Keine einmalige Angelegenheit
Unternehmen müssen Datenschutzniveau dauerhaft prüfen
Bei der EU-DSGVO handelt es sich nicht um eine einmalige Umstellung gemäß der neuen Richtlinien. Vielmehr verlangt die Verordnung eine kontinuierliche Kontrolle aller Vorgänge, die mit der Verarbeitung personenbezogener Daten zu tun haben.
Der 25. Mai ist nicht als Tag zu verstehen, an dem Unternehmen einen bestimmten Datenschutzstatus erreicht haben müssen, der dann über Jahre Bestand hat. Die Aufsichtsbehörden definieren diesen Termin eher als das Datum, zu dem sich jedes Unternehmen mit einer nachvollziehbaren Strategie auf den Weg gemacht hat, den Schutz von personenbezogenen Daten zu gewährleisten und kontinuierlich weiter zu entwickeln.
Unternehmen stehen also in der Pflicht, das Datenschutzniveau ständig zu dokumentieren, überprüfen und anzupassen, wenn sich Prozesse verändern oder neue Technologien ein besseres Datenschutzniveau zulassen. Auch die Verschärfung der Meldefrist in der neuen Verordnung, bei der die Pflicht besteht, Datenschutzverletzungen einschließlich aller im Zusammenhang stehender Fakten binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden, bedeutet für Unternehmen, dass sie einen ständigen Einblick brauchen, was mit den Daten in den Systemen passiert.
Ständige Prüfung des Datenschutzniveaus – ein Fall für das Qualitätsmanagement
Diese Neuerung der ständigen Überprüfbarkeit kennen einige Betriebe sicherlich bereits aus dem Qualitätsmanagement als „KVP“, den kontinuierlichen Verbesserungsprozess. Ziel eines Qualitätsmanagementsystems ist es, das ganze Unternehmen konsequent auf die Verbesserungen aller qualitätsrelevanten Prozesse auszurichten und somit die Wettbewerbsfähigkeit des Unternehmens zu stärken.
Während es in der Praxis vermutlich so gehandhabt wird, dass der Datenschutzbeauftragte nur einmal jährlich einen Datenschutzbericht erstellt und auf dieser Grundlage das Schutzniveau prüft, wäre es empfehlenswert, wenn Unternehmen das Thema Datenschutz direkt in ihr Qualitätsmanagementsystem einbinden würden, um die strengen Vorgaben auch dauerhaft einzuhalten.
Wie es im Qualitätsmanagement üblich ist, könnte man auch bei der Beurteilung von Datenströmen Kennzahlen einführen. Sobald ein Normalzustand der Netzwerkvorgänge im Unternehmen festgelegt ist, lassen sich anhand der Kennzahlen Abweichungen deutlich machen und aufzeichnen. Um eine verlässliche Dokumentation der Netzwerkvorgänge garantieren zu können, ist es ratsam, auf professionelle Tools zurückzugreifen. Bestimmte Security-Lösungen sind in der Lage, kontinuierlich Fakten über die datenschutzrelevante Situation im Firmennetzwerk zu sammeln und diese detailliert zu veranschaulichen. Die Ergebnisse der Netzwerk-Analyse werden in Grafiken und Tabellen aufbereitet, sodass sie brauchbar sind für das Management oder die Administratoren.
Anomalien und Auffälligkeiten vom Normalzustand lassen sich anhand der Aufzeichnungen in Echtzeit sofort erkennen. Vor allem aber können die Audit-Daten eine ständige Überprüfung des Datenschutzniveaus gewährleisten, wie es die EU-DSGVO vorschreibt.
- Unternehmen müssen Datenschutzniveau dauerhaft prüfen
- Datenschutz durch Technikgestaltung
Lesen Sie mehr zum Thema
