Wie man sich durch die DSGVO kämpft und gewinnt?

Aktuell habe ich beruflich sehr viel mit den Datenschutzgesetzen zu tun. Es beginnt meistens mit Anfragen der Kunden. Damit wollen sie letztlich sicher stellen, dass eine Dienstleistung abgesichert ist. Das ganze soll aus zwei Blickwinkeln betrachtet werden:

  • IT Sicherheit

Dabei vermischen sich die Fragen stark, und am Ende liegt ein langes Tabellendokument vor mit vielen Fragen und viel Platz für ausschweifende Antworten. Um diese Fragen zu beantworten, muss man sich sehr gut mit den Gegebenheiten des Unternehmens bzw. der Verarbeitung der Daten auskennen. Technische Einzelheiten sind meistens nicht von Nöten.

Wie genau bereitet man sich nun auf die DSGVO Compliance und die dazugehörigen Antworten für die Kunden vor?

Schritt 1 — Daten sammeln

Genau das was die DSGVO unterbinden soll, muss der Datenschutzzuständige im Unternehmen machen: Daten sammeln! Aber wie soll man dabei vorgehen und was ist das Ziel?

  • Ziel: Tabelle mit den Informationen darüber, welche Kundendaten im Unternehmen liegen, wo diese liegen und wer Zugriff darauf hat.

Schritt 2 — Daten Audit

Der zweite Schritte ist eine genauere Betrachtung der Daten. Es muss herausgefunden werden, um welche Kunden es sich handelt und welche Übereinkünfte gegeben worden sind. Sind Teile davon eventuell sogar gekaufte Daten?

  • Ziel: Tabelle aus Schritt 1 mit den Informationen des Audits füttern

Schritt 3 — Datenschutz Guidelines aufsetzen

Datenschutz ist etwas, dass gelebt werden muss. Das heißt, es hört nicht beim Datenschutzverantwortlichen auf, denn jeder im Unternehmen hat mit Daten zu tun und häufig sind es eben Kundendaten. Aber auch Subunternehmen müssen darüber informiert werden.

  • Ziel: Alle, die mit Kundendaten konfrontiert werden, müssen nachweislich über die Guidelines informiert werden.

Schritt 4 — Data Breach Policies

Problematisch kann es werden, wenn Daten abhanden kommen und/oder ein Einbruch in Systeme stattgefunden hat. Um vernünftig auf so ein Event reagieren zu können, müssen Data Breach Policies aufgesetzt werden. Diese müssten beinhalten:

  • Offene Kommunikation mit betroffenen Kunden

Selbstverständlich gibt es auch technische Maßnahmen. Diese sind aber weniger Policies im organisatorischen Sinne. Sie sollten sich davon ableiten und eben den technischen Weg darstellen, wie eben alle Kunden gefunden werden, die betroffen sind etc.

Schritt 5 — Datenschutz

Datenschutz an sich kann man gewährleisten, indem mehrere Verarbeitungsschritte in die bereits existierenden implementiert werden. Dazu könnten folgende zählen:

  • Daten sparen: Wer keine Daten hat, muss sie auch nicht schützen

Das sind nur Beispiele und ich bin mir sicher es gibt noch viel viel mehr Möglichkeiten, wie Daten geschützt werden können. Was noch gar nicht behandelt worden ist, wäre die physikalische Sicherheit. Und ich bin mir sicher es kommen noch viele weitere hinzu, von daher ist diese Anleitung nur als Anfang zu betrachten.

Beitragsbild von Christiaan Colen — Lizenz CC-BY-SA 2.0 — verwendetes Bild ist eine Modifikation des Originals

Andre Fritsche — IT Sicherheit

Ein Blog und eine Meinung zu vielen Themen der IT Sicherheit

Andre Fritsche

Written by

Software Developer & Security Specialist

Andre Fritsche — IT Sicherheit

Ein Blog und eine Meinung zu vielen Themen der IT Sicherheit