Mit Inkrafttreten der DSGVO im Mai wurde der betriebliche Datenschutz erheblich verschärft. Die Auswirkungen sind groß, auch im Bereich der Unternehmens-IT. Dieser ist aus Sicht des Datenschutzes besonders relevant, weil mehr Daten denn je auf Computern gespeichert und verarbeitet werden. Infolge besteht die Notwendigkeit, dort für eine angemessene Sicherheit der Daten zu sorgen.
Datenschutz im IT-Umfeld
Im Hinblick auf die DSGVO ist für Unternehmen nur eine Sache relevant: Es gilt Daten mit Personenbezug zu schützen. Auf den ersten Blick scheint dies eine einfache Aufgabe zu sein, da vorrangig nachfolgende Punkte aus Perspektive der IT von Bedeutung sind.
- Daten vor Zugriffen von außerhalb schützen
- Datenzugriff innerhalb der eigenen Organisation regulieren
- Erstellung von Backups
Trotzdem tun sich viele Unternehmen mit der Anpassung ihrer IT schwer. Das Problem sind die zahlreichen Details, die von den Verantwortlichen zu berücksichtigen sind. So können beispielsweise unzählige Schnittstellen existieren, die Datenzugriffe von außen ermöglichen. Ob Direktzugriff via Internet, das Einschleusen von Malware via E-Mail oder Sabotage interner Netzwerke: Aus Sicht von Angreifern existieren zahlreiche Einfallstore. Zuständige IT-Spezialisten müssen außerdem berücksichtigen, welche Geräte die Mitarbeiter nutzen, welche Software sich im Einsatz befindet und welche Zugangsbeschränkungen gelten. Alles in allem können sich hieraus hunderte verschiedener Maßnahmen ableiten lassen.
Der Konflikt: Datenschutzrecht vs IT-Praxis
Den meisten Verantwortlichen ist längst klar, dass sie handeln müssen. Doch häufig stellt sich die Frage, wo begonnen werden soll. In früheren Jahren wurde oft nach eigenem Ermessen gehandelt, was heute jedoch nicht mehr genügt. Der betriebliche Datenschutz nach DSGVO macht strenge und zugleich weit gefasste Vorschriften.
Trotzdem herrscht in zahlreichen IT-Abteilungen große Ungewissheit. Viele IT-Spezialisten würden zwar gerne loslegen, doch sie wissen nicht welche konkreten Aufgaben anstehen und wo sie beginnen sollen. Hierfür benötigen sie Anweisungen, die Verantwortliche aber längst nicht immer geben.
Das wesentliche Problem diesbezüglich ist fehlendes Hintergrundwissen. Die IT-Spezialisten, Manager und Geschäftsführer sind Experten innerhalb ihrer jeweiligen Fachgebiete. Doch ob DSGVO oder andere Datenschutzverordnungen – konkrete Handlungsanweisungen werden kaum geliefert, da letztlich „nur“ Rechtstexte vorliegen.
Mit diesen Rechtstexten hat der Gesetzgeber ein Rahmenwerk geschaffen, das zahlreiche Vorschriften umfasst. Technische Vorgaben und Details benennt der Gesetzgeber jedoch nicht – und zwar aus gutem Grund. Gerade im IT-Umfeld finden unzählige Veränderungen statt. Würde der Gesetzgeber technische Vorgaben machen, wären diese mit hoher Wahrscheinlichkeit veraltet, bevor ein Gesetz in Kraft getreten ist.
Rechtliche Vorgaben verstehen
Für Unternehmen bedeutet dies zunächst, die rechtlichen Vorgaben erst einmal verstehen zu müssen. Es ist zu ermitteln, welche konkreten Vorgaben jeweils von Relevanz sind. Anschließend ist festzulegen, mit welchen Maßnahmen es gelingt, den datenschutzrechtlichen Vorgaben gerecht zu werden.
Diese Aufgaben wird üblicherweise – sofern eine Bestellung erfolgt ist – vom Datenschutzbeauftragten des Unternehmens übernommen. Er fungiert u.a. als Schnittstelle, d.h. er hilft bei der Ausarbeitung des Datenschutzkonzeptes mit und ist beispielsweise Ansprechpartner für IT-Spezialisten.
Doch besonders in kleinen und mittleren Unternehmen mangelt es häufig an Mitarbeitern, die die notwendigen Kriterien für eine Benennung zum Datenschutzbeauftragten erfüllen, d.h. mit der Materie vertraut sind und sich damit in der Lage befinden, ganzheitliche Datenschutzkonzepte auszuarbeiten. Gleichzeitig sind gute Fachkräfte schwer zu finden und teilweise auch teuer – ein Umstand, welcher die Situation zusätzlich erschwert.
Wir machen Ihren Datenschutz fit
Als externer Datenschutzbeauftragter leisten wir Unterstützung. Unsere Spezialisten für Datenschutz sind mit beiden Seiten, sprich sowohl dem Datenschutzrecht als auch mit technischen Maßnahmen vertraut. Unter anderem werden alle betroffenen Prozesse ermittelt, um anschließend die notwendigen Maßnahmen zu ermitteln, welche die zuständigen IT-Spezialisten umsetzen. Für weitere Informationen stehen wir Ihnen telefonisch unter 0800 – 5600831 (gebührenfrei) sowie über unser Kontaktformular zur Verfügung.