Auch wenn die neue EU-Datenschutzgrundverordnung (DSGVO) vielen Unternehmen noch als eine Art Ungetüm erscheint, bietet sie die einmalige Chance, eine organisationsübergreifende IT-Sicherheitskultur zu etablieren. Welche Schritte dafür notwendig sind, erläutert ein Beitrag in der Computerwoche.

Mit ihren erhöhten Anforderungen an Datenschutz und Dokumentation trifft die DSGVO den Nerv der Zeit. Denn während die Unternehmen im Rahmen der fortschreitenden Digitalisierung immer mehr personenbezogene Informationen verarbeiten, spitzt sich die Bedrohungslage in der IT laufend zu. Daher sollte die DSGVO mit ihren engen vorgeschriebenen Fristen nicht als unwillkommene Mammut-Aufgabe, sondern als idealer Anlass betrachtet werden, im Geschäftsalltag eine Kultur von Datenschutz und Datensicherheit zu verankern.

Bewusstsein für Datenschutz schärfen

Auf organisatorischer Ebene sollten zunächst alle Mitarbeiter – ob Führungskräfte, Anwender, Administratoren oder Entwickler – im Rahmen von Trainings und Zertifizierungen für das Thema Datenschutz sensibilisiert werden. Ebenso empfiehlt es sich, einen internen Datenschutzbeauftragten zu bestimmen, der für die DSGVO-Konformität und die Kommunikation mit den Kontrollbehörden verantwortlich ist. Da bei Regelverstößen empfindliche Geldstrafen drohen, müssen zudem valide Berichtsstrukturen geschaffen werden, um die Geschäftsführung jederzeit über die datenschutzrelevanten Vorgänge im Unternehmen zu unterrichten.

Hohe Risiken rechtzeitig erkennen

Gleichzeitig sollten die Unternehmen systematisch ihre Datenbestände, Datenflüsse und Datenverarbeitungsprozesse unter die Lupe nehmen, um hohe Risiken zu erkennen und in ein regelkonformes Datenschutz-Management umzusetzen. Dazu sollten folgende Fragen beantwortet werden:

1. Welche personenbezogenen Daten werden verarbeitet?
2. Welcher Basisschutz ist für diese Datenbestände vorhanden?
3. Welche Technologien sind im Einsatz, um die Daten vor Angreifern, Verlust oder Lecks zu schützen, wie Verschlüsselung oder Anti-Viren-Software?
4. Gibt es einen Prozess zur Prüfung und korrekten Nutzung von neuen Anwendungen und Cloud Services?
5. Gibt es einen kontinuierlichen Prozess zur Verbesserung des Datenschutzes und zur Prüfung der ergriffenen organisatorischen und technischen Maßnahmen?

Die Praxis zeigt: Unternehmen, die diesen Fragen systematisch nachgehen, können nicht nur der GDPR genügen, sondern oft auch überfällige Reformen in Angriff nehmen, die sowohl die Sicherheit als auch den Geschäftserfolg steigern.

Weitere Handlungsempfehlungen auf computerwoche.de

Auch interessant:

Kostenloses E-Book: Global Compliance - Was Führungskräfte über Compliance-Vorschriften wissen sollten, wenn sie zu Cloud Services wechseln