Erkenntnisse aus erfolgten Umsetzungen

Einleitung

In den letzten Monaten ist das Thema Datenschutz und die Datenschutz Grundverordnung (vgl.: DSGVO) immer präsenter geworden. Die Erfahrungen und Erkenntnisse aus etlichen Kundensituationen zum Thema DSGVO und deren Umsetzung zeichnen ein klares Bild.

Erkenntnisse

  1. Die Aufklärung, besonders von rechtlicher Seite, nimmt stetig zu.
  2. Die konkrete Umsetzung und Steuerung im Betrieb, durch die geforderten technischen und organisatorischen Maßnahmen, stellen Organisationen vor große Herausforderungen.
  3. Das mögliche Optimierungspotential bei einer DSGVO Umsetzung sehen wenige Unternehmen.
  4. Vorbehalte, dass Marktbegleiter von einem möglichenImageschadenprofitieren könnten, treiben DSGVO Projekte voran.
  5. Häufig herrscht die Annahme vor, dass die Erstellung eines Verfahrensverzeichnis, nur von betroffenen Anwendungen, einer ausreichenden Dokumentation entspricht.
  6. Jegliche Form von Geschäftsdatenanalyse und Vorhersagen – Stichwort BigData– wird unmöglich
  7. Der Informationsvorsprung, als Wettbewerbsvorteil, wird damit zunichtegemacht.

Maßnahmen

In konkreten Projektsituationen ist ein einheitlicherSprachgebrauch sehr wichtig. Vor allem, da in erster Linie die Abgrenzung zwischen Datenschutz und Datensicherheit auch sprachlich vollzogen werden sollte. Selbst wenn die konkrete Maßnahme auf das selbe Ziel – personenbezogene Information – wirkt, so hat sie unterschiedliche Perspektiven und Ausgangspunkte – Datenschutz und Datensicherheit. Die genannten Perspektiven sind auf der einen Seite, die der betroffenen Person, und auf der anderen Seite, die der Organisation, die die Daten verarbeitet. Die in der Verordnung geforderte Datenschutz Folgenabschätzung (vgl.: DSFA), oder auch Privacy Impact Analysis (vgl.: PIA), zwingt einen förmlich zu einer Unterscheidung. Eine eindeutige Beschreibung der eingesetzten Verfahren und Methoden ermöglicht eine objektivierbare Dokumentation.

Der Ausdruck Betriebsblindheit im Zusammenhang mit der Umsetzung der DSGVO erfährt eine Erweiterung der Begrifflichkeit. Es handelt sich hierbei um eine Ausblendung von Risiken, ausgehend von der Organisation selbst, bei der Betrachtung der Möglichkeiten einer Kompromittierung von personenbezogenen Daten durch die Organisation als Beobachter selbst. Dieses Phänomen tritt vor allem dann auf, wenn die Umsetzung sich stark an der betrieblichen Datensicherheit und deren Bewertungsmethoden orientiert. Prinzipiell sind Methoden, Modelle und Verfahren, wie zum Beispiel der IT-Grundschutz, zulässig, aber eine Anpassung, vor allem aus Sicht der Zieldefinition (vgl.: Gewährleistungsziele et al.) und involvierten Objekte ist notwendig.

Transparenz bei der Verarbeitung von personenbezogenen Daten ist einer der Eckpunkte der Verordnung. Digitalisierung kann sicher der Transparenz zuträglich sein, aber nur dann, wenn bestehende Abläufe auch hinterfragt werden und nicht eins zu eins digital abgebildet werden. Der Ausgangspunkt für jede neue, aber auch bestehende, Verarbeitung von personenbezogenen Daten entspricht der Prämisse der Datenminimierung aus der DSGVO. Mit einer Minimierung von zu erfassenden personenbezogenen Daten soll vor allem die Eingriffsintensität in die ‚digitalen‘ Persönlichkeitsrechte der betroffenen Personen so gering als möglich gehalten werden. Die Verordnung sucht die Machtasymmetrie zwischen betroffener Personen, deren Daten verarbeitet werden, und einer Organisation, die diese Daten verarbeitet, auszugleichen.

Umsetzung

Grob zusammengefasst kann man sagen, dass eine Umsetzung der DSGVO folgende Inhalte hat.

  • Erfassen aller Verfahren (Vollständigkeit als Qualitätsmerkmal für Objektivierbarkeit und Überprüfbarkeit durch die Dokumentation und gesetzte Maßnahmen)
  • Zusätzlich eine detaillierte Erfassung aller Verfahren, die die Verarbeitung personenbezogener Daten zum Inhalt haben.
    • Messung mit objektivierbaren Kriterien, die auf die Vorgaben der DSGVO abzielen
  • Bewerten des Ergebnisses (vgl.: Soll-Ist Vergleich, Reifegrad der Prozesse et al.)
    • Überleitung und Einbindung in das Risikomanagement der Organisation, als Teil des webenKontrollsystems.
  • Ableiten und gewichten von Maßnahmen zur Sicherstellung des effektiven Mitteleinsatzes.
  • Überleiten in einen regulären Betrieb als Datenschutz Management System.
Share on:

Schreibe einen Kommentar