Interview
"DSGVO heißt erst einmal: Ran an die Prozesse"
Fortsetzung des Artikels von Teil 1
Roadmap für die EU-DSGVO
funkschau: Könnten Sie uns ganz grob eine Roadmap für DSGVO-Neulinge skizzieren?
Jung: Im ersten Schritt gilt es, den Datenbestand und die Verarbeitungsvorgänge zu erfassen und zu kategorisieren. Und zwar sowohl die eigenen Daten als auch die Daten, die im Auftrag der Kunden verarbeitet werden. Dazu gehört es auch, auf potenzielle Schwachstellen zu achten – etwa Fernwartungs- oder Marketing-Tools, über die sensible Daten kompromittiert werden könnten. Ausgehend von dieser Analyse definiert man dann technische und organisatorische Maßnahmen, mit denen jede Datei angemessen geschützt wird – und zwar sowohl auf Endgeräten, in Datenbanken oder in der Cloud, als auch während der Übertragung und Verarbeitung.
funkschau: Ist die DSGVO eine Frage der richtigen Technologien oder der richtigen Prozesse?
Klose: Wenn Sie mich fragen, sind es eher die Prozesse. Security-Systeme wie Verschlüsselung, DLP und CASB oder die Ablösung von Consumer-Technologien durch professionelle Business-Software können bei der Umsetzung zwar helfen. Sie spielen ihren Nutzen aber nur aus, wenn alle Mitarbeiter das Prinzip der „Privacy by Default“ verinnerlicht haben. Also heißt es erst einmal: Ran an die Prozesse.
Gaden: Dazu gehört es übrigens auch, alle Verträge mit externen Datenverarbeitern auf den Prüfstand zu stellen. Alte Vordrucke zur Auftragsdatenverarbeitung sind meist nicht DSGVO-konform – wer externe Cloud-Services anbietet, kommt nicht umhin, sein Vertragswerk zu aktualisieren. Auch wer im Rahmen von IT-Support-Dienstleistungen Zugriff auf Kunden- oder Mitarbeiterdaten erhält, muss eine sogenannte „Auftragsverarbeitungsvereinbarung“ nach den Vorschriften der DSGVO abschließen.
funkschau: In welchen Teilbereichen lohnt es sich denn, externe Spezialisten hinzuzuziehen?
Klose: Viele Teilprojekte bei der DSGVO-Compliance lassen sich gut an externe Partner outsourcen. Das beginnt bei der juristischen Interpretation der Bestimmungen, die im Detail nur ein Rechtsanwalt für Datenschutz beantworten kann. Aber auch die Auswahl geeigneter Prozesse und Technologien erfordert tiefes, punktuelles Know-how, das intern oft nicht vorhanden ist. In all diesen Szenarien sind Unternehmen gut beraten, externe Experten hinzuziehen oder das eigene Team umfassend schulen lassen.
funkschau: Lohnen sich Schulungen bei einem solchen Projektt?
Jung: Die DSGVO-Einführung mag ein Einmalprojekt sein, die kontinuierliche Umsetzung ist aber etwas, was Betriebe auf Jahre hinaus im Blick behalten müssen. Von daher ist es durchaus sinnvoll, Inhouse-Kompetenz aufzubauen. Bei Systemintegratoren kommt noch ein zweiter Aspekt hinzu: Wenn sie ihr eigenes DSGVO-Projekt abgeschlossen und selbst Know-how aufgebaut haben, sind sie hervorragend positioniert, um Compliance-as-a-Service anzubieten. Das ist aktuell ein sehr attraktives Segment.
funkschau: Mit welchen Angeboten können die Partner da punkten?
Klose: Mit den entsprechenden Schulungen und den Erfahrungen aus der eigenen DSGVO-Einführung im Rücken verfügen die Partner meist über einen umfangreichen Katalog von Best Practices für die Umsetzung – und haben oft auch schon Zugriff auf ein Netzwerk externer Experten. Das ist ein gutes Fundament, um sich bei Kunden als Trusted Advisor zu positionieren. Hinzu kommt, dass die Vorgaben häufig auch eine Modernisierung der Infrastrukturen erfordern – auch hier generieren Partner nachhaltiges Business.
- "DSGVO heißt erst einmal: Ran an die Prozesse"
- Roadmap für die EU-DSGVO
Lesen Sie mehr zum Thema
