EU-DSGVO
Bild: CC0 Public Domain
Bild: CC0 Public Domain

Datenschutz-Problemzonen - Jürgen Kolb, iQSol

Von EU-DSGVO bis Datenschutz-Risikomanagement

Während sich manche noch eine existierende oder noch nicht notwendige datenschutzkonforme Datenverarbeitung vormachen, ist bei den beiden anderen Kernprozessen Schluss mit lustig – nämlich der Sicherstellung der Betroffenenrechte und der Handhabung von Datenschutzverletzungen.

Ein gesetzlich erforderliches Datenschutzmanagement ist für jeden mittelständischen Betrieb, jede öffentliche Verwaltung und auch für kleine Unternehmen oder Start-ups ein Thema von kritischer Relevanz. Am Ende des Tages haftet immer die Geschäftsführung und der Verantwortliche der Datenanwendung, auch wenn dieser nicht explizit bestimmt ist. Gerade dann steht eine solidarische Haftung im Raum (Mehrfachbestrafung). Streitigkeiten sind hier bereits vorprogrammiert, denn die organisatorische und die technische Oberhand sind oft nicht in derselben Abteilung zu finden. Haftungs- und Straffragen sind auch rechtlich noch in der Schwebe, jedoch nicht zum Vorteil der Beschuldigten.

Die zentrale Herausforderung sehen wir in der Praxis genau dort, wo das rechtliche Thema Datenschutz ein organisatorisches Handeln erfordert und in die Technik eingreift – Stichwort "Löschungsfristen". In größeren Organisationen ist auch der Aufbau oder die Integration in ein Information Security Management System (ISMS) notwendig. Viele Überschneidungen mit gängigen Standards (ISO, BSI) ermöglichen auch ein effizientes Datenschutz-Risikomanagement, in dem durch Prozesse und hochspezialisierte IT-Lösungen viele Mehrwerte geschaffen werden können. Eine automatische Protokollierung der Prozesse kann nicht nur für den Datenschutz, sondern vor allem auch für die technische IT-Security ("Security Operation Center") und vor allem für die Bewältigung der Zukunftsthemen (IoT-Security, Digitalisierung, Kostenoptimierung, Big Data, Smartworld) genutzt werden.

Diese Themen betreffen nicht nur "Multis" sondern sind auch im KMU-Umfeld oder im städtischen Bereich im Aufbau. Dafür gibt es Lösungen und Angebote, die leistbar und technisch umsetzbar sind. Nicht jede Organisation muss das Rad neu erfinden und kann mandantenfähige Lösungen, die viele andere ebenfalls verwenden, einsetzen.

So macht es zum Beispiel wenig Sinn, über die Feinheiten einer allfälligen Meldepflicht im Ernstfall oder einem Datentransfer in ein Drittland ("Cloud") zu philosophieren, wenn das Thema mit einer nachvollziehbaren, verordnungskonformen Verschlüsselung gelöst werden kann: Die Forschungsabteilung wird es danken, die Marketingabteilung nichts davon merken und die Geschäftsführung kann beruhigt über neue Geschäftsmodelle nachdenken.

PS: Die im Anpassungsgesetz vorgesehene (finanzielle) Straffreiheit für Ämter und andere öffentliche Stellen sollte kein Grund für unnötiges Abwarten sein. Imageverlust, Bürgerklagen, verlorene Wahlen oder zunichte gemachte Karrierechancen sind viel bessere Gründe für ein Handeln, als eine symbolische oder nicht verhängte Strafe wie bisher.

Über den Autor

Jürgen Kolb, Managing Director des IT-Security-Anbieters iQSol, geht dieses Jahr in der Serie "Datenschutz-Problemzonen" regelmäßig kurz und prägnant auf einzelne Aspekte des Themas Datenschutz ein, die als Denkanstoß dienen sollen. Mehr zum Thema auch unter diedatenschuetzer.at.

Mehr Artikel zum Thema: EU-DSGVO

Microsoft-Tools für DSGVO

Microsoft hat ein Set an kostenlosen Assessment-Tools zur...

Weiterlesen

Kosten bei Datenpannen sinken

Laut einer Studie des Ponemon Instituts sind die...

Weiterlesen

Der DSB – gewöhnen wir uns endlich daran!

Ein neues Berufsbild entsteht und es macht Sinn. Vor allem...

Weiterlesen

Der Datenschutz in Deutschland ist rechtlich etabliert

Geht es um Normen, Standards und Richtlinien lohnt sich...

Weiterlesen

EU-Datenschutz-Grundverordnung erhöht Druck auf Mittelstand

Die neue EU-Datenschutz-Grundverordnung, die ab 2018 gilt,...

Weiterlesen

Digitaler Dreisprung zur EU-Datenschutzgrundverordnung

Mehr als ein Grund genug für Europa, mit der...

Weiterlesen

Die EU-DSGVO und der Auftragsverarbeiter

Nicht einmal "gegendert" und trotzdem hat sie jedes...

Weiterlesen

"Registrierkassenpflicht war ein Kinderspiel"

Die Stadt Wien setzt schon um, was auf alle österreichischen...

Weiterlesen

Datenschutz ist kein IT-Thema

Wir wissen mittlerweile, dass der ideale EU...

Weiterlesen

Der alte 14er (DSG) und der neue 32er (EU-DSGVO)

Bereits der Paragraph 14 im österreichischen...

Weiterlesen

Praxisorientiertes Seminar: EU-DSGVO

EU -Datenschutzgrundverordnung ist ab 25. Mai 2018...

Weiterlesen

Nichtwissen schützt nicht vor Strafe

Natürlich kennt jeder das Prinzip seit Kindestagen an, aber...

Weiterlesen

Datenschutz mal vom Ende her gedacht

Das Thema Datenschutz war seit jeher eines, das mit...

Weiterlesen

Compliance heißt, sich nicht erwischen zu lassen?

Im Mai 2018 tritt die Datenschutz-Grundverordnung der EU in...

Weiterlesen

Ready for DS-GVO?

Ready for DS-GVO? - Ob Taxifahren mit Uber oder Zimmer...

Weiterlesen

ISO27001 bei BMD: "Der Denkprozess hat sich sehr gewandelt"

Seit Sommer 2016 ist die international tätige BMD Systemhaus...

Weiterlesen

Ready for EU Datenschutz-Grundverordnung 2018?

2018 tritt die DS-GVO in Kraft und bringt für Unternehmen...

Weiterlesen

Mehr als Hälfte der Unternehmen nicht auf DSGVO vorbereitet

Veritas Technologies, Spezialist für Information Management,...

Weiterlesen

Wie setze ich die EU-DSGVO technisch um?

Die EU-Datenschutz-Grundverordnung hängt derzeit wie ein...

Weiterlesen