- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hintergrund

Auf dem Weg zur Datenschutz-Compliance


DSGVO: Die fünf größten Fallstricke bei der Umsetzung
Die DSGVO verlangt, dass das Thema Datenschutz bereits bei der technischen Umsetzung beachtet wird und dass datenschutzfreundliche Voreinstellungen implementiert werden


- Anzeigen -





Die DSGVO stellt die IT-Verantwortlichen vor die große Herausforderung, einen regelkonformen Umgang mit personenbezogenen Daten sicherzustellen. Auf dem Weg zur Datenschutz-Compliance lauern – ob nun aus Unwissenheit, aus Unklarheit oder aus einer unternehmerischen Laissez-faire-Haltung heraus – zahlreiche Stolpersteine. NTT Ltd., ein weltweit führender Technologie-Dienstleister, nennt die fünf größten Fallstricke bei der Umsetzung der DSGVO.

Am 25. Mai 2018 trat die EU-Datenschutzgrundverordnung in Kraft. Deren Ziel ist, die Daten jedes einzelnen EU-Bürgers nach einer strengen, einheitlichen Gesetzgebung zu schützen und ihm die Hoheit darüber zu geben, ob und wie seine Daten verwendet werden. Die Nichteinhaltung der strengen DSGVO-Regeln hat für Unternehmen weitreichende Konsequenzen: Die Deutsche Wohnen beispielsweise wurde Ende 2019 zu einer Strafzahlung von 14 Millionen Euro verurteilt, weil das Archivsystem der Wohnungsgesellschaft keine Löschmöglichkeit hatte. Trotzdem haben viele Unternehmen auch nach knapp drei Jahren noch nicht ausreichend adäquate Maßnahmen getroffen, um Daten entsprechend der Vorgaben zu verarbeiten, zu speichern und zu löschen.

Bei der Umsetzung der DSGVO lauern aus Sicht von NTT fünf große Fallstricke:

Interne Interessenskonflikte und mangelndes Verständnis.

Der betriebliche Datenschutzbeauftragte kümmert sich um den Schutz personenbezogener Daten im Unternehmen. In kleinen und mittelständischen Betrieben ist es häufig so, dass er seinen bisherigen Aufgaben weiterhin nachgeht. Hieraus kann sich ein Interessenkonflikt mit der bestehenden Tätigkeit ergeben. Gerade die Ernennung des IT-Leiters zum Datenschutzbeauftragten lässt aus Sicht der zuständigen Landesämter für Datenschutzaufsicht Zweifel an der Neutralität aufkommen.

Immerhin ist es die zentrale Aufgabe des Datenschutzbeauftragten, die Einhaltung der DSGVO-Bestimmungen zu überwachen, und das beinhaltet explizit die "Sicherheit der Verarbeitung" durch geeignete technische und organisatorische Maßnahmen seitens der IT-Abteilung. In der Konsequenz müsste er sich also selber überwachen. Ein anderer Stolperstein sind fehlende Kenntnisse in puncto Daten-Compliance. Das umfasst die unterschiedlichen Datenklassen, die Einführung einer praktikablen Datenklassifizierung und die Festlegung der Rechtsgrundlage für die Datenverarbeitung, eine saubere Trennung zwischen Geschäftsdaten und personenbezogen Daten sowie die Privacy-Shield-Problematik bei der Cloud-Nutzung.

Probleme bei der technischen und organisatorischen Umsetzung.
Zu den zentralen Elementen der DSGVO gehören die Betroffenenrechte, darunter das Auskunftsrecht. Jede Person darf umfassend Auskunft über sie betreffende personenbezogene Daten sowie weitere Informationen verlangen. Dies schließt unter anderem die Verarbeitungszwecke, die Empfänger der Daten und die geplante Dauer der Speicherung ein. Die Auskunft muss in verständlicher Form, präzise und transparent erfolgen sowie ein gängiges Datenformat haben. Voraussetzung für eine schnelle Antwort auf eine Betroffenenanfrage ist die Erstellung eines gut strukturierten Datenschutzkonzeptes, die Implementierung eines Prozesses, der eine fristgerechte und korrekte Bearbeitung der Anträge gewährleistet, und Tools, die die Auskunft nahezu auf Knopfdruck erteilen. Ein ähnliches Vorgehen empfiehlt sich beim Recht auf Vergessenwerden: Durch einen klar definierten Prozess stellen Unternehmen sicher, dass Daten gelöscht werden, wenn eine Person die Einwilligung zur Verarbeitung zurückzieht.

Korrekte Erstellung und Abnahme von Verträgen.
Die Verarbeitung von Daten im Auftrag kommt in nahezu jedem Unternehmen vor. Angefangen von der Nutzung eines externen Rechenzentrums über As-a-Service-Modelle bis hin zu Cloud Computing. In allen Fällen liegt in der Regel eine sogenannte Auftragsverarbeitung (AV) vor, für die Unternehmen im Rahmen der DSGVO besondere Maßnahmen treffen müssen. Pflicht ist ein entsprechender AV-Vertrag, dessen Inhalt überwiegend vorgegeben ist. Fehlt er, sieht die DSGVO bei Verletzungen der Datenschutzbestimmungen eine gemeinsame Haftung von Auftraggeber und Auftragnehmer vor.

Design und Implementierung von TOMs.
Technische und organisatorische Maßnahmen (TOM) umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten. Neben dem Datenschutz, der die rechtlichen Voraussetzungen für die Erhebung und Verarbeitung personenbezogener Daten regelt, kommt hier das Thema Datensicherheit ins Spiel. Darunter fallen technische Vorkehrungen wie die Verwendung einer Firewall, die Protokollierung des Zugriffs auf Datenbanken oder die Verschlüsselung bei der Datenübertragung, aber auch organisatorische Maßnahmen wie Mitarbeiterschulungen und die Vereinbarung zur Geheimhaltungspflicht.

Die Implementierung angemessener TOMs stellt eine gesetzliche Anforderung dar und ist dokumentationspflichtig. Bei der Auswahl angemessener Schutzmaßnahmen bildet eine Risikoanalyse die Grundlage. Eine große Rolle spielen "Privacy by design" und "Privacy by default". Die DSGVO verlangt, dass das Thema Datenschutz bereits bei der technischen Umsetzung beachtet wird und dass datenschutzfreundliche Voreinstellungen implementiert werden. Nicht vergessen werden darf beim Einsatz von neuer Technik oder einem neuen System für die Datenverarbeitung auch die Datenschutz-Folgeabschätzung. Mit ihr werden Risiken für betroffene Personen erkannt und bewertet.

Rechtliche Unklarheiten und fehlende Unterstützung. Erschwerend kommen für Unternehmen rechtliche Unklarheiten durch Änderungen seitens der Gesetzgebung und eine mangelnde Umsetzungshilfe durch die Aufsichtsbehörden hinzu. Andererseits gilt es für Unternehmen, die Meldepflicht bei Verstößen einzuhalten. Sicherheitsverstöße, etwa wenn ein Mitarbeiter versehentlich Daten veröffentlicht, ein Notebook abhandenkommt oder Hacker das Unternehmen angreifen, sind nicht gerade selten und müssen umgehend gemeldet werden. Bei der Entscheidung, in welchen Fällen eine Meldepflicht begründet ist, sollten sich Firmen professionell beraten lassen.

"Die Sicherheit bei der Verarbeitung personenbezogener Daten ist ein wesentlicher Bestandteil für die Gewährleistung des Datenschutzes. Unternehmen sind verpflichtet, mögliche Risiken für Betroffene vorausschauend zu ermitteln und entsprechende Gegenmaßnahmen umzusetzen. Wie gut Unternehmen in puncto DSGVO aufgestellt sind, ist sehr unterschiedlich", erklärt Christoph Seidel, Senior Manager, GRC European Practice, der Security Division von NTT Ltd. "Durch den rasant zunehmenden Einsatz von Internet of Things, Cloud-Technologie, Künstlicher Intelligenz, Big Data und Blockchain, aber auch durch das Pandemie-bedingte Arbeiten von zuhause nehmen die Herausforderungen bei der Umsetzung der richtigen DSGVO-Strategie zu." (NTT Security Division: ra)

eingetragen: 27.04.21
Newsletterlauf: 16.07.21

NTT Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Pool der verfügbaren Kreditinstitute schrumpft

    ESG-Bedenken lassen die Finanzierungskosten für Mineralölunternehmen rapide ansteigen, da das Interesse an Investitionen in kohlenwasserstoffintensive Anlagen schwindet und die Fondsmandate immer restriktiver werden. Obwohl sich viele Ölunternehmen aus der Perspektive der Kreditvergabe in einer besseren Verfassung befinden als in den letzten Jahren, da ihre Bilanzen durch den Anstieg der Ölpreise im Jahr 2021 gestärkt wurden, wird es für sie immer schwieriger, Finanzmittel zu beschaffen. Denn der Pool an bereitwilligen Investoren schrumpft und die Banken beugen sich dem Druck, ihre Kreditvergabe dem Trend zur CO2-Reduktion anzupassen. Tullow Oil emittierte im April eine Anleihe mit einem Volumen von 1,8 Mrd. USD, die aufgrund ihres zweistelligen Kupons und der gleichzeitigen Vereinfachung der Kapitalstruktur vom Markt gut aufgenommen wurde. Die im letzten Monat von Ithaca, einem Unternehmen, das sich im Besitz von Delek befindet, aufgelegte Anleihe war jedoch eine andere Angelegenheit. Der Preis des Titels lag weit unter dem Marktpreis und wird immer noch leicht unter dem Emissionspreis gehandelt, trotz eines saftigen Kupons von 9 Prozent, einer gut ausgestatteten, kostengünstigen Vermögensbasis und einer beträchtlichen Cash-Generierung.

  • Betrug und Korruption im Gesundheitswesen

    Schmiergelder, gefakte Corona-Tests, falsche Abrechnungen: Zum Schutz des Gesundheitssystems hat der Minister bei der Generalstaatsanwaltschaft Nürnberg im vergangenen Jahr die "Bayerische Zentralstelle zur Bekämpfung von Betrug und Korruption im Gesundheitswesen" (ZKG) eingerichtet. Bayerns Justizminister Georg Eisenreich: "425 Milliarden Euro wurden nach Schätzungen vergangenes Jahr im deutschen Gesundheitssystem umgesetzt. Vor diesem großen Wirtschaftssektor machen Kriminelle nicht Halt. Betrug und Korruption im Gesundheitswesen können viel Schaden anrichten - von enormen finanziellen Schäden bei Krankenkassen und Versicherungen bis hin zu Gesundheitsschäden bei Patienten. Dem muss der Staat entschlossen entgegentreten. Deshalb setzt Bayern ab morgen zusätzlich auf eine neue Hinweisgeber-Plattform, um gezielt gegen die schwarzen Schafe der Branche vorzugehen." Justizminister Eisenreich: "Das Gesundheitssystem in Bayern ist sehr leistungsfähig. Den vielen im Gesundheits- und Pflegebereich Tätigen, die sich für die Gesundheit anderer mit großer Hilfsbereitschaft einsetzen, möchte ich herzlich danken."

  • Digitalisierung im Gebäudereinigerhandwerk

    Seit November 2020 sind Unternehmen, die als Auftragnehmer für den Bund und seine Behörden tätig sind, verpflichtet, ihre Rechnungen als elektronische Rechnung (kurz: E-Rechnung) einzureichen. Mit dieser sogenannten Lieferantenverpflichtung will die öffentliche Verwaltung den Impuls an die Wirtschaft senden, Papierrechnungen aus dem Büro zu verbannen. Wenngleich die E-Rechnung wirtschaftlich und ökologisch Vorteile bietet und einen kräftigen Digitalisierungsschub mit sich bringt, hat die Umstellung dennoch ihre Tücken. Auch der Gebäudedienstleister Niederberger Berlin, Auftragnehmer unter anderem für die Reinigung von Liegenschaften der Bundespolizei sowie Bundesministerien als auch von Landesbehörden und Bezirksämtern Berlins weiß die Vorzüge zu schätzen, kennt aber auch die Tücken: "Es ist zeitgemäß, dass wir unsere Rechnungen an die Behörden nicht mehr per Post verschicken müssen. Das spart Geld für Papier, Druck und Porto und ist umweltfreundlich", so Betriebsleiter Peter Hollmann.

  • Bundesrat verabschiedet Legal-Tech-Gesetz

    Der Bundesrat verabschiedete am 25. Juni 2021 das Legal-Tech-Gesetz ("Gesetz zur Förderung verbrauchergerechter Angebote im Rechtsdienstleistungsmarkt"). Bayerns Justizminister Georg Eisenreich: "Legal-Tech-Plattformen können Zeit und Kosten sparen. Durch das Gesetz werden die Anforderungen an die Legal-Tech-Plattformen verschärft. Das begrüße ich ausdrücklich - Verbraucher und Unternehmer brauchen Rechtssicherheit." Die Justizministerkonferenz hatte den Bund vergangenes Jahr auf Initiative Bayerns aufgefordert, Rechtssicherheit für Verbraucher und Unternehmen bei Legal Tech zu schaffen. Das nun vorliegende Gesetz ist für Justizminister Eisenreich aber nur ein Schritt in die richtige Richtung. Eisenreich: "Weitere müssen folgen. Insbesondere bei drei Punkten sehe ich weiteren Nachbesserungsbedarf."

  • Compliance & Integrität: Rolle der Aufsichtsräte

    Compliance-Verstöße in Unternehmen gelangen schnell an die Öffentlichkeit und werden in der Regel mit hohen Strafen geahndet. Die Reputation leidet enorm, hohe Umsatzverluste sind an der Tagesordnung. Eine der zentralen Aufgaben des Aufsichtsrats ist daher die Überwachung des Compliance-Managements. In Zeiten voller Unsicherheiten und stetigen Veränderungen reicht ein funktionierendes Compliance-Management-System aber nicht mehr aus, es braucht ein stabiles, werteorientiertes Gebilde innerhalb der Organisation. Compliance-Management heißt ja nicht mehr als die geschriebenen Regeln und Gesetze zu befolgen. Integritätsmanagement dagegen bedeutet, sich aus eigener Überzeugung im Einklang mit dem eigenen Wertesystem an gesellschaftliche Werte und Normen zu halten, geschriebene wie ungeschriebene, im Sinne eines ethischen Rahmens. Während Integrität in Graubereichen und bei Unsicherheiten also für legitimes Handeln sorgt, stellt ein funktionierendes Compliance-Management System lediglich die Einhaltung von Gesetzen sicher.