GDPR – die Fakten zur Datenschutz-Grundverordnung
Gast-Blog von Alan Calder über IT-Governance
Der Datenschutz hat in Deutschland schon seit geraumer Zeit einen hohen Stellenwert im Vergleich zu anderen Staaten. Ein hohes Datenschutzniveau auf nationaler Ebene bringt jedoch nicht viel, wenn es nun um den internationalen Datenaustausch und um das Internet geht. Was also bedeutet die Datenschutz-Grundverordnung (GDPR – General Data Protection Regulation) für Unternehmen? Werden geforderte Maßnahmen nicht rechtzeitig oder nur unvollständig umgesetzt, drohen massive Sanktionen!
GDPR: Der Countdown läuft
Nur noch wenige Monate bis zu dem Tag, an dem die GDPR für alle Unternehmen in der gesamten EU, einschließlich des Vereinigten Königreichs, gelten! Bis zum 25. Mai 2018 sind noch einige Grauzonen in den Rechtsvorschriften enthalten. Dies entbindet EU-Organisationen und Unternehmen jedoch nicht von der Verpflichtung, diese Verordnungen einzuhalten, wenn sie personenbezogene Daten verarbeiten oder Dienstleistungen innerhalb der EU erbringen.
Doch was bedeutet „Compliance“ im Zusammenhang mit den GDPR?
Wie beweist ein Unternehmen, dass es die Vorschriften einhält? Ich kann mir nur schwer vorstellen, dass es jemals eine effektive Compliance-Zertifizierung bezüglich eines Gesetzes geben kann, dessen letztendliche Auslegung von Gerichten entschieden wird.
Ein Unternehmen kann jedoch nachweisen, dass es die „größten Anstrengungen“ im Rahmen der GDPR unternommen hat, um den Verpflichtungen nachzukommen. Wie könnten also diese Anstrengungen aussehen? Ich denke, es gibt zwei Aspekte: erstens, dass personenbezogene Daten tatsächlich vor Verstößen geschützt sind, und zweitens, dass es den Betroffenen leichtgemacht wird, alle Rechte in Bezug auf ihre Daten wahrzunehmen.
Wie Sie die Anforderungen der GDPR erfüllen
Ausgangspunkt für einen wirksamen Datenschutz ist ein effizientes ISMS (Information Security Management System), das sowohl Risiken für die Rechte und Freiheiten der betroffenen Personen, als auch für die Reputation und Leistung des für die Verarbeitung Verantwortlichen oder des Datenverarbeiters berücksichtigt.
Cyber Essentials, ISO 27001-Zertifizierung, regelmäßige Penetrationstests, Datenverschlüsselung, Mitarbeiterschulung und -bewusstsein sowie robuste Prozesse zur Reaktion auf Zwischenfälle sind wesentliche Bestandteile eines effektiven ISMS.
Klare Datenschutzhinweise, durchdachte Mechanismen zur Erleichterung der Inanspruchnahme der Rechte der betroffenen Personen und ein solides und agiles Verfahren für den Datenzugriff sind Schlüsselelemente eines wirksamen Systems zur Verwaltung personenbezogener Daten (Personal Information Management System, PIMS). Ein PIMS wird durch eine Datenschutzrichtlinie gesteuert und sollte alle Verarbeitungsprotokolle und den Nachweis der Einhaltung der sechs Datenschutzgrundsätze umfassen. So können Sie nachweisen, dass Sie bei der Erfüllung Ihrer Compliance-Verpflichtungen tatsächlich das Bestmögliche getan haben.
Ein wirksamer Datenschutz und ein solides Verfahren für die Rechte Dritter werden sicherlich einen wesentlichen Beitrag dazu leisten, zu vermeiden, jemals einen Verstoß gegen die Datenschutzbestimmungen an das ICO melden oder gar auf eine Klage eines Betroffenen reagieren zu müssen. In gewisser Weise wird die Vermeidung dieser beiden Ereignisse ein deutlicher Beweis dafür sein, dass Sie Ihre Compliance-Verpflichtungen im Rahmen der GDPR erfüllt haben und auch weiterhin erfüllen werden.
Mehr über Alan Calder
Alan ist Gründer und Vorstandsvorsitzender von IT Governance. Er ist ein international anerkannter Cybersecurity-Guru und einer der führenden Autoren für Informationssicherheit und IT-Governance. Alan schrieb den Compliance Guide, IT Governance: An International Guide to Data Security and ISO27001/ISO27002, 5. Auflage (gemeinsam mit Steve Watkins) (Englisch), der die Grundlage für das Aufbaustudium an der britischen Open University über Informationssicherheit bildet. Diese Arbeit stützt sich auf seine Erfahrung als Leiter der weltweit ersten erfolgreichen Implementierung von BS7799 (heute ISO27001).
Weitere von Alan verfasste Bücher: The Case for ISO27001, ISO27001 – Nine Steps to Success, Risk Assessment for Asset Owners, IT Governance: Guidelines for Directors, IT Governance: A Practitioner’s Handbook and IT Regulatory Compliance in the UK. (alle Englisch)
Alan ist ein gern gesehener Kommentator in den Medien zu Fragen der Informationssicherheit und IT-Governance. Er hat Artikel und Expertenkommentare in vielen Branchen-, nationalen und Online-Nachrichtenkanälen veröffentlicht.
Dieser Artikel wurde aus dem Englischen übersetzt.