DSGVO-Prozesse sicher und transparent umsetzen
Professionelle Data Leakage Prevention Lösung im Fokus!
Mit der Europäischen Datenschutzgrundverordnung (kurz „DSGVO“) haben wir uns in diesem Blog bereits beschäftigt. Im damaligen Beitrag: „DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet“, lag der Fokus auf der Einbeziehung der E-Mail-Sicherheit (siehe den Artikel „DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet“. Ein weiteres wichtiges Thema ist, wie die durch hinzugekommenen DSGVO-Prozesse im Unternehmen eingeführt und umgesetzt werden können. Diese werden daher in diesem Beitrag etwas näher betrachtet.
Von nichts gewusst?!
Keiner kann so tun, als hätte er von nichts gewusst, dennoch gehen deutsche Unternehmen die Umsetzung für die DSGVO offenbar nicht mit der erforderlichen Ernsthaftigkeit an. Mehr dazu in diesem Blogartikel: DSGVO umsetzen – Unternehmen sind nicht ausreichend vorbereitet
Anwendungspflicht für alle Unternehmen
Die Anwendungspflicht der DSGVO besteht seit dem 25. Mai 2018 und gilt für alle Unternehmen innerhalb der Europäischen Union (EU) und für alle internationalen Unternehmen, welche Daten von EU-Bürgern speichern oder verarbeiten. Die DSGVO definiert dabei einen einheitlichen Rechtsrahmen für den Datenschutz in der EU und innerhalb des Europäischen Wirtschaftsraums, also für den nicht öffentlichen Bereich. Das Ziel ist es, alle EU-Bürger vor Datenschutzverletzungen zu schützen. Betrachtet wird dabei die Verarbeitung personenbezogener, strukturierter oder unstrukturierter Daten, soweit diese im Rahmen von Aktivitäten in der EU durchgeführt werden und zwar unabhängig davon, ob die Verarbeitung in der EU erfolgt.
Beispiele für persönliche Daten sind Mitarbeiter- und Kundendaten oder auch Einzelinterviews bei Vorstellungsgesprächen. Diese Daten werden vornehmlich in der Personalabteilung, im Vertrieb, im Rechnungswesen oder in der IT-Abteilung eines Unternehmens verarbeitet. Die Verarbeitung erfolgt beispielsweise durch die Anwendungsverwaltung, Fakturierung, einem Newsletter-Versand oder Wartungstätigkeiten.
Durch die DSGVO sind auf jedes Unternehmen einige Pflichten zugekommen. Dazu gehören der Nachweis und die Rechenschaftspflicht (geregelt im §5 der DSGVO). Ebenso besteht eine Meldepflicht bei Verletzung eines Rechts gegenüber der zuständigen Datenschutzbehörde. Dazu gibt es verschiedene einzuhaltende Fristen: So muss die Erledigung von Auskunftsersuchen innerhalb eines Monats erfolgen (§12) und innerhalb von 72 Stunden muss bei Verletzungen gegen die Datenschutzbestimmungen reagiert werden (§33). Des Weiteren muss ein Datenschutzbeauftragter (§37) in größeren Unternehmen bestellt werden. Wichtig ist auch die Dokumentation. So muss eine Liste der Verarbeitungsaktivitäten, eine Risikobewertung und gegebenenfalls auch Datenschutz-Folgenabschätzungen dokumentiert werden.
Bei Nichteinhaltung drohen Geldbußen von bis zu 20 Mio. EUR oder im Falle eines Unternehmens bis zu 4 Prozent seines weltweiten Gesamtjahresumsatzes im vorangegangenen Geschäftsjahr (§83). In Ausnahmefällen kann auch ein Verbot der Verarbeitung personenbezogener Daten ausgesprochen werden (§58).
Integrierte DSGVO-Prozesse
Es gibt einige wichtige unternehmensinterne DSGVO-Prozesse, wozu das Auskunftsrecht über die Verwendung personenbezogener Daten , das Recht auf Berichtigung, das Löschrecht, das Widerrufsrecht, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht und das Beschwerderecht gehören. Ferner gibt es das Datenschutzverletzungsmanagement und die Datenschutzfolgenabschätzungen.
Verzeichnis der Verarbeitungstätigkeiten
Zunächst schreibt die DSGVO vor, ein Verzeichnis über die ausgeführten Verarbeitungsvorgänge zu führen. Es gibt dabei zwei Arten von Verzeichnissen: Eines für interne Verarbeitungsvorgänge und eines für alle Verarbeitungsvorgänge, welche im Rahmen einer Auftragsdatenverarbeitung stattfinden. Dieses ist nur für Unternehmen erforderlich, welche Daten für andere Unternehmen verarbeiten. Das Anlegen eines internen Registers gilt nicht für Unternehmen mit weniger als 250 Mitarbeitern, es sei denn, die Verarbeitung ist aus Datenschutzsicht riskant oder die Verarbeitung findet nicht zufällig statt oder betrifft spezielle Kategorien personenbezogener Daten beziehungsweise krimineller Daten.
Datenschutz-Folgenabschätzung
Für neue interne Verarbeitungsvorgänge kann eine Datenschutz-Folgenabschätzung erforderlich sein (§35), wenn die Verarbeitung zu einem hohen Risiko für die Rechte und Freiheiten von Personen führen kann. Insbesondere wenn eine systematische und umfassende Bewertung der persönlichen Daten einer Person, einschließlich Profilerstellung, vorliegt oder wenn eine Verarbeitung sensibler Daten beziehungsweise eine systematische Überwachung öffentlicher Bereiche in großem Umfang stattfindet. In diesen Fällen muss im Vorfeld einer Datenverarbeitung eine Gefährdung des Datenschutzes überprüft und Risiken identifiziert und dokumentiert werden. Die Beteiligten in diesem Prozess können die Verantwortlichen für den Verarbeitungsvorgang, der Datenschutzbeauftragte im Unternehmen, betroffene Personen oder deren Vertreter (z.B. Betriebsrat) und eventuell beratend auch die Datenschutzaufsichtsbehörde sein.
Software Unterstützung für wichtigste Prozesse
Für die Durchführung dieser Prozesse eignen sich professionelle Software-Systeme mit einer Prozessunterstützung. Ein Beispiel ist die auf einer Low-Code Entwicklungsumgebung basierende Lösung GDPR Compliance Manager. Diese beinhaltet für die zuvor genannten vier Bereiche jeweils die Unterstützung der wichtigsten Prozesse. Dabei liegen die jeweiligen Prozessmodelle auf Basis der weit verbreiteten Modellierungssprache BPMN 2.0 vor. Damit ist eine schnelle Einarbeitung gewährleistet. Da jedes Unternehmen eigene Anforderungen an seine Prozesse hat, ist es wichtig, dass die Prozesse und auch die dazugehörigen Formulare mit einfachen Mitteln angepasst werden können. Dazu stehen im GDPR Compliance Manager grafische Werkzeuge zur Prozessmodellierung und dem Formular-Design zur Verfügung. Des Weiteren können viele Parameter aus den Prozessen mit individuellen Werten belegt werden.
Professionelle Data Leakage Prevention Lösung gegen Datenverlust
Neben der Datenschutz-Folgenabschätzung werden auch mögliche Datenschutzverletzungen im Rahmen der DSGVO behandelt. Eine solche Datenschutzverletzung kann auftreten, wenn beispielsweise unerlaubte Personen Zugang zu zweckgebundenen personenbezogenen Daten erhalten. Um einen solchen möglichen Datenverlust festzustellen, bietet sich der Einsatz einer professionellen Data Leakage Prevention-Lösung (DLP) an. Mit einer solchen Lösung kann beispielsweise festgestellt werden, wenn Mitarbeiter die zu schützenden Daten per E-Mail an externe E-Mail-Adressen versenden möchten. Die DLP-Software kann diesen Versand erkennen und verhindern, dass die E-Mail mit den vertraulichen Informationen versendet wird. Die DLP-Software kann zudem zusätzlich einen internen Untersuchungsprozess initiieren, sodass eine weitere Überprüfung erfolgt, ob das Versenden zu einer Datenpanne geführt hätte. Mit diesem Prozess kann versucht werden, im Vorfeld mögliche Datenpannen zu verhindern. Dies kann beispielsweise mit der Software iQ.Suite DLP Advanced in Kombination mit dem GDPR Compliance Manager der GBS realisiert werden. Entdeckt die iQ.Suite DLP eine verdächtige E-Mail, initiiert sie im GDPR Compliance Manager einen Untersuchungsprozess. Anschließend folgt eine automatische Weiterleitung zum Datenschutzbeauftragten, der die Überprüfung durchführen und die weitere Durchführung des Prozesses steuern kann. Durch dieses Zusammenspiel kann ein optimaler Schutz mit einer Prozessunterstützung, ohne einen zu hohen manuellen Aufwand, erreicht werden.
Für einen weiteren Überblick zur GDPR hat die GBS einen juristischen Überblick und wichtige Handlungsempfehlungen in einem kostenlosen Whitepaper veröffentlicht. Zudem findet einmal pro Monat ein Webinar zum Thema dieses Beitrags statt.
Weitergehende Informationen sind im Internet von vielen Herausgebern zu finden, beispielsweise eine Praxishilfe für die Anwendung der DSGVO im Gesundheitswesen oder einen Leitfaden der Bitkom.
Der Beitrag Sind DSGVO-Prozesse im Unternehmen integriert? erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.