Audit
Unternehmen unter Druck
Für den Datenschutz ist der 25. Mai ein Meilenstein. Wer bisher noch nicht tätig wurde, kann diese Frist nicht mehr einhalten. Firmen, die erst jetzt mit der Bestandsaufnahme und Planung starten, sollten bei einem Audit zumindest nachweisen können, dass es konkrete Aktivitäten und eine Planung gibt.
Die Deadline rückt immer näher. Viele Konzerne arbeiten durchgängig an der Umsetzung der EU-DSGVO und einige sind sehr weit fortgeschritten – vor allem solche in stark regulierten Branchen wie Banken, Versicherungen, Gesundheitswesen oder Pharmazie. Im sogenannten gehobenen Mittelstand sind es laut Schätzungen von NTT Security zufolge rund zwei Drittel der Unternehmen. Im klassischen Mittstand mit bis zu 500 Beschäftigten sind es lediglich 25 bis 30 Prozent.
Viel Zeit bleibt nicht mehr
Unternehmen, die sich bis jetzt noch nicht mit der EU-DSGVO befasst haben, werden es nicht mehr schaffen, bis zum Stichtag am 25. Mai dieses Jahres alle Anforderungen zu erfüllen. Dazu ist der Aufwand, um Compliance zu erzielen, zu groß. Vor allen Dingen dann, wenn die Firmen nicht wissen, wo sich die personenbezogenen Daten befinden und in welchen Geschäftsprozessen sie zum Einsatz kommen. Das ist für nahezu alle Unternehmen eine erste Hürde, die sie meistern müssen. Oft herrscht auch noch Unklarheit darüber, was personenbezogene Daten sind. Dazu zählen Name, Geburts-datum, Geburtsort, Adressdaten, Steueridentifikationsnummer, Gesundheitsdaten sowie Schul- und Arbeitszeugnisse; wobei diese Liste keineswegs vollständig ist. Wichtig ist, dass dies nicht nur
Kundendaten betrifft, sondern auch die Daten der Mitarbeiter. Zunächst einmal müssen sich Unternehmen einen Überblick verschaffen, wo welche personenbezogenen Daten vorhanden sind. Während ein Großteil der Daten mehr oder minder regelmäßig in aktuellen Geschäftsprozessen genutzt wird, gibt es andere, von deren Existenz nur wenige Mitarbeiter wissen, weil sie bei Aktivitäten abseits der offiziellen IT – auch als „Schatten-IT“ bekannt – entstehen, oder die seit Jahren unbemerkt in Archiven, Datenbanken und Cloud-Diensten aller Art aufbewahrt werden. Wichtig sind in diesem Zusammenhang auch die Informationsrechte der Kunden und Mitarbeiter über die gespeicherten Daten und das „Recht auf Vergessenwerden“ beziehungsweise das „Recht auf Löschung“. Die Voraussetzung dafür: Die Daten müssen auffindbar sein.
Nun ist es offensichtlich, dass es nicht allein Aufgabe der IT sein kann, die Daten aufzuspüren, sondern ebenso alle Fachabteilungen und Business Process Owner gefordert sind. Hier ist das eigentliche Know-how anzutreffen, nämlich die Experten und Poweruser, die nahezu alle Details über die in den Fachprozessen eingesetzten Daten kennen. Dies sind darüber hinaus genau die Ansprechpartner, die Licht in das Dunkel einer Schatten-IT bringen können. Der Beitrag der IT besteht unter anderem darin, die internen und externen Datenquellen sowie den Datenfluss, etwa den in die und aus der Cloud, zu ermitteln und vor allem nachprüfbar für die Datenaufsichtsbehörden zu dokumentieren: Wie werden Daten erfasst? Wer kann mit welchen Rechten darauf zugreifen? Wer darf die Daten weiterleiten?
- Unternehmen unter Druck
- Bestandsaufnahme liefert einen Überblick
- Hintergrund: Wenn der Auditor kommt
Lesen Sie mehr zum Thema
