Datenschutz
EU-DSGVO: Deutschland hinkt hinterher
Fortsetzung des Artikels von Teil 1
Werkzeuge und Prozesse im Griff
Um die volle Kontrolle über die Datenerhebung, -verarbeitung und -speicherung zu erhalten, ist eine Enterprise-Information-Management-Lösung ratsam. Sie sollte Funktionen für die Zugangskontrolle bieten und einen sicheren Informationsaustausch sowie eine Verschlüsselung ermöglichen. Die Auswirkungen der DSGVO auf die Kernsysteme wie DMS, ERP und CRM sind vielfältig: Die DSGVO stärkt die Rechte des Einzelnen und gibt ihm mehr Kontrolle darüber, wie seine Daten verwendet werden. Dazu gehört auch das Recht auf Zugang zu den persönlichen Daten, auf Berichtigung, Löschung oder auf Unterlassung ihrer Verarbeitung. Kernsysteme enthalten in der Regel sehr viele persönliche Informationen. Kundendaten in CRMs, Mitarbeiter- und Finanzaufzeichnungen in ERPs sowie Verträge und Lebensläufe in DMS-Repositories sind nur die Spitze. Organisationen müssen über Werkzeuge und Prozesse verfügen, um die genannten Anforderungen bei Bedarf ausführen zu können. Unternehmen sind aufgefordert, jederzeit zu wissen, welche persönlichen Daten sie besitzen und in welchen Systemen und Repositories sie abgelegt sind.
Im Zuge der DSGVO müssen Organisationen zudem alle Datenverarbeitungsaktivitäten genau protokollieren. Viele Organisationen werden erstmals die unzähligen Möglichkeiten zur Verarbeitung personenbezogener Daten in den verschiedenen Geschäftsbereichen inventarisieren. Wenn ein Kernsystem von einem Cloud-Service-Provider verwaltet wird, müssen zudem die relevanten Verträge und Vereinbarungen überprüft werden, um sicherzustellen, dass sie entsprechend den Anforderungen und Bedingungen der DSGVO aktualisiert werden.
Die DSGVO betrifft aber nicht nur die Daten, die im Unternehmen selbst gespeichert sind, sondern auch extern lagern – beispielsweise bei Cloud-Anbietern. Unternehmensprozesse und Daten in der Cloud sind nicht per se sicherer oder unsicherer als im eigenen Unternehmensnetzwerk. Es kommt bei beiden Optionen immer auf die getroffenen Sicherheitsmaßnahmen an. Bei Cloud-Computing handelt es sich juristisch gesehen um eine Auftragsverarbeitung. Das bedeutet, dass der Cloud-Anbieter Daten im Auftrag des Cloud-Nutzers verarbeitet. Artikel 28 der DSGVO besagt, dass Unternehmen nur mit Cloud-Anbietern zusammenarbeiten dürfen, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet“ ist. Solche Garantien können laut DSGVO beispielsweise entsprechende Zertifizierungsverfahren sein. Bei der Wahl einer geeigneten Cloud-Lösung sollten Unternehmen also darauf achten, einen Anbieter zu wählen, der über eine DSGVO-konforme Datenschutzzertifizierung verfügt.
- EU-DSGVO: Deutschland hinkt hinterher
- Werkzeuge und Prozesse im Griff
Lesen Sie mehr zum Thema
