Datensicherheit
Bereitschaft von Top Management ist hoch
Viele Organisationen arbeiten gerade an der Anpassung ihrer Sicherheitsmechanismen, um EU-DSGVO zu erfüllen. Dabei ist das neue Gesetz eine der stärksten Ausweitungen von rechtlichen Vorgaben beim Thema Datenschutz in der Geschichte der EU.
Entsprechend groß ist die Anspannung, denn durch den Sprung von der bisherigen Datenschutzrichtlinie hin zu einer Verordnung mit erweitertem Umfang stehen der EU neue Methoden zur Verfolgung und Sanktionierung von unzureichender Umsetzung oder Verstößen zur Verfügung. Die möglichen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Umsatzes sind drastisch und bleiben im Gedächtnis, allerdings ist die Lage weniger kritisch als angenommen. Im Alltagsstress übersehen viele IT-Entscheide die großen Fortschritte und den Wandel in der Unternehmenswelt, der mit der kommenden Verordnung einhergeht.
Mit der richtigen Einstellung zur DSGVO-Umsetzung
Immer mehr Geschäftsführungen verstehen, dass sie selbst die Verantwortung für das Thema IT-Sicherheit und Datenschutz übernehmen müssen. Das Business Continuity Institute (BCI) ist in einer Umfrage genau dieser Frage nachgegangen und stellt fest, dass 55 Prozent aller Unternehmen ein starkes Commitment in der Führungsebe verspüren – mehr als in vorangegangen Untersuchungen. Befragt wurden 369 IT-Entscheider aus 63 Ländern nach ihren Prioritäten zu den Themen Datenschutz und Kommunikation.
Grund dafür ist die wachsende Sensibilisierung der Unternehmenswelt und der Öffentlichkeit für das Thema. Natürlich ist diese gewachsene Bereitschaft nur ein erster Schritt und Unternehmen müssen bis zur Deadline noch Wege finden, wie sie die Vorgaben der DSGVO noch umsetzen. Allerdings ist die Veränderung im Kopf und der Unternehmenskultur ein wichtiger Schritt.
Da die Uhr tickt, sollte man sich aber schnellstens mit den wichtigsten Inhalten und Paragraphen vertraut machen. Neben dem Willen macht es hier Sinn sich die wichtigsten Bereiche kurz vor Augen zu führen:
- Ein erster wichtiger Punkt ist der Nachweis von organisatorischen und technologischen Maßnahmen bei der Erhebung, Verwaltung und Verarbeitung von persönlichen Informationen (Artikel 24 und 28)
- Aufbau eines Prüfungsverfahrens bei der die „Rechtmäßigkeit der Verarbeitung“ nach den Kriterien des Artikels 6 überprüft wird. Wichtig dabei ist die Fähigkeit zur Unterbrechung oder dem Abbruch der Verarbeitung, falls die Einverständniserklärung zurückgezogen wurde oder ungültig ist
- Aufbau von Reporting-Mechanismen, um alle Datenverarbeitungsprozesse zu dokumentieren. Laut Artikel 30 gehört dazu auch die Nennung des Grundes für die Weiterverarbeitung und eine Auskunft über die Zugriffsrechte zur den Informationen
- Umsetzung der Meldepflicht im Falle eines Datenschutzvorfalls innerhalb von 72 Stunden an die jeweilige Aufsichtsbehörde – meistens die Datenschutzbeauftragten der Länder oder des Bundes. Im Artikel 33 werden zudem einige Aufnahmen zu dieser Vorgabe genannt. Außerdem gibt es Vorschriften, wann Individuen direkt informiert werden müssen in Artikel l 34. Dies trifft vor allem beim Verlust von (unverschlüsselten) Daten zu.
- Ernennung eines Datenschutzbeauftragten. Dies ist besonders in Deutschland häufig bereits Alltag, allerdings bald Vorschrift. Die Details werden in den Artikeln 37 bis 39 beschrieben.
- Bereitschaft von Top Management ist hoch
- Paragraphen sind nur die halbe Miete
Lesen Sie mehr zum Thema
