DSGVO-konformer Datenschutz in 13 Schritten

Ihr sowohl im Englischen als auch im Deutschen komplizierter Name ist Programm: Die General Data Protection Regulation (GDPR) — oder zu Deutsch „EU-Datenschutz-Grundverordnung“ (EU-DSGVO) — versteht sich als einheitliche Basis für den Umgang mit personenbezogenen Daten in Europa. Das ist eine große, recht grundsätzliche Aufgabe, die für die Unternehmen einiges nach sich zieht. Doch der Reihe nach.

Datenschutz bekommt einen neuen Wert

Jahrelange Diskussionen und ungleiche Regelungen in jedem europäischen Land plus amerikanische Sonderfreiheiten — Datenschutz bewegt zwar schon länger die Gemüter, doch eher Verwirrendes denn Konkretes wurde dabei zu Papier gebracht. Seit Mai 2016 ist das anders: Die DSGVO wurde beschlossen, um zwei Jahre später in Kraft zu treten. Nun, Mitte 2017, wird die Zeit knapp, Übergangsfristen sind nicht vorgesehen. Zudem ist die DSGVO eben eine Verordnung und muss — im Gegensatz zu europäischen Gesetzen — nicht in die nationalen Gesetze eingebettet werden. Sie tritt einfach in Kraft, Ende Mai 2018!

Die DSGVO schreibt einen verschärften Datenschutz und zahlreiche Sicherheitsmaßnahmen für europäische Unternehmen vor, die mit personenbezogene Daten arbeiten. Im Prinzip tut das jedes Unternehmen, welches Produkte oder Dienstleistungen anbietet. Darüber hinaus müssen die Unternehmen darauf achten, dass ihre Dienstleister die Vorgaben der Verordnung ebenfalls erfüllen, ganz egal, ob diese in oder außerhalb Europas ansässig sind.
Drastische Strafen drohen: Bis zu 4 Prozent des Jahresumsatzes oder bis zu 20 Millionen Euro. können die Behörden bei Verstößen gegen das Gesetz fordern. Wohlgemerkt bis zu 4 Prozent des Umsatzes, nicht des Gewinns — das kann Unternehmen empfindlich treffen.

13 essentielle Schritte

Erst wenn man sich mit der DSGVO und der entsprechenden Anpassung der Prozesse befasst, wird spürbar, welche weitreichenden Folgen dies hat und wie viel Arbeit tatsächlich auf einen zukommt. Sich neben dem Tagesgeschäft mit EU-Verordnungen zu befassen, ist für kein Unternehmen einfach, ganz egal, welcher Größe. In unseren Kundengesprächen und Projekten rund um die EU-Verordnung stoßen wir immer wieder auf Verunsicherung und auch Verärgerung, weil es zwar jede Menge Unterlagen und Medienberichte zum Thema gibt, kaum etwas davon aber übersichtlich und umfassend zugleich effektiv bei der Vorbereitung hilft.

Als sehr nützlich in der Praxis hat sich das Whitepaper unseres Partners tenable erwiesen. Tenable, vor allem bekannt durch den Schwachstellen-Scanner Nessus, ist spezialisiert auf Sicherheitslösungen, wie etwa eine Schwachstellen-Management-Plattform und entsprechende Monitoring-Lösungen. In dem besagten Whitepaper stellt tenable 13 konkrete Maßnahmen vor, die Unternehmen jetzt Schritt für Schritt umsetzen sollten. Diese reichen von der Empfehlung, ein Information Security Framework zu benutzen, über praktische Hinweise, wie sich personenbezogene Daten und ihr Weg über Unternehmensgrenzen hinweg überhaupt identifizieren lassen, bis hin zu der Auseinandersetzung mit dem „Recht auf Vergessen“.

Unterschätzter Aufwand?

Was ich letztlich sagen will: Der verbleibende Zeitraum bis Ende Mai 2018 ist sehr knapp, um alle Unternehmensprozesse DSGVO-konform umzugestalten. Zwar ist die öffentliche Diskussion längst in vollem Gange und auch sehr umfassend, den Unternehmen fehlt es aber oft an handfesten Aufwandsschätzungen und Zeitplänen für die Umsetzung. Denn mit der Verordnung wird eben nicht nur der Datenschutz ein bisschen verschärft. Vielmehr werden sowohl die Definition, was eigentlich personenbezogene Daten sind, als auch die juristische Tragweite deutlich ausgedehnt. Von den drohenden, empfindlichen Strafen bei Nichteinhaltung der Verordnung will ich gar nicht erst anfangen. Auch zu diesen sehr wesentlichen Details finden sich im Whitepaper wertvolle Hinweise.

In der DSGVO wird 21mal die recht dehnbare Phrase „geeignete technische und organisatorische Maßnahmen“ bemüht. Die Unternehmen sind nun gefragt, diese Phrase — idealerweise mit der Hilfe eines kompetenten IT-Dienstleisters — mit konkretem Inhalt zu füllen.