Taking too long? Close loading screen.

Vorsicht Verwechslungsgefahr: Warum die DSGVO kein IT-Security-Thema ist

Die neue EU-Datenschutzgrundverordnung bestätigt viele Grundsätze des bisherigen deutschen Datenschutzrechts, bringt aber auch einige Neuerungen. Durch die Vielzahl verschiedener paralleler Verordnungen ist es manchmal schwer, den Überblick zu behalten. So wird der Datenschutz oft zu einem reinen IT-Sicherheitsthema erklärt, umfasst in Wirklichkeit aber viel mehr.

Bei all der Unsicherheit, die angesichts des baldigen Inkrafttretens der DSGVO in deutschen Unternehmen grassiert, ist zumindest eine Tatsache klar: Früher wurde Datenschutz häufig als eine rein technische Herausforderung betrachtet, was dazu führte, dass man die Verantwortung gerne komplett an die IT-Abteilung ausgelagert hatte. Jedoch ist der technische Schutz vor äußeren Zugriffen lediglich ein Bestandteil von Datenschutz, der im Grunde seit jeher ganzheitlich gedacht werden muss. Schließlich behandeln die (inter-)nationalen Gesetze nicht nur Fragen der technischen Sicherung, sondern auch der Verarbeitung, Löschung oder Weitergabe von personenbezogenen Daten.

Insbesondere zwei Gesetze sind in diesem Kontext von Bedeutung: das BDSG (neu) und die DSGVO. Zunächst regelt die DSGVO vor allem die Dokumentation und die Einhaltung gewisser Speicher- und Löschfristen von personenbezogenen Daten. Diese werden im ganzen Unternehmen erhoben, was dazu führt, dass auch jede Abteilung bestimmte Prozesse benötigt, um dieser Pflicht angemessen nachzukommen.

Das bedeutet allerdings nicht, dass sich jetzt plötzlich alles ändert. Viele Grundsätze über Datenspeicherung und -verarbeitung sind nicht neu, sondern sind schon länger im deutschen Bundesdatenschutzgesetz (BDSG) geregelt. Dazu gehören etwa Prinzipien wie die Einwilligung der betroffenen Personen, das Gebot der Datensparsamkeit, die Zweckbindung oder die Einhaltung der „Datenrichtigkeit”.

Neu hingegen sind Grundsätze wie Meldepflicht, Folgenabschätzung, Recht auf Löschung, Datenübertragbarkeit (Portabilität) und insbesondere die Rechenschaftspflicht (Dokumentation). Der Dokumentation kommt dabei die Hauptrolle zu, denn selbst bei Datenlecks oder Verstößen besteht bei guter Dokumentation die Chance, trotzdem kein Bußgeld entrichten zu müssen – sofern man die entsprechenden Dokumentationsunterlagen auf Anfrage der Datenschutzbehörden umgehend vorlegen kann.

DATENSCHUTZ, DATEN-, INFORMATIONS- ODER IT-SICHERHEIT?

Bereits das BDSG fordert die Führung eines Verfahrensverzeichnisses, das künftig Verarbeitungsverzeichnis heißen wird. Dieses Verzeichnis dokumentiert Verarbeitungsprozesse und Angaben zu personenbezogenen Daten und Betroffenen. Ein solches Verzeichnis ist zunächst keine Frage der IT-Security, sondern kann auch eine einfache Excel-Tabelle sein.

Zu dokumentieren ist, zu welchem Zeitpunkt, welche Daten, von wem erhoben wurden, zu welchem Zweck sie gespeichert oder verarbeitet werden, wie lange sie gespeichert oder verarbeitet werden dürfen und wann sie wieder gelöscht werden müssen. Das gilt für Mitarbeiterdaten natürlich genauso wie für Kundendaten.

 

bdsg_neu

Dass die Umsetzung der DSGVO mit IT-Security gleichgesetzt wird, liegt hauptsächlich daran, dass oft keine definitorische Klarheit über die Begriffe Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit vorherrscht. Während es beim Datenschutz um den Schutz der Privatsphäre eines jeden Menschen geht, befasst sich die Datensicherheit mit dem technischen Schutz von Daten, unabhängig davon, ob sie personenbezogen sind oder nicht. Ähnlich der Begriff der Informationssicherheit, der z. B. im IT-Grundschutzkatalog des BSI „Schutz von Informationen” definiert ist. Schließlich ist IT-Sicherheit ein Bestandteil der Informationssicherheit: IT-Security bezieht sich auf alle elektronisch gespeicherten Informationen mit dem Ziel, diese vor Bedrohungen zu schützen – egal, ob intern oder extern.

WAS UNTERNEHMEN WIRKLICH TUN MÜSSEN

Unternehmen brauchen wegen der DSGVO also keine neue IT-Security-Infrastruktur. Vielmehr sollten die Verantwortlichen dafür Sorgen, dass sich alle Abteilungen, die personenbezogene Daten verarbeiten und speichern, an einen runden Tisch setzen. Alle mit der Datenverarbeitung verbundenen Prozesse müssen richtig organisiert bzw. dokumentiert werden – damit ist eine Hauptanforderung der DSGVO schon erfüllt. Die Verantwortung für die Einhaltung des Datenschutzes trägt am Ende der Datenschutzbeauftragte oder – falls nicht benannt – die Geschäftsführung. Die Benennung eines Datenschutzbeauftragten ist bereits im BDSG (§4f) geregelt.

dsgvo_neu

Demnach sind Unternehmen grundsätzlich dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn im alltäglichen Betrieb automatisiert personenbezogene Daten verarbeitet werden und damit mindestens zehn Mitarbeiter beschäftigt sind (bei nicht automatisierten Prozessen gilt diese Regel ab zwanzig Mitarbeitern). Gerade kleine Unternehmen, die sich um diese Schwelle bewegen, fürchten oft hohe Weiterbildungskosten und Investitionen, um an dieser Stelle datenschutzkonform zu sein. Gerade hier kann es sich lohnen, einen externen Datenschutzbeauftragten zu bestellen, da so die Einhaltung des Datenschutzes ohne Rechtsunsicherheiten absolut sichergestellt ist und die Kosten dafür vollständig transparent und planbar bleiben.

Zurück zur Ausgangsthese:
Datenschutz ist zwar kein reines IT-Thema, das bedeutet im Umkehrschluss aber nicht, dass IT nicht dabei helfen kann, den Aufwand für den Datenschutz zu minimieren. Gerade die Dokumentation von Datenerhebungs- und Datenverarbeitungsprozessen lässt sich mithilfe von IT-Systemen leicht automatisieren – und damit radikal vereinfachen. Die große Chance liegt dabei in der Zusammenführung der vielen notwendigen unternehmensweiten Prozesse. Dadurch können etwaige Rechtsansprüche von Betroffenen an zentraler Stelle geklärt und Rechtsfolgen bereits früh vermieden werden. Wer also frühzeitig in die Klärung der Fragen, die die DSGVO aufwirft, investiert, kann den Datenschutz dorthin bringen, wo er hingehört: in das Zentrum des Unternehmens.

Autor: Redaktion InterFace AG
Bildquelle: Shutterstock, InterFace AG
Veröffentlicht: 09. April 2018

THEMENPORTAL DATENSCHUTZ

Die neue EU-Datenschutzgrundverordnung, kurz: DSGVO, setzt neue Standard ist jedoch nicht das einzige Regelwerk, das den Datenschutz in Deutschland reguliert.

DIE LETZTEN BEITRÄGE
IST DIESES THEMA FÜR IHR UNTERNEHMEN INTERESSANT?
Setzen Sie sich jetzt unverbindlich mit uns in Verbindung und erfahren Sie mehr zum Thema von unseren Experten! 
DIGITALE TRANSFORMATION
Ihr Browser ist veraltet!

Bitte aktualisieren Sie Ihren Browser, um diese Website korrekt dazustellen.Den Browser jetzt aktualisieren

×