Dr. Philip Huisgen, DatakomAm 25. Mai 2018 ist es soweit, die Übergangsphase für die Umsetzung der EU-DSGVO endet. Die neue Datenschutz-Grundverordnung vereinheitlicht EU-weit den Datenschutz und regelt, wie Organisationen personenbezogene Daten verarbeiten müssen. Sie gilt in allen EU-Mitgliedsstaaten und betrifft jedes Unternehmen. Da in der Praxis häufig auch externe Dienstleister an der Verarbeitung von personenbezogenen Daten beteiligt sind, werden neben technischen Schutzmaßnahmen auch unternehmensübergreifende Instrumente und Methoden notwendig. Alle Schutzmaßnahmen sind im Sinne der Verordnung zu dokumentieren, da Organisationen den Aufsichtsbehörden gegenüber eine Nachweispflicht haben. Darüber hinaus können Personen auch jederzeit Auskunft über ihre bei der Organisation gespeicherten Daten verlangen.

Für Unternehmen ist es kein leichtes Unterfangen, allen nötigen Daten habhaft zu werden und zielgerichtet zusammenzuführen. Systemintegrator DATAKOM empfiehlt ein strukturiertes Vorgehen in sechs Projektphasen und den Einsatz des Datensicherheits-Managementsystems (DSMS) von CRISAM. Die Lösung beinhaltet vorgefertigte Bausteine, Kontrollzielfragen, Erklärungen und Antwortleitfäden.

Anzeige

Bereits während der Einführung sollen Unternehmen in die Lage versetzt werden, die Prozesse und Wege der Datenverarbeitung unternehmensweit zu durchleuchten, um darauf aufbauend das gesamte operative Datenschutzmanagement mit dem DSMS-Modul abzuwickeln. Dazu gehören beispielsweise das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 EU-DSGVO), die Informationen für den Betroffenen (Art. 13 EU-DSGVO) und eine Datenschutz-Folgenabschätzung (Art. 35 EU-DSGVO) sowie das Service-Level-Agreement mit dem Auftragsverarbeiter.

»Wir haben mit dem Crisam-DSMS-Modul ein effizientes Tool im Gepäck, mit dem sich alle Vorgaben der EU-DSGVO bei überschaubarem Aufwand umsetzen lassen« verspricht Dr. Philip Huisgen, General Manager bei Datakom. »Darüber hinaus garantiert unsere Propulsio-Projektmethode die zuverlässige termingetreue Implementierung. Nach Abschluss des Projekts ist der Kunde in der Lage, mit dem DSMS alle DSGVO-Vorgaben zu erfüllen. Wir stellen als Dienstleister aber auch einen externen Datenschutzbeauftragten. Der hält das DSMS für den Kunden auf dem Laufenden und sorgt dafür, dass Änderungen bei Maßnahmen, Prozessen und der Infrastruktur in das DSMS aufgenommen werden.«

Die Einführung des DSMS ist in sechs Phasen unterteilt:

1. Die geforderten Inhalte werden erarbeitet und festgelegt sowie die betroffenen Personengruppen identifiziert.
2. Für jede betroffene Gruppe wird eine Datenschutzfolgeabschätzung getroffen. Daraus ergibt sich das jeweils EU-DSGVO-konforme Schutzniveau.
3. Die Risikobewertung der IT-Systeme gibt Aufschluss über notwendige Maßnahmen.
4. Nun werden organisatorische Maßnahmen inklusive Kontrollpunkten und –schritten definiert; dazu zählt auch die Thematisierung des Datenschutzes bei den Mitarbeitern.
5. Die Maßnahmen aus Schritt vier werden im Arbeitsalltag implementiert.
6. Zum Schluss wird die EU-DSGVO-konforme Umsetzung der technischen und organisatorischen Maßnahmen dokumentiert.