Die EU-DSGVO: Dos und Don‘ts zur Umsetzung – Interview mit Marco Gschaider

von | Feb 8, 2018 | IT-Infrastruktur |

Die EU-DSGVO (Datenschutzgrundverordnung) zur Reglementierung des Schutzes von personenbezogenen Daten tritt am 25. Mai 2018 EU-weit in Kraft. Das Gesetz betrifft praktisch alle Firmen und erlegt Unternehmern und Mitarbeitern umfassende Pflichten auf. Die Umsetzung mit den abstrakten Regelungen, Ausnahmen und nationalen Öffnungsklauseln ist dabei keine triviale Aufgabe. Grund genug für uns deshalb ein Interview mit Marco Gschaider, CIO bei Iphos IT Solutions, über Dos und Don‘ts bei der Umsetzung zu führen.


Q:
Guten Tag Herr Gschaider. Sie sind als CIO tätig. Was würden Sie Unternehmern für die Umsetzung der DSGVO raten?

 

Marco Gschaider: Die EU-DSGVO ist sehr restriktiv. Das Hauptziel ist – neben der Harmonisierung des Datenschutzes in der EU – der Schutz von personenbezogenen Daten. Da streng im Sinn der Betroffenen reglementiert und zumindest theoretisch gestraft wird, sollte man sich als Unternehmen daher besser damit auseinandersetzen. In der Praxis sehen wir aber oft, dass ein richtiges Bewusstsein für die Sache in vielen Unternehmen erst geschaffen werden muss. Es ist nämlich nicht allein mit technischen Maßnahmen getan – die könnten einfach, schnell und bequem ausgelagert werden. Ganz im Gegenteil: das Gesetz verweist mehrfach auf notwendige (auch interne) organisatorische Schritte. Dazu kommt, dass man für die Umsetzung der DSGVO erst umfassende interne Informationen zum IST-Stand benötigt. Denn davon, wo und wie personenbezogene Daten verarbeitet werden, hängt die konkrete Anwendung im Unternehmen ab. Eine fachkundige Person, die sich das Ganze ansieht, ist deshalb schon empfehlenswert. Egal ob es sich dann konkret um einen internen Datenschutzbeauftragten, oder einen externen Dienstleister, oder um beides handelt. Richtet man sich übrigens nach den relativ einfach gehaltenen Checklisten, die es online zum Downloaden gibt, muss man das Gesetz und worauf das Ganze hinausläuft, auch schon kennen. In Summe sollte man daher den internen Arbeitsaufwand nicht unterschätzen, sich vorab ordentlich einlesen und dann zunächst möglichst strukturiert – also schon nach den Vorgaben der DSGVO – den IST-Stand erheben.

 

Q: Viele Unternehmen fragen sich, wo sie bei der Umsetzung anfangen sollen. Gibt es da konkrete Anhaltspunkte?

 

Marco Gschaider: Ja, die gibt es auf jeden Fall. Zunächst sollte man ein Managementsystem aufbauen. Am besten ernennt man gleich einen eigenen Datenschutzbeauftragten. Dann muss die IST-Situation erhoben werden. Darunter fallen etwa der Schutzbedarf, Risikoabschätzungen, das Anlegen eines Verzeichnis der Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzungen. Die inhaltliche Form dieser ist gesetzlich vorgegeben. Darauf aufbauend kann die Soll-Situation festgelegt werden. Die Umsetzung sollte dann organisatorisch und technisch erfolgen – wobei das oft ineinandergreift. Wichtig ist auch das Führen von Dokumentationen und Nachweisen, weil Unternehmen die Melde- und Rechenschaftspflichten einhalten müssen. Die bestehen gegenüber dem Gesetzgeber, Behörden und betroffenen Personen. Eine laufende Kontrolle der Einhaltung ist auch anzuraten.

 

 

Q: Wo entsteht dann der hohe Aufwand in der Umsetzung der DSGVO?


Marco Gschaider
: Der ensteht, weil so viele Bereiche betroffen sind und es relativ schnell ins Detail geht. Alle Abteilungen, die mit personenbezogenen Daten umgehen, fallen unter das Gesetz – also IT, Personal, Marketing, Vertrieb, Recht, Buchhaltung, fallweise auch andere. Aufgrund der Regelungen zur Auftragsdatenverarbeitung und den daraus für Unternehmen entstehenden erweiterten Pflichten umfasst das auch eigene externe Dienstleister, wie Lieferanten, Personaldienstleister, oder Cloud- und Hosting-Provider. Dementsprechend gibt es in der technischen Infrastruktur eine hohe Menge an Ansatzpunkten. Die reichen von Websites, Shopsystemen, Intranets, bis hin zu CRM- & ERP-, Backup- & Recovery-Systemen, Servern, Firewalls, Antivirensoftware, sämtliche Speicherungs- & Berechtigungssysteme und Schnittstellen in Software, Firmendaten in (externen) Cloud- & Storage-Systemen, u.v.m. Diese Dinge können jeweils mehrfach betroffen sein. Dann muss man sich auch vorab noch ansehen, was es schon an bestehenden Datenschutz- & Einwilligungserklärungen, Dokumenten, Verträgen, Vereinbarungen und Dokumentationen gibt. Die Listen sind lang. Und bei weitem nicht vollständig. Daraus entsteht der hohe Aufwand.

 

Q: Gibt es besonders wichtige Dinge, die zu beachten sind? Etwa absolute No-Gos oder gute Orientierungspunkte?

 

Marco Gschaider: Der eine große Teil der DSGVO sind die Pflichten des Unternehmens, die man einfach genau kennen muss. Darunter fallen neben anderen etwa das Anlegen eines Verzeichnis der Verarbeitungstätigkeiten und die Datenschutz-Folgenabschätzung, die umfassenden Dokumentations-, Melde– und Rechenschaftspflichten, das Recht auf Vergessenwerden und auf die Berichtigung, Löschung und Einschränkung der Verarbeitung personenbezogener Daten. Diese Pflichten sind stark reglementiert. Da gibt es zum Beispiel strenge formale und inhaltliche Vorgaben. Man sollte auch wissen, dass ohne eine rechtsgültige Einwilligung von Betroffenen die Datenverarbeitung grundsätzlich verboten ist – außer sie wird durch ein Gesetz ausdrücklich erlaubt. Ein weiterer interessanter Aspekt ist, dass Umfang und Art der gespeicherten oder verarbeiteten Daten dem Zweck angemessen sein muss. Dann gibt es auch noch eigens reglementierte Bereiche. Darunter fallen etwa die Auftragsdatenverarbeitung, die in der Praxis sehr oft vorkommt. Personaldienstleister, Hosting- und Cloud-Provider sind etwa Auftragsdatenverarbeiter. Eigens reglementierte Bereiche sind auch noch die Videoüberwachung, oder das im Gesetz – mit einigen Ausnahmen – grundsätzlich eher als problematisch eingestufte Senden von Daten in Drittstaaten. Wenn man sich diese Dinge ansieht, denke ich, hat man schon einige der wichtigsten Aspekte gesehen.

 

 

Q: Gibt es besondere Produkte und Technologien, die empfehlenswert sind?


Marco Gschaider
: Empfehlenswert sind Produkte und Technologien nur, wenn sie ein angemessenes Schutzniveau bieten. Das bemisst sich auf Basis des Stands der Technik, der Kosten, des Risikos und anderer Faktoren. Im Einzelfall muss man IT-Prozesse, Soft- und Hardware auf die gesetzlichen Anforderungen hin beleuchten. Auf Basis der vorgeschriebenen Schutz-Ziele kann man aber sagen, dass man – neben gewöhnlichen Sicherheitstechnologien, wie Verschlüsselungen, Authentifizierungen, etc. – Backup- und Recovery Systeme, Firewalls und Antivirensoftware benötigen wird. Der Grundsatz der Verfügbarkeit der Daten legt speziell in großen Unternehmen auch ein Enterprise Search System nahe. Das ist deswegen so, weil man für Dinge wie etwa die Auskunfts-, Änderungs- und Löschpflichten, verlässlich wissen muss, wo die Daten sind – und zwar jede Kopie davon. Es kann auch Software wie Nextcloud für das Sharing und Speichern von Daten im Unternehmen genutzt werden, das wegen seiner Technik und Sicherheitsstandards eine hohe DSGVO-Compliance aufweist.

 

Q: Haben Sie dazu noch einen letzten Satz, den Sie Unternehmen mitgeben möchten?


Marco Gschaider
: Ja, schon. Gehen Sie das Thema zügig und ohne Berührungsängste an. Im Mai 2018 ist die Sache gültiges Recht – und keiner weiß, wie stark Verstöße in der Praxis dann geahndet werden. Deswegen sollte man da lieber auf Nummer sicher gehen und die Sachen einfach umsetzen. Und wenn es aus eigener Kraft nicht klappt, kann man sich ja auch noch professionelle Hilfe holen.

 

Q: Vielen Dank für die ausführlichen Informationen zum Thema EU-DSGVO!

a

Textquellen & Links

[Interne Quelle]