Vorsicht Verwechslungsgefahr: Warum die DSGVO kein IT-Security-Thema ist

Redaktion InterFace AG Governance, IT-Sicherheit

Vorsicht Verwechslungsgefahr: Warum die DSGVO kein IT-Security-Thema ist

Die neue EU-Datenschutzgrundverordnung bestätigt viele Grundsätze des bisherigen deutschen Datenschutzrechts, bringt aber auch einige Neuerungen. Durch die Vielzahl verschiedener paralleler Verordnungen ist es manchmal schwer, den Überblick zu behalten. So wird der Datenschutz oft zu einem reinen IT-Sicherheitsthema erklärt, umfasst in Wirklichkeit aber viel mehr.

Bei all der Unsicherheit, die angesichts des baldigen Inkrafttretens der DSGVO in deutschen Unternehmen grassiert, ist zumindest eine Tatsache klar: Früher wurde Datenschutz häufig als eine rein technische Herausforderung betrachtet, was dazu führte, dass man die Verantwortung gerne komplett an die IT-Abteilung ausgelagert hat. Jedoch ist der technische Schutz vor äußeren Zugriffen lediglich ein Bestandteil von Datenschutz, der im Grunde seit jeher ganzheitlich gedacht werden muss. Schließlich behandeln die (inter-)nationalen Gesetze nicht nur Fragen der technischen Sicherung, sondern auch der Verarbeitung, Löschung oder Weitergabe von personenbezogenen Daten.

Insbesondere zwei Gesetze sind in diesem Kontext von Bedeutung: das BDSG (neu) und die DSGVO. Zunächst regelt die DSGVO vor allem die Dokumentation und die Einhaltung gewisser Speicher- und Löschfristen von personenbezogenen Daten. Diese werden im ganzen Unternehmen erhoben, was dazu führt, dass auch jede Abteilung bestimmte Prozesse benötigt, um dieser Pflicht angemessen nachzukommen.

Das bedeutet allerdings nicht, dass sich jetzt plötzlich alles ändert. Viele Grundsätze über Datenspeicherung und -verarbeitung sind nicht neu, sondern sind schon länger im deutschen Bundesdatenschutzgesetz (BDSG) geregelt. Dazu gehören etwa Prinzipien wie die Einwilligung der betroffenen Personen, das Gebot der Datensparsamkeit, die Zweckbindung oder die Einhaltung der „Datenrichtigkeit”.

Neu hingegen sind Grundsätze wie die Meldepflicht, Folgenabschätzung, das Recht auf Löschung, Datenübertragbarkeit (Portabilität) und insbesondere die Rechenschaftspflicht (Dokumentation). Der Dokumentation kommt dabei die Hauptrolle zu, denn selbst bei Datenlecks oder Verstößen besteht bei guter Dokumentation die Chance, trotzdem kein Bußgeld entrichten zu müssen – sofern man die entsprechenden Dokumentationsunterlagen auf Anfrage der Datenschutzbehörden umgehend vorlegen kann.

Datenschutz, Daten-, Informations- oder IT-Sicherheit?

Bereits das BDSG fordert die Führung eines Verfahrensverzeichnisses, das künftig Verarbeitungsverzeichnis heißen wird. Dieses Verzeichnis dokumentiert Verarbeitungsprozesse und Angaben zu personenbezogenen Daten und Betroffenen. Ein solches Verzeichnis ist zunächst keine Frage der IT-Security, sondern kann auch eine einfache Excel-Tabelle sein.

Zu dokumentieren ist, zu welchem Zeitpunkt, welche Daten, von wem erhoben wurden, zu welchem Zweck sie gespeichert oder verarbeitet werden, wie lange sie gespeichert oder verarbeitet werden dürfen und wann sie wieder gelöscht werden müssen. Das gilt für Mitarbeiterdaten natürlich genauso wie für Kundendaten.

Dass die Umsetzung der DSGVO mit IT-Security gleichgesetzt wird, liegt hauptsächlich daran, dass oft keine definitorische Klarheit über die Begriffe Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit vorherrscht. Während es beim Datenschutz um den Schutz der Privatsphäre eines jeden Menschen geht, befasst sich die Datensicherheit mit dem technischen Schutz von Daten, unabhängig davon, ob die personenbezogen sind oder nicht. Ähnlich der Begriff der Informationssicherheit, der z. B. im IT-Grundschutzkatalog des BSI „Schutz von Informationen” definiert ist. Schließlich ist IT-Sicherheit ein Bestandteil der Informationssicherheit: IT-Security bezieht sich auf alle elektronisch gespeicherten Informationen mit dem Ziel, diese vor Bedrohungen zu schützen – egal ob intern oder extern.

Was Unternehmen wirklich tun müssen

Unternehmen brauchen wegen der DSGVO also keine neue IT-Security-Infrastruktur. Vielmehr sollten die Verantwortlichen dafür Sorgen, dass sich alle Abteilungen, die personenbezogene Daten verarbeiten und speichern, an einen runden Tisch setzen. Alle mit der Datenverarbeitung verbundenen Prozesse müssen richtig organisiert bzw. dokumentiert werden – damit ist eine Hauptanforderung der DSGVO schon erfüllt. Die Verantwortung für die Einhaltung des Datenschutzes trägt am Ende der Datenschutzbeauftragte oder – falls nicht benannt – die Geschäftsführung. Die Benennung eines Datenschutzbeauftragten ist bereits im BDSG (§4f) geregelt.

Demnach sind Unternehmen grundsätzlich dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn im alltäglichen Betrieb automatisiert personenbezogene Daten verarbeitet werden und damit mindestens zehn Mitarbeiter beschäftigt sind (bei nichtautomatisierten Prozessen gilt diese Regel ab zwanzig Mitarbeitern). Gerade kleine Unternehmen, die sich um diese Schwelle bewegen, fürchten oft hohe Weiterbildungskosten und Investitionen, um an dieser Stelle datenschutzkonform zu sein. Gerade hier kann es sich lohnen, einen externen Datenschutzbeauftragten zu bestellen, da so die Einhaltung des Datenschutzes ohne Rechtsunsicherheiten absolut sichergestellt ist und die Kosten dafür vollständig transparent und planbar bleiben.

Zurück zur Ausgangsthese:
Datenschutz ist zwar kein reines IT-Thema. Das bedeutet im Umkehrschluss aber nicht, dass IT nicht dabei helfen kann, den Aufwand für den Datenschutz zu minimieren. Gerade die Dokumentation von Datenerhebungs- und Datenverarbeitungsprozessen lässt sich mit Hilfe von IT-Systemen leicht automatisieren – und damit radikal vereinfachen. Die große Chance liegt dabei in der Zusammenführung der vielen notwendigen unternehmensweiten Prozesse. Dadurch können etwaige Rechtsansprüche von Betroffenen an zentraler Stelle geklärt und Rechtsfolgen bereits früh vermieden werden. Wer also frühzeitig in die Klärung der Fragen, die die DSGVO aufwirft, investiert, kann den Datenschutz dorthin bringen, wo er hin gehört: In das Zentrum des Unternehmens.


Autor: Redaktion InterFace AG
Bildquelle: Shutterstock, InterFace AG
Veröffentlicht: 09. April 2018

THEMENPORTAL DATENSCHUTZ

Die neue EU-Datenschutzgrundverordnung, kurz: DSGVO, setzt neue Standards, ist jedoch nicht das einzige Regelwerk, das den Datenschutz in Deutschland reguliert.