Hilfe zur Selbsthilfe. So lässt sich Aufforderung an IT-Leiter in privaten wie öffentlichen Unternehmen am besten beschreiben. Wir haben einen internen Fragebogen ausgearbeitet, den IT-Leiter für die Vorbereitung auf DSGVO nutzen können. Hier sind die 5 wichtigsten Fragen.
DSGVO ist ein gutes Beispiel dafür, wie wichtig es ist, eine Aufgabe zu definieren, bevor man sie bearbeitet.
Bei der DSGVO geht es im Wesentlichen um den Schutz von personenbezogenen Daten in einem Unternehmen. Um jedoch beantworten zu können, wie personenbezogene Daten im Unternehmen geschützt werden, muss man wissen, warum das Unternehmen überhaupt über eben jene personenbezogenen Daten verfügt. Das Warum kommt also vor dem Wie, die Ursache vor der Handhabung.
Derzeit landet die DSGVO oft auf dem Tisch der IT-Leiter und sorgt dort verständlicherweise für Frustration. Denn man kann nicht verlangen, dass ein IT-Leiter die Frage beantwortet, warum sein Unternehmen personenbezogene Daten erfasst, speichert und eventuell weitergibt. Von einem IT-Leiter kann man Antworten auf die Fragen erwarten, wie man die Verarbeitung personenbezogener Daten systemtechnisch unterstützt und ob diese Daten ausreichend gesichert sind.
Die Unternehmensleitung braucht die Antworten
Wie also definiert man die DSGVO-Verantwortung und -Aufgabe? Die Sicherheitsspezialisten von Ihre können bei der Beantwortung behilflich sein.
“DSGVO ist zu definieren als Verantwortung
der Unternehmensleitung. Eindeutig.”
Jakob Holm Hansen, CEO
,,DSGVO ist zu definieren als Verantwortung der Unternehmensleitung. Eindeutig. Die Unternehmensleitung muss die Frage beantworten, warum das Unternehmen personenbezogene Daten verarbeitet, um welche Art von Daten es sich handelt und welche gesetzlichen Vorschriften für das Unternehmen gelten", sagt Jakob Holm Hansen.
Die Verarbeitungstätigkeiten unter Kontrolle haben
Obwohl die Erfüllung der DSGVO-Vorgaben also nicht in der Verantwortung der IT-Abteilung liegt, kann einem als IT-Leiter durchaus die Implementierung der DSGVO in der Organisation auferlegt werden. Damit muss man sich dann abfinden.
,,In der Realität kann man schwerlich nein sagen, wenn man von oberer Stelle den Auftrag erhält. Allerdings sollte man im Gegenzug um eine Reihe von Informationen bitten, ohne die die Aufgabe nicht zu lösen ist", rät Jakob Holm Hansen.
Solche Informationen werden gebraucht für das, was man im DSGVO-Jargon ,,Verzeichnis von Verarbeitungstätigkeiten" nennt. Hierbei handelt es sich um ein Verzeichnis, aus dem hervorgeht, wie das Unternehmen seine personenbezogenen Daten verarbeitet und in welchen Prozessen. Zum anderen sollen sie auch Antwort darauf geben, wie das Unternehmen klassische IT-Sicherheitsanforderungen wie Benutzerverwaltung, Verschlüsselung, Protokollierung usw. erfüllt. Zusammen mit Angaben zu Einverständniserklärungen, Verträgen, Rechtsgrundlagen und sonstigen Gründen für die Datenverarbeitung besteht der Sinn dieser Übung darin festzustellen, welche Quellen geprüft werden müssen, um konkrete Anforderungen an die technische Sicherheit zu stellen, die die Verarbeitung unterstützt.
Machen Sie eine Gap-Analyse
Wenn es noch kein Verzeichnis von Verarbeitungstätigkeiten gibt, muss es mit Hilfe aller Bereichsverantwortlichen im Unternehmen erstellt werden. Wie etwa HR-Leiter, Vertriebsleiter, Marketingleiter usw. Sie alle wissen für ihre Bereiche, in welchen Prozessen personenbezogene Daten vorkommen und wie diese Daten zu klassifizieren sind. Also wie sensibel sie sind.
Der Unterschied zwischen dem, was ein Unternehmen aktuell tut, und dem, was es nach DSGVO tun sollte, wird in einer Gap-Analyse sichtbar.
,,Kann der IT-Leiter die benötigten Informationen nicht beschaffen, ist dies ein Gap, eine Lücke. Wenn das, was der IT-Leiter während der Erfassung von Daten erfährt, nicht gesetzeskonform ist, ist dies eine Lücke. Gibt es für personenbezogene Daten Verarbeitungstätigkeiten, die den Schutz und den eingeschränkten Zugriff auf diese Daten nicht beachten, so ist dies eine Lücke, usw.", erklärt Jakob Holm Hansen.
Die 5 wichtigsten Fragen
In einem Versuch, IT-Leitern zu helfen, sich selbst und dem Rest ihrer Organisation zu helfen, haben wir einen Fragebogen ausgearbeitet, den man in der Phase der Bestandsaufnahme verwenden kann. Hier sind die wichtigsten 5 Fragen aus diesem Fragebogen:
- Welche Art von personenbezogenen Daten verarbeiten wir?
- Wie sind diese personenbezogenen Daten in Bezug auf ihre Sensibilität zu klassifizieren?
- Welche gesetzlichen Bestimmungen gelten für den Umgang mit personenbezogenen Daten?
- Nach welcher Rechtsgrundlage müssen wir personenbezogene Daten speichern und verarbeiten?
- Welche Datenverarbeitungen nehmen unsere IT-Systeme bezüglich personenbezogener Daten vor?
