EU-Datenschutz-Grundverordnung: weniger als 500 und fallend

In nicht mal mehr 500 Tagen wird die Europäische Datenschutz-Grundverordnung bindend. Eine Vielzahl Unternehmen hat bislang noch nicht angemessene Maßnahmen und deren Umsetzung initiiert. Es empfiehlt sich, heute damit zu beginnen, sich konkret und umfassend mit der Ermittlung und Erfüllung ihrer Anforderungen zu beschäftigen.

Jeder, der aktiv in IT-Projekten involviert ist, lernt, dass der produktive Anteil am Gesamtumfang und die tatsächliche Laufzeit eines Projektes sich in der Praxis deutlich unterscheiden. Von der Budgetplanung zum Design, von der Toolauswahl und der Architektur bis zur eigentlichen Umsetzung entstehen erhebliche Aufwände. Unterschiedliche, relevante Stakeholder müssen eingebunden werden, alle Anforderungen und Rahmenbedingungen gilt es zu identifizieren. Gerade auch Beschaffungsprozesse für Hardware, Software und externe Expertise können in komplexen Organisationen ein erheblicher Zeitfresser sein.

EU-Council (Bild: EU)Die Einführung eines neuen Systems, insbesondere einer neuen Infrastruktur in den produktiven Betrieb ist eine zusätzliche Herausforderung. Dies gilt umso mehr, wenn gelebte Teilprozesse oder vollständige Abläufe sich verändern. Wissensaufbau, Training und die Einbindung in die tagtäglichen Abläufe erfordern Ressourcen und Investitionen, die sinnvollerweise schon in einer umfassenden Gesamtplanung vorzusehen sind.

Schnell ergeben sich Gesamtlaufzeiten für inhaltlich eigentlich überschaubare Projekte, die in Quartalen oder Jahren zu bemessen sind. Noch konkreter gilt dies für umfangreiche Projekte oder mehrere Projekte umspannende Programme und deren Planung.

Essentielle externe Anforderungen

Der 9. Januar 2017 verdeutlicht darüber hinaus gut nachvollziehbar, dass es Projekte und Projekttermine gibt, die von außen gesetzt werden. An diesem Tag waren es noch genau 500 Tage (nicht: Arbeitstage), bis die Bestimmungen der Europäischen Datenschutz-Grundverordnung (EU-DSGVO, oft auch GDPR als Kurzform für das englischsprachige Pendant, die General Data Protection Regulation) aktiv umgesetzt werden. Der 25. Mai 2018 als EU-DSGVO-Stichtag sollte in vielen, wenn nicht allen IT-Unternehmen dick und rot im Kalender markiert sein. Auf jeden Fall sollte das Thema aber in allen Unternehmen betrachtet werden, die in der EU personenbezogene Daten verarbeiten. Aber auch Unternehmen außerhalb der EU, die personenbezogene Daten von EU-Bürger verarbeiten, sollten sich dringend mit diesem Datum und der Europäischen Datenschutz-Grundverordnung befassen, da auch für diese die Regelungen der GDPR Relevanz haben.

Die Anforderungen sind erheblich und umfassen eine Vielzahl von Aspekten, die bei der veränderten, europaweit weitestgehend einheitlichen Handhabung personenbezogener Daten zu beachten sind. Hierbei sollte mit Blick auf die rechtliche Relevanz der Thematik die eigene Rechtsabteilung oder anderer juristischer Rat ergänzend hinzugezogen werden. Gleichzeitig sind die im Raum stehenden Sanktionen, die bei Verstößen gegen die EU-DSGVO fällig werden, drastisch: Bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes des Gesamtkonzerns (je nachdem was mehr ist) sind sehr gute Argumente für guten Datenschutz.

Praktisch jedes Unternehmen, aber auch jede nicht-kommerzielle Organisation tut gut daran, notwendige Maßnahmen und Schritte identifizieren, um diese Regelungen für ihre eigenen Prozesse und Geschäftsmodelle einzuhalten. Diese sollten dann umgesetzt und kontinuierlich dokumentiert werden. Deutlich weniger als 500 verbleibende Tage für dieses essentielle und nicht ignorierbare Projekt sind außerordentlich knapp. Je nach Organisation und grundlegendem Reifegrad bei der Umsetzung angemessener Datenschutzmaßnahmen kann und wird das erhebliche Aufwände und Ressourcen erfordern.

Konkrete Maßnahmen für DSGVO-Compliance

Unternehmen und Organisationen, die dieses konkrete Projekt „Compliance zur EU-DSGVO“ noch nicht begonnen haben, stehen mittlerweile vor einer echten Herausforderung mit Blick auf den noch verfügbaren Zeitrahmen und die Komplexität der Aufgabe. Dieser sollte nun zeitnah begegnet werden. Die Anforderungen und Rahmenbedingungen sind klar dokumentiert und finden sich mittlerweile an vielen Stellen im Internet. Die Kernaufgabe besteht darin, diese Anforderungen auf die jeweilige Organisation, ihre konkreten Rahmenbedingungen, die erhobenen Daten und den damit verbundenen Risiken abzubilden.

Klar ist, dass dies Geld und Aufwand erfordert, benötigt also Budget und interne wie externe Ressourcen. Eine angemessene Projektorganisation ist Voraussetzung, um in der Lage zu sein, angemessen tief in Unternehmensprozesse und die sie implementierenden Systeme einzugreifen. All diese Grundlagen gelten natürlich besonders für den jetzt schon notwendigen Endspurt bis zum Mai des nächsten Jahres. Aber Compliance zur Datenschutzgrundverordnung wird eine dauerhafte Herausforderung werden und nicht mit Stichtag enden.

ANZEIGE

European Identity & Cloud Conference 2017

The European Identity & Cloud Conference 2017, taking place May 9 – 12, 2017 at the Dolce Ballhaus Forum Unterschleissheim, Munich/Germany, is Europe’s leading event for Identity and Access Management (IAM), Governance, Risk Management and Compliance (GRC), as well as Cloud Security. For the 11th time the EIC will offer best practices and discussions with more than 700 participants from worldwide companies including most of the leading vendors, end users, thought leaders, visionaries and analysts.

Strategisch, professionell und Risiko-orientiert

Betrachten Sie diesen Artikel als Ihren persönlichen EU-DSGVO-Weckruf. Eine strategische und Risiko-orientierte Vorgehensweise ist hierbei hilfreich und sinnvoll: Als erster Schritt und Grundlage könnte die Ermittlung und Dokumentation der tatsächlichen Nutzung personenbezogener Daten erfolgen. Damit kann die konkrete Speicherung und Verarbeitung der Information von Kunden, Abonnenten, Mitarbeiter, Versicherten oder Abonnenten in IT-Systemen und Prozessen bestimmt werden. Dies bietet auch die Chance, diese Prozesse in ihrer Gesamtheit auf Notwendigkeit zu hinterfragen. Bewertet man diese dann mit Blick auf das jeweils verbundene Risiko, kann auf dieser Basis eine Priorisierung, eine Aufgliederung in Teilprojekte und deren Priorisierung in der Abarbeitung erfolgen.

Die Europäischen Datenschutz-Grundverordnung beinhaltet die Bereitstellung eines/einer Datenschutzbeauftragten. Diese(r) sollte tatsächlich geeignet und entsprechend aktuell ausgebildet sein. Neben der Datenschutz-Expertise werden hier nicht zuletzt auch Kenntnisse der jeweiligen Branche und Risiko-Management-Fähigkeiten benötigt. Nur dann ist eine angemessene Wahrnehmung der notwendigen Pflichten möglich, und die Rolle des Datenschutzbeauftragten kann dann als notwendiges firmeninternes Korrektiv dienen.

Mit Blick auf den Kalender: Es empfiehlt sich, im Zweifelsfall auf professionelle Unterstützung zurückzugreifen. Das kann beispielsweise in Form einer formalen Rechtsberatung, durch spezialisierte Software, kompetente Advisory oder einen externen Datenschutzbeauftragten geschehen. Der enge Zeitrahmen legt nahe, dass aufwändige organisationsinterne Erarbeitungsprozesse (so sinnvoll diese sind) abgekürzt werden sollten.

AUTOR

Matthias Reinwarth ...

... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

Themenseiten: Cloud by HPE, Datenschutz, EU

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen: