Übrigens, so neu ist die EU-DSGVO nun auch nicht; bereits seit 25. Mai 2016 ist sie in Kraft. Ende Mai endet jedoch die zweijährige Übergangsfrist.
Bisher haben sich aber nur knapp die Hälfte der Unternehmen aus der Informationswirtschaft mit den Anforderungen der DSGVO auseinandergesetzt. Das ist das Ergebnis einer Umfrage des ZEW – Zentrums für Europäische Wirtschaftsforschung von Ende 2017. Weitere 12,5 Prozent der Unternehmen hatten bisher noch nichts von der EU-Datenschutz-Grundverordnung gehört. Von den Unternehmen, die sich bereits mit den Herausforderungen befasst haben, geben über 60 Prozent an, dass es sich in ihrem Unternehmen um „tiefgreifende“ bzw. „sehr tiefgreifende“ Veränderungen im Datenschutzrecht handelt.
Umsetzung der Datenschutz-Grundverordnung verlangt volle Aufmerksamkeit
Unternehmen und Verwaltungen, die dem Thema bisher nicht genügend Aufmerksamkeit gewidmet haben, sollten umgehend beginnen, die Anforderungen der Gesetze umzusetzen, ihre Prozesse und Compliance-Regeln entsprechend anzupassen. Dieses Thema halbherzig anzugehen, wäre grundverkehrt, denn ein Verstoß gegen die Datenschutz-Bestimmungen kann teuer werden. Die Befugnisse der Datenschutzbehörden wurden mit den neuen Gesetzen gestärkt. Sie können bei Verstößen u.a. Bußgelder in erheblicher Höhe verhängen. Die Zeiten, in denen eine Verletzung der Datenschutzbestimmung „gefühlt“ als Kavaliersdelikt behandelt wurde, sind endgültig vorbei.
Mehr noch: Es besteht die Pflicht, bemerkte Datenschutz-Verstöße umgehend zu melden.
Die Materie hat es in sich
Die DSGVO gilt nicht nur in der Europäischen Union, sondern überall wo personenbezogene Daten von EU-Bürgern verarbeitet werden. Dieser Aspekt ist wichtig für alle Unternehmen, die Niederlassungen und Tochterfirmen im Ausland unterhalten.
Abgesehen von dem zusätzlichen Aufwand, den die Datenschutz-Grundverordnung jetzt mit sich bringt, ist es natürlich ausgesprochen sinnvoll, den Datenschutz in der EU endlich zu vereinheitlichen.
Die Materie hat es in sich - die Anforderungen von EU-DSGVO, BDSG-neu und der Datenschutzgesetze der Länder müssen eingehalten und gelebt werden. Das ist keine leichte Aufgabe, selbst für Großunternehmen nicht, die schon eher über hinreichende Ressourcen verfügen, als kleine und mittlere Unternehmen.
In vielen Betrieben gibt es Eigenentwicklungen, sowohl was Datenschutzbelange als auch den anderen wichtigen Komplex, die Informationssicherheit, betrifft. Die entsprechenden Abteilungen bzw. Mitarbeiter arbeiten oft aneinander vorbei und halten Daten doppelt und dreifach vor. Damit verbunden sind nicht nur Mehrarbeit und Ineffizienz, sondern ein inkonsistenter und fehlerbehafteter Datenbestand.
Komplexität verlangt integrierten Tool-Einsatz
Die vielen Aspekte der Datenschutzregelungen lassen sich aufgrund ihrer enormen Komplexität nur toolgestützt effizient umsetzen. Das gilt sowohl für große Unternehmen und Verwaltungen, als auch für kleine Betriebe und lokale sowie regionale Verwaltungen, denen in der Regel die Ressourcen für derartige Aufgaben fehlen.
Der Trend geht zudem zu einer einheitlichen Datenbasis für alle Sicherheits- und Schutzbelange, einschließlich der engen Zusammenarbeit von Mitarbeitern für Datenschutz und Informationssicherheit. Große Unternehmen praktizieren es schon längst und haben die entsprechenden Strukturen eingerichtet. Sie arbeiten mit integrierten Managementsystemen für Informationssicherheit (Information Security Management System – ISMS) und Datenschutz. Damit decken sie alle Prozesse um die Compliance-Anforderungen ab.
Unternehmen und Verwaltungen, die in Sachen DSGVO noch Nachholbedarf haben, sollten die Gelegenheit nutzen und jetzt auf ein zukunftssicheres Datenschutz-Management-Tool setzen.
Funktionsumfang genau prüfen
Ein derartiges Tool ist besonders für kleine Unternehmen und Verwaltungen wichtig, die häufig über eine nicht so starke Personaldecke verfügen und bei denen der Datenschutzbeauftragte nicht selten mit einer Halbtagsstelle besetzt ist.
Der Funktionsumfang der Datenschutz-Management-Tools sollte genau geprüft werden. HiScout bietet mit seinem Compliance Tool eine komplette Übersicht über alle Assets einer Organisation. Sämtliche relevanten Daten stehen unter einer einheitlichen Oberfläche allen für den Datenschutz verantwortlichen Mitarbeitern und Managern mit einem entsprechenden Rollenkonzept zur Verfügung. Die Gesamtheit aller Daten von Systemen, Anwendungen und Datenbeständen sind an einer zentralen Stelle in einer Datenbank erfasst. Oftmals liefern bereits die unterschiedlichen Managementsysteme, die in den Unternehmen im Einsatz sind, wichtige Informationen. Diese lassen sich importieren oder referenzieren.
Auch ist mit dem integrierten Tool nicht nur eine einfache Verwaltung der Aufgaben der Dienstleister im Bereich Auftragsdatenverarbeitung mit Datenschutz-Folgenabschätzung möglich. Vielmehr werden die Verträge mit den Dienstleistern vollständig toolgestützt gemanagt. Dazu gehören u.a. automatische Abfragen zu allen notwendigen Aspekten an die Dienstleister zu deren Überprüfung sowie ein leistungsfähiges Wiedervorlage-Modul.
Hinterlegte Workflows
Damit die Aufgaben dezentral von verschiedenen Mitarbeitern bearbeitet werden können, verfügt das HiScout Datenschutz Modul über eine Schnittstelle zum Microsoft Exchange Server mit seinem ausgeklügelten Rollen- und Rechte-Konzept. Damit lässt sich genau festlegen, wer welche Informationen erhält und welche Aufgaben zu bearbeiten hat.
Im HiScout Datenschutz Modul können Workflows hinterlegt werden, die bei Einrichtung des Moduls an im Unternehmen vorhandene Vorgaben angepasst werden können. So steuert beispielsweise im Fall einer Meldepflicht an die Aufsichtsbehörden der hinterlegte Prozess die notwendigen Schritte. Eine Eingabemaske für Verdachtsfälle unterstützt die Mitarbeiter bei der Meldung und liefert Hinweise, welche Personen im Unternehmen per Mausklick informiert werden müssen und welche Informationen benötigt werden.
Individuell konfigurierbares Integriertes Managementsystem
Ebenso wichtig sind umfassende Reporting-Funktionen, um dem Management und vor allen Dingen den Aufsichtsbehörden nachweisen zu können, dass kein Verschulden vorliegt. Falls es dennoch zu einem Datenleck kommt, fällt dann der Nachweis leichter, dass es sich um einen Einzelfall handelte und keinesfalls um einen systematischen Fehler, der jederzeit wieder auftreten könnte.
Das Integrierte Managementsystem (ISMS) von HiScout lässt sich an die speziellen Belange eines Unternehmens oder einer Verwaltung anpassen. Die miteinander verzahnten Module sind aber auch einzeln einsetzbar. Die HiScout GRC Suite Plattform basiert auf mehreren Säulen mit einer einheitlichen Datenbasis, dem One Data Model. Das integrierte System aus einem Guss hat auch den Vorteil, dass die Anzahl der Schnittstellen zu Fremdsystemen geringgehalten wird. Was wiederum Fehlermöglichkeiten verringert.