Wie man sich durch die DSGVO kämpft und gewinnt?

Andre Fritsche
May 25 · 3 min read

Aktuell habe ich beruflich sehr viel mit den Datenschutzgesetzen zu tun. Es beginnt meistens mit Anfragen der Kunden. Damit wollen sie letztlich sicher stellen, dass eine Dienstleistung abgesichert ist. Das ganze soll aus zwei Blickwinkeln betrachtet werden:

  • IT Sicherheit
  • Datenschutz

Dabei vermischen sich die Fragen stark, und am Ende liegt ein langes Tabellendokument vor mit vielen Fragen und viel Platz für ausschweifende Antworten. Um diese Fragen zu beantworten, muss man sich sehr gut mit den Gegebenheiten des Unternehmens bzw. der Verarbeitung der Daten auskennen. Technische Einzelheiten sind meistens nicht von Nöten.

Wie genau bereitet man sich nun auf die DSGVO Compliance und die dazugehörigen Antworten für die Kunden vor?

Schritt 1 — Daten sammeln

Genau das was die DSGVO unterbinden soll, muss der Datenschutzzuständige im Unternehmen machen: Daten sammeln! Aber wie soll man dabei vorgehen und was ist das Ziel?

  • Ziel: Tabelle mit den Informationen darüber, welche Kundendaten im Unternehmen liegen, wo diese liegen und wer Zugriff darauf hat.
  • Vorgehen: Alle möglichen Orte nach Daten durchsuchen und auf alle Verantwortlichen zugehen.
  • Orte: Es dabei um digitale Speicherorte, wie auch physikalische. Das heißt, es sollte auch klar sein, in welchen Ordnern und auf welchen Papieren sich Kundendaten befinden

Schritt 2 — Daten Audit

Der zweite Schritte ist eine genauere Betrachtung der Daten. Es muss herausgefunden werden, um welche Kunden es sich handelt und welche Übereinkünfte gegeben worden sind. Sind Teile davon eventuell sogar gekaufte Daten?

  • Ziel: Tabelle aus Schritt 1 mit den Informationen des Audits füttern
  • Vorgehen: Alle Datenquellen genau betrachtet und die Daten klassifizieren, wie weiter oben beschrieben

Schritt 3 — Datenschutz Guidelines aufsetzen

Datenschutz ist etwas, dass gelebt werden muss. Das heißt, es hört nicht beim Datenschutzverantwortlichen auf, denn jeder im Unternehmen hat mit Daten zu tun und häufig sind es eben Kundendaten. Aber auch Subunternehmen müssen darüber informiert werden.

  • Ziel: Alle, die mit Kundendaten konfrontiert werden, müssen nachweislich über die Guidelines informiert werden.
  • Kollegen & Mitarbeiter: Eingängige Schulung für alle aufsetzen und regelmäßig durchführen. Nur durch Wiederholung lernen wir Menschen, also muss das auch immer wieder im Bewusstsein der Menschen frisch gehalten werden.
  • Subunternehmer: Mit allen Subunternehmern, die mit Kundendaten in Kontakt kommen, müssen Auftragsdatenverarbeitungs-Verträge geschlossen werden.

Schritt 4 — Data Breach Policies

Problematisch kann es werden, wenn Daten abhanden kommen und/oder ein Einbruch in Systeme stattgefunden hat. Um vernünftig auf so ein Event reagieren zu können, müssen Data Breach Policies aufgesetzt werden. Diese müssten beinhalten:

  • Offene Kommunikation mit betroffenen Kunden
  • Aktionen, die die Kunden durchführen sollten, wie etwa Passwörter erneuern
  • Offfene Kommunikation im ganzen Unternehmen

Selbstverständlich gibt es auch technische Maßnahmen. Diese sind aber weniger Policies im organisatorischen Sinne. Sie sollten sich davon ableiten und eben den technischen Weg darstellen, wie eben alle Kunden gefunden werden, die betroffen sind etc.

Schritt 5 — Datenschutz

Datenschutz an sich kann man gewährleisten, indem mehrere Verarbeitungsschritte in die bereits existierenden implementiert werden. Dazu könnten folgende zählen:

  • Daten sparen: Wer keine Daten hat, muss sie auch nicht schützen
  • Daten löschen: Hier gilt das gleiche wie beim ersten Punkt. Nicht benötigtes kann gelöscht werden
  • Daten anonymisieren: Werden Daten doch gebraucht, reichen eventuell anonymisierte Daten für Statistiken etc.
  • Daten verschlüsseln: Nicht jeder muss alle Daten sehen. Von daher müssen diese so verschlüsselt werden, wie die Vorgaben dies verlangen

Das sind nur Beispiele und ich bin mir sicher es gibt noch viel viel mehr Möglichkeiten, wie Daten geschützt werden können. Was noch gar nicht behandelt worden ist, wäre die physikalische Sicherheit. Und ich bin mir sicher es kommen noch viele weitere hinzu, von daher ist diese Anleitung nur als Anfang zu betrachten.

Beitragsbild von Christiaan Colen — Lizenz CC-BY-SA 2.0 — verwendetes Bild ist eine Modifikation des Originals

Andre Fritsche — IT Sicherheit

Ein Blog und eine Meinung zu vielen Themen der IT Sicherheit

Andre Fritsche

Written by

Software Developer & Security Specialist

Andre Fritsche — IT Sicherheit

Ein Blog und eine Meinung zu vielen Themen der IT Sicherheit

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade