How to resolve AdBlock issue? Die Deadline rückt näher: Christoph Riesenfelder über Herausforderungen und Stolpersteine bei der Umsetzung von Maßnahmen zur Datenschutzgrundverordnung (DSGVO). Sie tritt am 25. Mai 2018 in Österreich in Kraft.
Zur Person: Christoph Riesenfelder ist Spezialist für Informations-, Daten- und IT-Sicherheitsmanagement sowie Datenschutz und seit über 25 Jahren in der Beratung tätig. Schwerpunkte sind die EU DSGVO, Risikomanagement, Governance und Compliance, Cyber-Kriminalität, Richtlinien- und Strategieentwicklung, Assessments, Awareness-Maßnahmen, Vorträge und Schulungen, ISMS auf Basis ISO 27001 und Kreditkartendatensicherheit.
Report: Was ist der wichtigste Schritt bei der Umsetzung von Maßnahmen für die DSGVO? Wo sollten Unternehmen zuerst ansetzen?
Christoph Riesenfelder: Entscheidend ist es, die DSGVO-Umsetzung als ein Projekt zu betrachten – nicht als eine Reihe von Aufgaben, die von »der IT« oder »den Juristen« umzusetzen sind, sondern als übergreifendes Projekt. Das benötigt eine starke, erfahrene Projektleitung, einen straff organisierten Zeitplan und klare Aufgabenpakete mit eindeutigen Verantwortlichkeiten.
Leider viel zu wenig für solche Zwecke verwendet wird dazu das RASCI-Modell: Die Begriffe bedeuten in Langsprache Responsible, Accountable, Supporting, Consulting und Informed. Wer also ist für die Vielzahl der DSGVO-Arbeitspakete rechenschaftspflichtig, umsetzungsverantwortlich, unterstützt, berät und wer ist informiert zu halten?
Ein Fallstrick dabei ist die Sicht auf die DSGVO als ein reines IT-Projekt. In Wahrheit greift die DSGVO in alle Bereiche, Abteilungen und Prozesse, aber auch Prozeduren ein, in denen personenbezogenen Daten verarbeitet werden. Löschfristen sind von den Fachbereichen gemeinsam mit Juristen zu definieren. Die IT-Abteilungen müssen Daten- und IT-Sicherheitsmaßnahmen prüfen, gegebenenfalls anpassen, entwickeln und implementieren. Risikomanagement-Know-how und Wissen um Cloud-Fragen werden oft unterstützend extern beschafft werden müssen. Und auch die Entwicklung von Richtlinien zu Datenschutz und Datensicherheit ist eine interdisziplinäre Aufgabe.
Unternehmen, Behörden und andere Organisationen, die ihre Datenschutz- und Datensicherheitspflichten bisher schon ernst genommen haben, werden es deutlich leichter haben als andere. Ein knappes Jahr, um all die Anforderungen der DSGVO zu erfüllen, mag lang erscheinen, ist es aber nicht.
Report: Wo liegen Fallstricke bei der Umsetzung?
Riesenfelder: Begriffe wie »Datenschutz-Folgeabschätzung« oder »risikobasierter Ansatz« sind in vielen Unternehmen unbekannt. Und das, obwohl die DSGVO seit Mai 2016 in Kraft ist.Unangenehm kann es vor allem für Organisationen werden, die in größerem Umfang personenbezogene Daten verarbeiten. Ganz besonders, wenn diese Daten sogenannte »besondere Kategorien von Daten« darstellen, also zum Beispiel Gesundheitsdaten, sie Daten von Kindern umfassen, wenn Profile erstellt werden oder Daten an mehrere Dritte übermittelt werden. Sollen Daten in öffentlichen Cloud-Lösungen verarbeitet werden, wird das Thema Datenschutz wirklich komplex. Übermittlungen in »nicht sichere Drittstatten« sind eine Gratwanderung. Und ob Privacy Shield, eine grundlegende Vereinbarung der EU mit den USA, halten wird, ist mehr als fraglich. Die Zulässigkeit der Datenübermittlung in die USA steht ständig auf der Kippe.
Wer nun denkt, »fein, dann warten wir einmal ab«, läuft ins offene Messer. Dazu ist die DSGVO mit ihren Anforderungen zu klar. Wir haben hier eine EU-Verordnung, keine Richtlinie zur nationalen Anpassung.Der verbleibende nationale Gestaltungsspielraum über die sogenannten Öffnungsklauseln ist sehr gering. Im Fall der DSGVO ist eine Verordnung umzusetzen, und zwar bis 25. Mai 2018.
Je mehr man sich in die DSGVO vertieft, umso klarer wird, wie dringlich und wichtig es ist, dieses Thematik nicht auf die leichte Schulter zu nehmen. Und das sehen einige meiner Kunden durchaus auch so. In anderen Fällen ist es allerdings erstaunlich, dass dieses Thema von den Rechenschaftspflichtigen vollkommen übersehen, ignoriert oder auf die lange Bank geschoben wird. Budgetär haben viele Unternehmen außerdem nicht für die DSGVO vorgesorgt. Daher wird es wohl Sonderbudgets geben müssen.
Report: Wo sehen Sie hier neue Chancen für Unternehmen?
Riesenfelder: Die DSGVO fordert in Bezug auf Sicherheit, was internationale Standards schon lange festschreiben: Maßnahmen zu Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität, Dokumentation und Nachvollziehbarkeit, Auswirkungs- und Risikoanalysen und vieles mehr – und ganz besonders Sicherheitsmanagement als Prozess. Die Chance besteht nun, mit diesem Treiber im Hintergrund Aufgeschobenes aufzuarbeiten, vor allem organisatorische Maßnahmen, Rollen neu zu definieren, etwa die eines Datenschutz- bzw. Informationssicherheitsverantwortlichen, datenschutzbezogene Aufgaben nachzuholen und sich auch in Richtung Zertifizierung zu entwickeln. Die DSGVO sieht diese als ein wesentliches Mittel zum Nachweis regelkonformer Umsetzung. Denkbar wäre hier die ISO 27001-Zertifizierung betreffend Informationssicherheitsmanagement.
Report: Und wenn man einen Datenschutzbeauftragten benötigt?
Riesenfelder: Jetzt ist die Zeit, mit der Suche zu beginnen. Die DSGVO legt dessen Position und Aufgaben klar fest und entsprechend geschulte Menschen sind nicht leicht zu bekommen, haben eine große Auswahl an potenziellen Arbeitgebern und spielen eine zentrale Rolle im DSGVO-Umsetzungsprojekt. Wie ich feststelle, gibt es zunehmend Personen, denen in Unternehmen diese Rolle schlicht umgehängt wurde, die aber im Sinne der DSGVO dafür überhaupt nicht qualifiziert sind und sich dessen nun erstmals richtig bewusst werden. Zu Recht verweigern sie nun die weitere Rollenübernahme, weil ihnen klar ist, welche Risiken sie persönlich damit eingehen und dass die Rolle des Datenschutzbeauftragten die eines Spezialisten ist, die etwa von einem IT-Mitarbeiter nicht einfach nebenbei übernommen werden kann, so wie es derzeit oftmals gerne gehandhabt wird. Es muss also neue Lösungen geben.
Report:Was sind die Stellschrauben, die Implementierungsprojekte erfolgreich machen werden?
Riesenfelder: Daten- und IT-Sicherheit sind zentrale Element der DSGVO und durchdringen eine Vielzahl von Aspekten. Dazu gibt es also viel zu tun: vieles im Technischen, zum Beispiel betreffend die Umsetzung von Löschpflichten, vieles mehr jedoch in Bezug auf organisatorische Maßnahmen: Gibt es entsprechende Dokumentation, Richtlinien, Standards, Prozesse, Prozeduren, Sensibilisierungs- und Schulungsmaßnahmen? Sind diese Maßnahmen überhaupt risikoadäquat, geeignet und Teil eines Managementsystems zur kontinuierlichen Verbesserung? In welchem Reifegrad befinden sie sich? Erfolgreich sind jene, die zügig und fokussiert ihren Status erheben, Lücken erkennen und diese beseitigen. Also Unternehmen, bei denen die höchste Führungsebene aktiv wird, die finanzielle Mittel in die Hand nehmen, und die die DSGVO-Umsetzung als Projekt betrachten.
Natürlich kann man jetzt einwenden, dass bei nicht vollständiger Umsetzung der DSGVO bis Mai 2018 weder die Welt untergehen noch von Beginn an Höchststrafen verhängt werden. Das ist richtig. Aber selbst wer sich Ende Mai als Umsetzungsziel setzt, wird bei Ende Juni landen. Dazu genügt ein Blick in den Feiertagskalender. Wer sowieso erst Ende Juni 2018 anpeilt: Juni ist Ende des zweiten Quartals, oft müssen auch andere, hintennach hinkende Projekt vor Ferienbeginn abgeschlossen werden. Und ehe man es sich versieht, ist es Juli und August – bekanntermaßen nicht die produktivste Zeit des Jahres – und schließlich Herbst.
Ich kann nur raten, lieber heute als morgen ein straffes DSGVO-Projekt aufzusetzen und konsequent abzuarbeiten.
Daten- und IT-Sicherheitsmaßnahmen
Daten- und IT-Sicherheit sind zentrale Elemente der DSGVO. Sie umfassen technische und organisatorische Maßnahmen wie Richtlinien, Standards, Prozesse, Prozeduren, Dokumentation, Sensibilisierungs- und Schulungsmaßnahmen, Verschlüsselung, Netzwerksicherheitsmaßnahmen und vieles mehr. Maßstäbe sind der Stand der Technik und »good practices«. Ziele sind insbesondere die Gewährleistung der Vertraulichkeit, Verfügbarkeit und Integrität der personenbezogenen Daten, die Belastbarkeit von IT-Systemen, Dokumentation und Nachvollziehbarkeit. Die gesetzten Maßnahmen müssen risikoadäquat, geeignet und Teil eines Managementsystems zur kontinuierlichen Verbesserung sein.
