Selfcheck: Ist Ihr Unternehmen fit für den europäischen Datenschutz?
Viele Unternehmen kämpfen damit, die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) rechtzeitig zum Mai 2018 umzusetzen. Eine Umfrage zeigt: Manche haben zu spät angefangen, andere messen den regulatorischen Erfordernissen keine allzu große Bedeutung bei.
1. Gewährleisten Ihre IT-Systeme und die damit verbundenen Prozesse einen hohen Datenschutz?
Sowohl technisch als auch hinsichtlich der Prozesse ist unser Datenschutz-Level hoch. Unsere IT-Infrastruktur entspricht weitgehend, aber nicht vollständig hohen Datenschutzanforderungen, Gleiches gilt für die Prozesse. Nach meiner Kenntnis bestehen im Unternehmen keine optimalen Bedingungen. Ich habe den Eindruck, dass deutliche Defizite bestehen.
2. Findet eine Pseudonymisierung und Verschlüsselung der personenbezogenen Daten statt?
Ja – nach definierten Regeln, vollständig und unternehmensweit. Es bestehen gewisse überschaubare Begrenzungen, weil dies noch nicht durchgängig realisiert wurde. Die personenbezogenen Daten werden in Teilbereichen des Unternehmens nicht pseudonymisiert und verschlüsselt. Es findet keine oder nur eine geringe Pseudonymisierung und Verschlüsselung der personenbezogenen Daten statt.
3. Verfügen Sie über ein Informationssicherheits-Management-System (ISMS)?
Wir nutzen ein umfassend eingeführtes und zertifiziertes ISMS. Ein zertifizierbares ISMS befindet sich derzeit in der konkreten Umsetzungsplanung beziehungsweise Realisierung. Es ist für die nahe Zukunft geplant und auch bereits budgetiert. Derzeit bestehen noch keinerlei Planungen zur Einführung eines ISMS.
4. Gibt es ein betriebsfähiges Konzept zur unternehmensweiten Löschung von Daten über alle Funktionsbereiche und IT-Systeme hinweg?
Ja, es ist sowohl in technischer als auch in organisatorischer Hinsicht etabliert. Grundsätzlich ist es vorhanden, aber nicht durchgängig im Einsatz. Es bestehen veraltete Lösungen, ein aktuelles Konzept befindet sich in der Planung.
Ein systematisches Löschen personenbezogener Daten ist derzeit nicht möglich.
5. Werden Schutzverletzungen von persönlichen Daten über entsprechende Prozesse systematisch dokumentiert?
Schutzverletzungen werden vollständig dokumentiert, untersucht und daraus Optimierungsmöglichkeiten abgeleitet. Es finden Dokumentationen statt, aber nicht in einem definierten Prozess und damit nicht durchgängig. Die Erfassung von Schutzverletzungen bei personenbezogenen Daten erfolgt nur sporadisch. Es werden hierfür keinerlei Dokumentationsverfahren genutzt.
6. Amtiert ein fachlich kompetenter Datenschutzbeauftragter?
Es ist ein Datenschutzbeauftragter mit hohen fachlichen Kenntnissen bestellt. Wir verfügen zwar über einen Datenschutzbeauftragten, aber seine datenschutzspezifischen Kenntnisse sind begrenzt. Im Unternehmen gibt es einen Datenschutzbeauftragten, der diese Funktion aber nur punktuell wahrnimmt. Wir haben keinen oder nur einen formal bestellten Datenschutzbeauftragten.
7. Berichtet der Datenschutzbeauftragte unmittelbar an die Geschäftsleitung?
Ja, er ist der Geschäftsleitung direkt zugeordnet, seine Informationen werden von ihr aktiv aufgegriffen. Er befindet sich nur teilweise im direkten Kontakt mit der Geschäftsleitung. Es gibt hierzu keine klaren Regelungen. Die Geschäftsleitung steht für Fragen des Datenschutzes kaum zur Verfügung.
8. Besteht ein Prozess zur Folgenabschätzung?
Ja, er ist, aus dem bisherigen Prozess zur Vorabkontrolle abgeleitet, nach den DSGVOAnforderungen modifiziert worden. Wir sind gegenwärtig in der Vorbereitung des Prozesses zur Folgenabschätzung. Nein, es bestehen derzeit nur die Voraussetzungen für eine Vorabkontrolle. Wir verfügen weder über einen Prozess zur Vorabkontrolle noch zur Folgenabschätzung.
9. Werden Dienstleister der Auftragsdatenverarbeitung in die Verantwortung für den Schutz personenbezogener Daten einbezogen?
Es bestehen verbindliche Mitverantwortungsregelungen mit allen Dienstleistern, die personenbezogene Daten von uns verarbeiten. Solche Vereinbarungen sind auf die wichtigsten Dienstleister begrenzt. Wir sind in der Vorbereitung, die Mitverantwortung unserer Auftragsdatenverarbeiter zu regeln. Besondere Vereinbarungen zur Mitverantwortung bestehen nicht und sind unserer Ansicht nach auch nicht erforderlich.
10. Können persönliche Daten auf Anforderung an Dritte übertragen werden?
Dafür bestehen sowohl die notwendigen organisatorischen als auch die technischen Voraussetzungen. Mit gewissen Einschränkungen ist eine Übertragung personenbezogener Daten möglich. Es bestehen entweder technisch oder organisatorisch erhebliche Einschränkungen. Eine systematische Übertragung ist derzeit nicht möglich und auch nicht vorbereitet.