data-protection-compliance-dqs-a team works together to develop programs with a laptop

Da­ten­schutzau­dit sichert Com­pli­ance

Gert Krüger

Experte für In­for­ma­ti­ons­si­cher­heit und Da­ten­schutz
Mai 23 , 2023

Seit Mai 2016 in Kraft, seit Mai 2018 in Um­set­zung – die EU-Da­ten­schutz-Grund­ver­ord­nung (DS-GVO) lässt noch immer viele Un­ter­neh­men grübeln: Sind wir be­trof­fen? Und wenn ja: Wie er­rei­chen wir Rechts­si­cher­heit? Und was können wir für die Com­pli­ance im Da­ten­schutz tun?

Unternehmen, die mit personenbezogenen Daten umgehen – und das sind nicht wenige –, müssen sich seit Mai 2018 darauf gefasst machen, ein deftiges Bußgeld einzufangen. Die Strafen bei Datenschutzverletzungen können erheblich sein. Und zwar immer dann, wenn sie die Anforderungen der DS-GVO nicht vollumfänglich erfüllen. Darüber hinaus ergänzt und konkretisiert das BDSG in seiner Neufassung die DSGVO. Hier aber herrscht allenthalben Unsicherheit:

  • Was sind überhaupt „personenbezogene Daten“?
  • Sind wir gemäß DS-GVO eine „verantwortliche Stelle“?
  • Wer ist ein „Betroffener“?
  • Was genau heißt „automatisierte Verarbeitung“ personenbezogener Daten?
  • Müssen wir einen Datenschutzbeauftragten bestellen?

Welche Maßnahmen sind umzusetzen

Die Liste der Fragen zur Datenschutz-Compliance, die es zu klären gibt, ist lang.

Zwar lässt sich die Definition von Begriffen, die in der Verordnung verwendet werden, in FAQ-Listen nachlesen. Klarheit mit Blick auf die konkrete Bedeutung für das einzelne Unternehmen ist damit aber nicht zwangsläufig gewährleistet. Spätestens wenn die Umsetzung und Einhaltung notwendiger (weil geforderter) Maßnahmen und Pflichten durch die Mitarbeiter ansteht, muss es die richtigen Antworten zum Beispiel auf solche Fragen geben:

  • Was sind „technisch-organisatorische Maßnahmen“?
  • Wann sind sie notwendig?
  • Wie sieht es mit der „Verhältnismäßigkeit“ aus?
  • Was hat es mit den vielen, von der DS-GVO geforderten „Kontrollen“ auf sich, beispielsweise „Zugangs- oder Weitergabekontrolle“?
  • Wie kann Datenschutz-Compliance sichergestellt werden?

Datenschutz vs. Informationssicherheit

Der richtige Schritt für ein betroffenes Unternehmen ist in jedem Fall der Aufbau eines wirksamen Datenschutz-Managementsystems – und zwar zugeschnitten auf seine individuellen Bedürfnisse, gegebenenfalls bereits mit Blick auf eine akkreditierte Zertifizierung.

Was dabei oft verwechselt wird: Datenschutz und Informationssicherheit sind zwei Paar Schuhe, auch wenn es Überschneidungen gibt (zum Beispiel diverse Kontrollmaßnahmen). So decken Unternehmen, die über ein vollumfängliches Informationssicherheits-Managementsystem (ISMS) gemäß ISO 27001 verfügen, das Thema Datenschutz zu einem gewissen Grad ab.

„Der grundsätzliche Un­ter­schied zwischen den beiden Themen: In­for­ma­ti­ons­si­cher­heit schützt Daten eines Un­ter­neh­mens vor Miss­brauch durch Dritte, Da­ten­schutz zielt auf den Schutz per­so­nen­be­zo­ge­ner Daten.“

Im August 2019 wurde mit ISO 27701 eine neue Norm veröffentlicht, die Anforderungen an den Datenschutz im Informationssicherheitsmanagement formuliert. ISO 27701 stellt eine Ergänzung zu ISO 27001 dar und spezifiziert so ein Datenschutzmanagementsystem auf der Grundlage von:

  • ISO 27001, der internationalen Norm für ein Inforationssicherheitsmanagementsystem
  • ISO 27002, dem Leitfaden für Informationssicherheitsmaßnahmen, und
  • ISO 29100, dem Rahmenwerk für Datenschutz.
Cover sheet for German whitepaper ISO 27001 meets GDPR with pdf
Kostenfreies Whitepaper

ISO 27001 trifft Da­ten­schutz

Pro­fi­tie­ren Sie von Know-how unserer Experten und erfahren Sie mehr über

  • den Zu­sam­men­hang zwischen der DS-GVO und der Norm
  • die 7 Schritte zum Da­ten­schutz-Ma­nage­ment­sys­tem
White­pa­per kos­ten­frei her­un­ter­la­den

Datenschutz Compliance – Vorteile

Sie erhalten

  • verlässliche Informationen über Handlungsfelder
  • Kenntnis über verdecktes Potenzial
  • mehr Handlungs- und Rechtssicherheit beim Umgang mit Daten nach Umsetzung geeigneter Maßnahmen

DQS - von Anfang an der richtige Partner

Die DQS Deutsche Gesellschaft zur Zertifizierung von Managementsystemen wurde 1985 als Deutschlands erster Managementsystem-Zertifizierer gegründet. Als einzige große Zertifizierungsgesellschaft fokussieren wir uns seit jeher auf Managementsysteme und Prozesse. So haben wir 1986 das deutschlandweit erste Zertifikat nach ISO 9001, der weltweit bedeutendsten Norm für Managementsysteme, ausgestellt. Heute führen über 3000 top-qualifizierte und erfahrene Auditoren jährlich weltweit über 125.000 maßgeschneiderte Audits nach über 200 anerkannten Normen und Standards durch.

Mit unseren Audits verfolgen wir das Ziel, unseren Kunden Impulse für Verbesserungspotenzial zu geben – und zwar über die reine Bewertung der Konformität mit Normen hinaus. Hierfür setzen wir freiberufliche, hoch qualifizierte Fach- und Führungskräfte mit entsprechenden Branchenkenntnissen als Auditoren ein. Dabei beginnt unser Anspruch dort, wo Auditchecklisten enden. Nehmen Sie uns beim Wort.

Expertise und Vertrauen

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail: [email protected]

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor

Gert Krüger

Langjähriger Experte und Pro­jekt­ma­na­ger für In­for­ma­ti­ons­si­cher­heit, BSI-Kri­tisV und Da­ten­schutz und Auditor für Qualitäts- und Um­welt­ma­nage­ment.

Das könnte Sie auch in­ter­es­sie­ren. 

Weitere Fach­bei­trä­ge und Ver­an­stal­tun­gen der DQS 
Blog

NIS-2 für Ge­schäfts­füh­rer: Pflich­ten, Haftung und Um­set­zung im Un­ter­neh­men

Wei­ter­le­sen
Blog

Kri­sen­kom­mu­ni­ka­ti­on beim Ran­som­wa­re Angriff

Wei­ter­le­sen
Blog

Der Si­cher­heits­drei­klang der Zukunft

Wei­ter­le­sen