Self­check: Ist Ihr Un­ter­neh­men fit für den eu­ro­päi­schen Da­ten­schutz?

Vie­le Un­ter­neh­men kämp­fen da­mit, die neue EU-Da­ten­schutz-Gr­und­ver­ord­nung (EU-DSGVO) recht­zei­tig zum Mai 2018 um­zu­set­zen. Ei­ne Um­fra­ge zeigt: Man­che ha­ben zu spät an­ge­fan­gen, an­de­re mes­sen den re­gu­la­to­ri­schen Er­for­der­nis­sen kei­ne all­zu gro­ße Be­deu­tung bei.

Computerwoche - - Praxis -

1. Ge­währ­leis­ten Ih­re IT-Sys­te­me und die da­mit ver­bun­de­nen Pro­zes­se ei­nen ho­hen Da­ten­schutz?

So­wohl tech­nisch als auch hin­sicht­lich der Pro­zes­se ist un­ser Da­ten­schutz-Le­vel hoch. Un­se­re IT-In­fra­struk­tur ent­spricht weit­ge­hend, aber nicht voll­stän­dig ho­hen Da­ten­schutz­an­for­de­run­gen, Glei­ches gilt für die Pro­zes­se. Nach mei­ner Kennt­nis be­ste­hen im Un­ter­neh­men kei­ne op­ti­ma­len Be­din­gun­gen. Ich ha­be den Ein­druck, dass deut­li­che De­fi­zi­te be­ste­hen.

2. Fin­det ei­ne Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung der per­so­nen­be­zo­ge­nen Da­ten statt?

Ja – nach de­fi­nier­ten Re­geln, voll­stän­dig und un­ter­neh­mens­weit. Es be­ste­hen ge­wis­se über­schau­ba­re Be­gren­zun­gen, weil dies noch nicht durch­gän­gig rea­li­siert wur­de. Die per­so­nen­be­zo­ge­nen Da­ten wer­den in Teil­be­rei­chen des Un­ter­neh­mens nicht pseud­ony­mi­siert und ver­schlüs­selt. Es fin­det kei­ne oder nur ei­ne ge­rin­ge Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung der per­so­nen­be­zo­ge­nen Da­ten statt.

3. Ver­fü­gen Sie über ein In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment-Sys­tem (ISMS)?

Wir nut­zen ein um­fas­send ein­ge­führ­tes und zer­ti­fi­zier­tes ISMS. Ein zer­ti­fi­zier­ba­res ISMS be­fin­det sich der­zeit in der kon­kre­ten Um­set­zungs­pla­nung be­zie­hungs­wei­se Rea­li­sie­rung. Es ist für die na­he Zu­kunft ge­plant und auch be­reits bud­ge­tiert. Der­zeit be­ste­hen noch kei­ner­lei Pla­nun­gen zur Ein­füh­rung ei­nes ISMS.

4. Gibt es ein be­triebs­fä­hi­ges Kon­zept zur un­ter­neh­mens­wei­ten Lö­schung von Da­ten über al­le Funk­ti­ons­be­rei­che und IT-Sys­te­me hin­weg?

Ja, es ist so­wohl in tech­ni­scher als auch in or­ga­ni­sa­to­ri­scher Hin­sicht eta­bliert. Grund­sätz­lich ist es vor­han­den, aber nicht durch­gän­gig im Ein­satz. Es be­ste­hen ver­al­te­te Lö­sun­gen, ein ak­tu­el­les Kon­zept be­fin­det sich in der Pla­nung.

Ein sys­te­ma­ti­sches Lö­schen per­so­nen­be­zo­ge­ner Da­ten ist der­zeit nicht mög­lich.

5. Wer­den Schutz­ver­let­zun­gen von per­sön­li­chen Da­ten über ent­spre­chen­de Pro­zes­se sys­te­ma­tisch do­ku­men­tiert?

Schutz­ver­let­zun­gen wer­den voll­stän­dig do­ku­men­tiert, un­ter­sucht und dar­aus Op­ti­mie­rungs­mög­lich­kei­ten ab­ge­lei­tet. Es fin­den Do­ku­men­ta­tio­nen statt, aber nicht in ei­nem de­fi­nier­ten Pro­zess und da­mit nicht durch­gän­gig. Die Er­fas­sung von Schutz­ver­let­zun­gen bei per­so­nen­be­zo­ge­nen Da­ten er­folgt nur spo­ra­disch. Es wer­den hier­für kei­ner­lei Do­ku­men­ta­ti­ons­ver­fah­ren ge­nutzt.

6. Am­tiert ein fach­lich kom­pe­ten­ter Da­ten­schutz­be­auf­trag­ter?

Es ist ein Da­ten­schutz­be­auf­trag­ter mit ho­hen fach­li­chen Kennt­nis­sen be­stellt. Wir ver­fü­gen zwar über ei­nen Da­ten­schutz­be­auf­trag­ten, aber sei­ne da­ten­schutz­spe­zi­fi­schen Kennt­nis­se sind be­grenzt. Im Un­ter­neh­men gibt es ei­nen Da­ten­schutz­be­auf­trag­ten, der die­se Funk­ti­on aber nur punk­tu­ell wahr­nimmt. Wir ha­ben kei­nen oder nur ei­nen for­mal be­stell­ten Da­ten­schutz­be­auf­trag­ten.

7. Be­rich­tet der Da­ten­schutz­be­auf­trag­te un­mit­tel­bar an die Ge­schäfts­lei­tung?

Ja, er ist der Ge­schäfts­lei­tung di­rekt zu­ge­ord­net, sei­ne In­for­ma­tio­nen wer­den von ihr ak­tiv auf­ge­grif­fen. Er be­fin­det sich nur teil­wei­se im di­rek­ten Kon­takt mit der Ge­schäfts­lei­tung. Es gibt hier­zu kei­ne kla­ren Re­ge­lun­gen. Die Ge­schäfts­lei­tung steht für Fra­gen des Da­ten­schut­zes kaum zur Ver­fü­gung.

8. Be­steht ein Pro­zess zur Fol­gen­ab­schät­zung?

Ja, er ist, aus dem bis­he­ri­gen Pro­zess zur Vor­ab­kon­trol­le ab­ge­lei­tet, nach den DSGVOAn­for­de­run­gen mo­di­fi­ziert wor­den. Wir sind ge­gen­wär­tig in der Vor­be­rei­tung des Pro­zes­ses zur Fol­gen­ab­schät­zung. Nein, es be­ste­hen der­zeit nur die Vor­aus­set­zun­gen für ei­ne Vor­ab­kon­trol­le. Wir ver­fü­gen we­der über ei­nen Pro­zess zur Vor­ab­kon­trol­le noch zur Fol­gen­ab­schät­zung.

9. Wer­den Di­enst­leis­ter der Auf­trags­da­ten­ver­ar­bei­tung in die Ver­ant­wor­tung für den Schutz per­so­nen­be­zo­ge­ner Da­ten ein­be­zo­gen?

Es be­ste­hen ver­bind­li­che Mit­ver­ant­wor­tungs­re­ge­lun­gen mit al­len Di­enst­leis­tern, die per­so­nen­be­zo­ge­ne Da­ten von uns ver­ar­bei­ten. Sol­che Ver­ein­ba­run­gen sind auf die wich­tigs­ten Di­enst­leis­ter be­grenzt. Wir sind in der Vor­be­rei­tung, die Mit­ver­ant­wor­tung un­se­rer Auf­trags­da­ten­ver­ar­bei­ter zu re­geln. Be­son­de­re Ver­ein­ba­run­gen zur Mit­ver­ant­wor­tung be­ste­hen nicht und sind un­se­rer An­sicht nach auch nicht er­for­der­lich.

10. Kön­nen per­sön­li­che Da­ten auf An­for­de­rung an Drit­te über­tra­gen wer­den?

Da­für be­ste­hen so­wohl die not­wen­di­gen or­ga­ni­sa­to­ri­schen als auch die tech­ni­schen Vor­aus­set­zun­gen. Mit ge­wis­sen Ein­schrän­kun­gen ist ei­ne Über­tra­gung per­so­nen­be­zo­ge­ner Da­ten mög­lich. Es be­ste­hen ent­we­der tech­nisch oder or­ga­ni­sa­to­risch er­heb­li­che Ein­schrän­kun­gen. Ei­ne sys­te­ma­ti­sche Über­tra­gung ist der­zeit nicht mög­lich und auch nicht vor­be­rei­tet.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.