Seit Mai 2016 in Kraft, seit Mai 2018 in Umsetzung – die EU-Datenschutz-Grundverordnung (DS-GVO) lässt noch immer viele Unternehmen grübeln: Sind wir betroffen? Und wenn ja: Wie erreichen wir Rechtssicherheit? Und was können wir für die Compliance im Datenschutz tun?

Loading...

Unternehmen, die mit personenbezogenen Daten umgehen – und das sind nicht wenige –, müssen sich seit Mai 2018 darauf gefasst machen, ein deftiges Bußgeld einzufangen. Die Strafen bei Datenschutzverletzungen können erheblich sein. Und zwar immer dann, wenn sie die Anforderungen der neuen DS-GVO nicht vollumfänglich erfüllen. Darüber hinaus ergänzt und konkretisiert das BDSG in seiner Neufassung die DSGVO. Hier aber herrscht allenthalben Unsicherheit:

  • Was sind überhaupt „personenbezogene Daten“?
  • Sind wir gemäß DS-GVO eine „verantwortliche Stelle“?
  • Wer ist ein „Betroffener“?
  • Was genau heißt „automatisierte Verarbeitung“ personenbezogener Daten?
  • Müssen wir einen Datenschutzbeauftragten bestellen?
Young woman with laptop and headphones taking an online class at her desk
Loading...

AuditEvolution 2024 - Intern Auditieren im Generationswechsel

AuditEvolution am 16.04.2024: DER Kongress für alle, die interne Audits vorbereiten und durchführen.  Unsere erfahrenen DQS Auditoren geben ihr Wissen weiter, wenn es um die klassischen "Moments of Truth" geht, vom Management Audit bis zu den Kundenprozessen, von ungeliebten oder neuen Themen im Audit bis zu Tipps für Ihr erstes internes Audit – mit oder ohne KI. 

Welche Maßnahmen sind umzusetzen

Die Liste der Fragen zur Datenschutz-Compliance, die es zu klären gibt, ist lang.

Zwar lässt sich die Definition von Begriffen, die in der Verordnung verwendet werden, in FAQ-Listen nachlesen. Klarheit mit Blick auf die konkrete Bedeutung für das einzelne Unternehmen ist damit aber nicht zwangsläufig gewährleistet. Spätestens wenn die Umsetzung und Einhaltung notwendiger (weil geforderter) Maßnahmen und Pflichten durch die Mitarbeiter ansteht, muss es die richtigen Antworten zum Beispiel auf solche Fragen geben:

  • Was sind „technisch-organisatorische Maßnahmen“?
  • Wann sind sie notwendig?
  • Wie sieht es mit der „Verhältnismäßigkeit“ aus?
  • Was hat es mit den vielen, von der DS-GVO geforderten „Kontrollen“ auf sich, beispielsweise „Zugangs- oder Weitergabekontrolle“?
  • Wie kann Datenschutz-Compliance sichergestellt werden?

Datenschutz vs. Informationssicherheit

Der richtige Schritt für ein betroffenes Unternehmen ist in jedem Fall der Aufbau eines wirksamen Datenschutz-Managementsystems – und zwar zugeschnitten auf seine individuellen Bedürfnisse, gegebenenfalls bereits mit Blick auf eine akkreditierte Zertifizierung.

Was dabei oft verwechselt wird: Datenschutz und Informationssicherheit sind zwei Paar Schuhe, auch wenn es Überschneidungen gibt (zum Beispiel diverse Kontrollmaßnahmen). So decken Unternehmen, die über ein vollumfängliches Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 verfügen, das Thema Datenschutz zu einem gewissen Grad ab.

Aber es bleibt auch hier ein Delta, das mit oder ohne ISMS anhand einer Gap-Analyse aufgedeckt und geschlossen werden kann.

„Der grundsätzliche Unterschied zwischen den beiden Themen: Informationssicherheit schützt Daten eines Unternehmens vor Missbrauch durch Dritte, Datenschutz zielt auf den Schutz personenbezogener Daten.“

Im August 2019 wurde mit ISO 27701 eine neue Norm veröffentlicht, die Anforderungen an den Datenschutz im Informationssicherheitsmanagement formuliert. ISO 27701 spezifiziert so ein Datenschutzmanagementsystem auf der Grundlage von ISO 27001, ISO 27002 (Leitfaden für Informationssicherheitsmaßnahmen) und ISO 29100 (Rahmenwerk für Datenschutz). ISO 27701 stellt eine Ergänzung zu ISO 27001 dar. Eine Zertifizierung allein nach der neuen Norm ist nicht möglich.

whitepaper-dqs-iso-27701-datenschutzmanagement
Loading...

Datenschutzmanagement mit ISO 27701

Datenschutz im Rahmen der Informationssicherheit – spannendes Thema? Mehr Expertenwissen zur Norm ISO 27701 in unserem kostenfreien Whitepaper.

Datenschutz Compliance - Vorteile

Sie erhalten

  • verlässliche Informationen über Handlungsfelder
  • Kenntnis über verdecktes Potenzial
  • mehr Handlungs- und Rechtssicherheit beim Umgang mit Daten nach Umsetzung geeigneter Maßnahmen

 

Auf der sicheren Seite – mit einem Datenschutzaudit durch die DQS

Unternehmen, die Compliance im Datenschutz anstreben, sollten also zweierlei tun: sich beziehungsweise ihre Compliance Officer schnellstens mit dem Thema vertraut machen und den Status quo in Form einer Gap-Analyse von einer unabhängigen Stelle wie der DQS ermitteln lassen.

Im Mittelpunkt eines solchen Datenschutzaudits steht eine Selbstbewertung mit Dokumentenprüfung. Vor Ort im Unternehmen wird dann geprüft, ob es die wesentlichen Datenschutzaspekte einhält. Aus einem Bericht geht hervor, ob beziehungsweise welcher Handlungsbedarf besteht.

data-protection-it-blog-dqs-company analysis is controlled on a modern digital device
Loading...

DQS Gap-Analyse Datenschutz

Mit welchem Aufwand müssen Sie bei einer GAP-Analyse rechnen? Informieren Sie sich kostenfrei und unverbindlich.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
Gert Krüger

Langjähriger Experte und Projektmanager für Informationssicherheit, BSI-KritisV und Datenschutz und Auditor für Qualitäts- und Umweltmanagement.

Loading...