO sind unterschiedlichste Aspekte – sowohl technisch als auch organisatorisch – zu beleuchten, die natürlich durch Produkteinsätze unterstützt werden können.

Doch wie kann man nun als Unternehmen den Herausforderungen der EU-DSGVO entgegentreten?

Grundsätzlich existieren zwei Strategien, mit denen Sie die Umsetzung vorantreiben können:

STRATEGIE 1: NUTZUNG ETABLIERTER MANAGEMENT-SYSTEME

Die zur Umsetzung der EU-DSGVO notwendigen „Werkzeuge“ sind in Ihrem Unternehmen schon vorhanden, sofern Sie zum Beispiel ein Informationssicherheitsmanagementsystem (ISMS) implementiert haben. Hierbei macht es Sinn, diese etablierten Verfahren, Prozesse, Rollen, Maßnahmen und auch Dokumentation zu nutzten und um die Aspekte des Datenschutzes zu erweitern. Als Beispiele seien hier genannt:

  1. Es existiert bereits eine Informationssicherheits-Leitlinie aus dem ISMS heraus?
    Erweitern Sie dieses Strategie-Papier um die Aspekte des Datenschutzes (z.B. in Form eines eigenen Kapitels). Somit schaffen Sie eine stabile Basis (Definition von Rollen und Verantwortlichkeiten, Awareness bei den Mitarbeitern, etc.) für den weiteren Auf- und Ausbau des Datenschutz-Managements.
  2. Ihr Informationssicherheitsbeauftragter (kurz: ISB) führt regelmäßig Schulungsmaßnahmen (Präsenzschulungen, Print-Kampagnen, Mailings, etc) durch?
    Nutzen Sie diese Aktivitäten, um auch für das Thema Datenschutz zu sensibilisieren.
  3. Ihr ISMS baut auf einer Asset-Liste mit allen innerhalb der Organisation eingesetzten IT-Systemen und Anwendungen auf?
    Dann starten Sie den Aufbau Ihres „Verzeichnisses der Verfahrenstätigkeiten“ (VVT) mit genau dieser Liste aller Anwendungen und erweitern Sie diese um Verfahren und Tätigkeiten, die nicht direkt mit der Nutzung einzelner Systeme oder Anwendungen zusammenhängen (z.B. der Umgang mit papierhaften Bewerbungsunterlagen).
  4. Im Rahmen Ihres ISMS besitzen Sie umfangreiche Dokumentation zu technischen und organisatorischen Sicherheitsmaßnahmen?
    Damit sind Sie gut gerüstet, wenn es um die Nachweispflicht sowohl der allgemeinen als auch der speziellen technischen und organisatorischen Sicherheitsmaßnahmen geht.

Eine vergleichweise einfache Möglichkeit zur gemeinsamen Umsetzung der EU-DSGVO zusammen mit einem ISMS bietet ISIS12.

STRATEGIE 2: INDIVIDUELLE IMPLEMENTIERUNG

Sollte sich kein aktives Management-System im Einsatz befinden, so bietet sich als „Startpunkt“ für die Implementierung der EU-DSGVO das „Verzeichnisses der Verfahrenstätigkeiten“ (VVT) an. Hierbei handelt es sich um eine Übersicht aller in Ihrer Verantwortung liegenden Verfahren und Prozesse, mit deren Hilfe personenbezogene Daten verarbeitet werden. Diese Übersicht ist im weiteren Verlauf beispielsweise zu ergänzen um

  • zusätzliche Angaben zum jeweiligen Verfahren, wie beispielsweise Namen und die Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, Löschfristen etc.
  • Fragestellungen zur Auftragsdatenverarbeitung, sofern eine Auslagerung stattfindet
  • technische und organisatorische Maßnahmen zum Schutz der Vertraulichkeit, Verfügbarkeit, Integrität sowie Robustheit der Informationen, etc.

Parallel zum Auf- und Ausbau des „Verzeichnisses der Verfahrenstätigkeiten“ gilt es natürlich, weitere Aspekte der EU-DSGVO zu berücksichtigen, etwa die Sensibilisierung der mit der Verarbeitung der Daten betrauten Personen oder die Definition und Modellierung notwendiger Melde- und Auskunftsprozesse.

Claus Möhler
Claus Möhler
Leiter Consulting

Sie möchten mehr Erfahren? Dann nehmen Sie teil an unserem kostenfreien Webinar „Strategien zur Umsetzung der Europäischen Datenschutzgrundverordnung“ am 03.05.2018 um 10:00 Uhr.

Hier gleich anmelden

Gerne beraten und unterstützen wir Sie bei der Umsetzung der Anforderungen und Regelungen. Nehmen Sie einfach Kontakt mit uns auf und vereinbaren Sie ein kostenfreies Beratungsgespräch.

 

PS: Lesen Sie auch unseren Experten-Ratgeber zum Thema „Die Europäische Datenschutzgrundverordnung„.

(Visited 770 times, 1 visits today)


Neuer Kommentar