Mit dem Ziel, ein einheitliches Schutzniveau für alle Mitgliedsstaaten der EU durchzusetzen, tritt im nächsten Jahr die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Sie enthält zahlreiche Regelungen, um Datenschutz und -integrität personenbezogener Daten zu gewährleisten. Jedes Unternehmen muss prüfen, ob es solche verarbeitet und wie umfangreich wo speichert.

Die personenbezogenen Daten sind laut Artikel 5 EU-DSGVO “durch geeignete technische und organisatorische Maßnahmen” zu schützen. Dafür müssen Unternehmen genau prüfen, welche Art von Daten sie konkret verarbeiten und welche Risiken dafür gelten. Die Datenschutzgrundverordnung bildet ein Spannungsfeld aus einer sogenannten Datenschutzfolgeabschätzung und der Abwägung mit Risiken und den Rechten einzelner Personen.

Sobald Unternehmen personenbezogene Daten verarbeiten, sind sie für die erforderlichn Datenschutzfolgeabschätzung verpflichtet, “eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen” (Artikel 35, DSGVO) durchzuführen. Diese Analyse sowie das Ergebnis sind dann in der Datenschutzfolgeabschätzung aufzuschlüsseln und zu erfassen.

Vorausschauender Datenschutz

Im Kern steckt dahinter eine Vorabkontrolle, wie sie seit Jahren schon für sensible Daten durchzuführen ist. Jetzt erhält sie ein strengeres rechtliches und auch inhaltliches Korsett und wird verbindlich. Dabei gilt es aber auch, zwischen einer E-Mailadresse, die in sozialen Netzwerken frei einsehbar ist, und etwa hochsensiblen Gesundheitsdaten zu unterscheiden. Daher sind Umfang, Umstand und Zweck der Verarbeitung in Kombination mit den potenziellen Risiken genau zu ermitteln und abzuschätzen.

Mit der EU-DSGVO erhält ebenso die Meldepflicht für Datenpannen oder -lecks eine neue Dimension: Es reicht nicht mehr aus, Security Incidents zu melden, wenn sie passiert sind. Jetzt ist bereits zu melden, wenn die Gegebenheiten einen Incident ermöglichen. Überspitzt formuliert: Steht die zu verriegelnde Sicherheitstür zum Server-Raum offen, ist dies theoretisch meldepflichtig – egal, ob eine unbefugte Person durch die Tür gegangen ist oder nicht. Dementsprechend gilt es, die Prozesse so auszurichten, dass der Schutzbedarf kontinuierlich überprüfbar ist und ein Abgleich mit dem Ist-Zustand im Unternehmen erfolgt. Auf diese Weise ergeben sich neue Handlungsansätze und sind konkrete Maßnahmen ableitbar.

Datenmanagement mittels ISMS de facto als Standard?

Um diese Aufgaben nicht nur bis zum Stichtag im Mai 2018 zu bewältigen, sondern zukünftig auch fortlaufend auszuführen, müssen Unternehmen ein effizientes, ganzheitliches Datenschutzmanagement etablieren. Hier gibt es bei vielen noch Nachholbedarf: Einer aktuellen Studie des Research-Spezialisten IDC zu Folge wissen 23 Prozent der befragten Unternehmen nicht, wo die Daten gespeichert sind. 27 Prozent haben keine Kenntnis darüber, wer alles Datenzugriff hat.

Um ein solches Chaos zu beheben und fortan zu vermeiden, brauchen Unternehmen klassifizierte Daten und sauber aufgestellte Prozesse. Konkret empfiehlt sich dafür ein ISMS (Information Security Management System) als zentrale Steuerungsplattform. Es trägt wesentlich dazu bei, den Schutz der Daten und die Sicherheit ihrer Verarbeitung zu gewährleisten. Das ISMS leitet sich indirekt aus Artikel 32 der EU-Datenschutzgrundverordnung ab. Demnach sind Unternehmen verpflichtet, zum Schutz der personenbezogenen Daten organisatorische und technische Maßnahmen zu ergreifen, die dem “Stand der Technik” entsprechen.

Ein ISMS zielt auf die ganzheitliche Informationssicherheit ab und schließt damit auch die personenbezogenen Daten ein. Generell trägt ein konsequent angewandtes ISMS dazu bei, das grundlegende Schutzniveau zu erhöhen. Mit einem ISMS sind Unternehmen zudem eher in der Lage, ihrer neuen Rechenschaftspflicht nachzukommen. Ohne ein Managementsystem ist der Nachweis schwer zu erbringen, welche geeigneten Maßnahmen entsprechend des Schutzbedarfes umgesetzt wurden.

Damit wird ein ISMS de facto zum Standard für die Erfüllung der EU-DSGVO. Eine Zertifizierungspflicht wie zum Beispiel nach ISO 27001 besteht dafür nicht, doch gehen Experten davon aus, dass diese langfristig eingeführt wird. Dafür bleibt abzuwarten, welche speziellen Zertifizierungen sich hinsichtlich des Datenschutzes aufgrund der Datenschutzgrundverordnung durchsetzen werden. Durch den Einsatz eines ISMS ist es für Unternehmen darüber hinaus einfacher, sich auf veränderte Risiken einzustellen und entsprechende Gegenmaßnahmen für ein kontinuierlich hohes Schutzniveau zu ergreifen.

Vorsicht bei Auftragsdatenverarbeitung durch Dienstleister

Unternehmen lagern Workloads, in denen personenbezogene Daten verarbeitet werden, gerne an IT-Dienstleister aus. Dazu zählen ebenso Cloud Services, die heute bereits in verschiedenster Ausprägung fest zum Business-Alltag der meisten Unternehmen gehörten. Eine repräsentative Umfrage des IT-Branchenverbandes Bitkom hat ergeben, dass vier von zehn Unternehmen mit 20 oder mehr Mitarbeitern personenbezogene Daten von externen Dienstleistern verarbeiten lassen. Bei großen Unternehmen ab 500 Beschäftigten sind es sogar zwei Drittel.

Damit geben sie die Verantwortung trotzdem nicht aus der Hand. Zwar sind die IT-Dienstleister mit der EU-DSGVO stärker verpflichtet, ein hohes Datenschutzniveau zu etablieren, dennoch bleibt die finale Verantwortung beim beauftragenden Unternehmen. Dementsprechend gilt es, IT-Dienstleister sorgfältig auszuwählen. Obwohl IT- und Digitalunternehmen von Haus aus, im Vergleich zu Unternehmen anderer Wirtschaftsbereiche, in Sachen IT-Sicherheit technologisch und ressourcenbedingt oft besser aufgestellt sind, hinken dennoch einige den Anforderungen der EU-DSGVO hinterher.

Eine Bitkom-Studie vom Juni 2017 hat offenbart, dass jedes fünfte IT- und Digitalunternehmen noch keine Maßnahmen getroffen hat. Damit Unternehmen auch bei der Wahl eines geeigneten Dienstleisters keine unnötigen Risiken eingehen, ist Obacht geboten.

Eine Zertifizierung der Informationssicherheit nach ISO 27001 ist hier ein guter erster Orientierungspunkt. Zusätzlich ist darauf zu achten, dass der Datenschutzbeauftragte sowie der Schutz personenbezogener Daten integrale Bestandteile dieses Managementsystems sind. IT-Service-Anbieter stehen mit der EU-DSGVO zudem in einer größeren Beratungs- und Informationspflicht, die Unternehmen auch dringend in Anspruch nehmen sollten – insbesondere, wenn kein eigenes Know-how zum Thema Datenschutz und Sicherheit vorhanden ist.

Fazit

Die Uhr beginnt mittlerweile bedrohlich zu ticken. Wer die Umsetzung der EU-Datenschutzgrundverordnung noch nicht in Angriff genommen hat, wird es kaum alleine schaffen, diese noch fristgerecht bis Mai 2018 umzusetzen. So drohen schnell empfindliche Bußgelder.

Um ein Lagebild über den aktuellen Stand zum Datenschutz im Unternehmen zu erhalten, ist eine Analyse zum Schutzbedarf und der Risiken für die personenbezogenen Daten eine unentbehrliche Ausgangsbasis. Auf ihr sind dann konkrete Maßnahmen ableitbar. Datenschutz ist keine einmalige Angelegenheit, sondern erfordert ein kontinuierliches Anpassen an neue Bedrohungen und Risiken.

Um alle relevanten Prozesse transparent und kontrollierbar zu machen, ist eine zentrale Managementplattform in Form eines ISMS sinnvoll und notwendig. In der Zusammenarbeit mit externen Dienstleistern bleibt dennoch Vorsicht geboten, da die Verantwortung letztlich immer beim Unternehmen bleibt.

