Seit über zwei Jahren gilt die Datenschutz-Grundverordnung der EU (DSGVO; eng. GDPR). Diese hat auch Konsequenzen für Schweizer Unternehmen und erfordert deshalb ein umsichtiges Vorgehen, um die Vorschriften effizient einzuhalten.
Im Mai 2018 trat die DSGVO als Update der Datenschutzvorschriften von 1995 in Kraft. Sie regelt den Datenschutz von Konsumenten in der EU und erhöht die Transparenz der Datensammlung von in der EU tätigen Unternehmen. Trotz dessen, dass die Schweiz kein Mitglied der EU ist, haben diese Verordnungen Auswirkungen auf Schweizer Unternehmen. Um sicher vor Bussen zu sein ist es essentiell, die Übersicht über die gesammelten Daten zu behalten. Die Experten der Butos AG liefern Informationen zu den Anforderungen, die man erfüllen müssen.
Nicht nur rechtliche Gründe für eine Datensicherheitsstrategie
Daten gehören für die meisten Unternehmen zum zentralen Tätigkeitsbereich. Dahingegend können die Strafen bei Nichteinhalten der DSGVO happig ausfallen: Eine Busse kann die Höhe von 20 Millionen Euro oder vier Prozent des globalen Jahresumsatzes erreichen. Aber auch die Reputation kann Schaden nehmen. Die erforderte Transparenz im Umgang mit persönlichen Daten kann dazu führen, dass potenzielle Kunden das Vertrauen in das Unternehmen verlieren, wenn man die Datensicherheit nicht zur Genüge gewährleistet.
Dazu regeln die Verordnungen vor allem die Sicherheit in den Bereichen der Protokollierung, Organisation und Schutz der Daten von natürlichen Personen. Umso wichtiger ist es, eine effiziente Strategie zur Einhaltung der DSGVO zu implementieren – leider ist das oft noch nicht der Fall.
Die wichtigsten Schritte
Kurz zusammengefasst sind es vier Vorgaben, die ein Unternehmen realisieren muss, um erfolgreich mit Daten unter diesen Verordnungen umzugehen. Zuerst muss man die Daten, die bereits gespeichert sind, genau unter die Lupe nehmen und ihr angehaftetes Risiko beurteilen. Zudem sind Reformen in der weiteren Datensammlung nötig. Die Datenkontrolle muss spezifische Prozesse und Regeln zur Sammlung, Speicherung und Löschung neuer Daten beinhalten. Ein dritter Punkt ist die Vorbereitung auf ein mögliches Datenleck. Dazu gehört die Planung eines Notfallszenarios, welche die schnelle Identifikation und Untersuchung einer Verfehlung ermöglicht. Ausserdem muss auch ein Vorgehen zur internen und externen Meldung eines Vorfalls festgelegt werden. Denn die DSGVO sieht bei derartigen Situationen auch einen Bericht zu den jeweiligen Autoritäten vor. Zuletzt ist es wichtig, dass ein man einheitliches und bereichsübergreifendes Compliance-Management aufbaut, das alle gesammelten Daten dokumentiert und verfolgt.
Automatisierte Verwaltung der Daten
Der Ansatz, die Daten nur mit Spreadsheets und manuellen Prozessen zu verwalten, ist aufwändig und wird den Anforderungen der DSGVO nicht gerecht. So kann man kaum die Übersicht über die Datenmenge aufrechterhalten. Die folgenden Fragen sollten stets einfach zu beantworten sein: Welche persönlichen Daten sind vorhanden? Zu welchem Zweck sammelt man sie? Wer ist der rechtliche Eigner der Daten? Wie lange werden die Daten aufbewahrt? Das ist aber nur der Anfang: Ebenso muss man den Prozess der Datenlöschung akkurat handhaben, kontrollieren und dokumentieren werden. Eine übergreifendes Daten- und Implementierungsmanagement ist also unerlässlich. Ein weiterer wichtiger Ansatz ist, dass man nur die Daten sammelt, die auch für einen definierten Zweck bestimmt sind. Es lohnt sich, genau zu definieren, welche Daten für welche Ziele interessant sind. Daten auf Vorrat einzusammeln verfehlt den Nutzen und verkompliziert die Verwaltung aller Daten.
Datenregulierung
In der DSGVO ist klar geregelt, dass natürliche Personen in der EU der Verwendung ihrer Daten zustimmen müssen. Ausserdem kann diese Zustimmung jederzeit teilweise oder komplett zurückgezogen werden. Die Datenkontrolle muss also Prozesse beinhalten, die Einverständnisse regeln und Anträge auf Löschung abhandeln. Das Unternehmen muss darlegen können, dass der Verwendung der Daten zugestimmt wurde und es Aufträgen zur Löschung nachkommt. Für einige Branchen oder bestimmte Unternehmen kann es unter Umständen sinnvoller sein, den Personen die Möglichkeit zu bieten, selbst auf sichere Weise ihre Daten einzusehen und zu löschen. Egal, wie man die Datenkontrolle organisiert: Das Unternehmen muss auch bei Dritten, welche die Daten verwalten, sicherstellen, dass hohe Sicherheitsstandards eingehalten werden. Eine nahtlose Dokumentation von Einverständnissen ermöglicht zudem, dass EU-Regulatoren überzeugt sind, dass man die DSGVO ernst nimmt.
Datensicherheitslücken
Für lange Zeit sprach man vor allem über den Schutz der Daten vor äusseren Angriffen, wenn es um Datensicherheit ging. Die DSGVO weitet diese Definition allerdings aus von der Prävention zur Alarmbereitschaft. Die Kultur rund um Datensicherheit wird so durch die neue Wichtigkeit der Krisenkommunikation im Falle eines Lecks ergänzt. Das Augenmerk sollte hier also darauf fallen, dass man die Zeit zwischen dem Vorfall und einer Reaktion und dessen Meldung so kurz wie möglich hält. Häufig werden diese Vorfälle von Aussenstehenden und nicht intern entdeckt. Für den Ruf eines Unternehmens kann dies erheblichen Schaden verursachen. Neben dem Schutz der persönlichen Daten, muss man auch sicherstellen, dass brenzlige Situationen intern entdeckt, behoben und nach aussen kommuniziert werden. Rufschädigungen werden so verhindert oder zumindest in Grenzen gehalten.
Text SMA
Schreibe einen Kommentar