Im ersten Teil unserer Serie über die DSGVO haben wir sowohl die neue Verordnung als auch die Rollen von Verantwortlichen und Auftragsverarbeitern behandelt. Wir haben außerdem einen Blick auf die Strafen für Versäumnisse beim Schutz der personenbezogenen Daten von EU-Bürgern geworfen. Dieses Mal beschäftigen wir uns näher mit der Cloud und was Unternehmen bei der digitalen Transformation mit Hilfe von Cloud-Diensten wie Office 365, Salesforce oder kundeneigenen Cloud-Anwendungen beachten müssen.
Warum die DSGVO die gesamte Organisation beeinflusst
Dank der Cloud haben Organisationen einen kostengünstigen, skalierbaren und effizienten Zugang zu leistungsfähiger Software, ohne zuvor die für In-House-Lösungen erforderliche IT-Infrastruktur einkaufen zu müssen. Einige der am weitesten verbreiteten cloudbasierten Software-as-a-Service-Lösungen für Unternehmen sind Office 365, Salesforce und Amazon Web Services. Die Vorzüge mögen auf den ersten Blick mannigfaltig erscheinen, jedoch sollte jedes Unternehmen, welches derartige Dienste in Anspruch nimmt, zu jeder Zeit über seine Verantwortung für personenbezogene Daten sowie deren Übertragung zwischen Unternehmen und Cloud im Bilde sein.
Zuallererst müssen Unternehmen erkennen, dass die Erfüllung des Datenschutzes gemäß DSGVO nicht mehr nur Sache der IT-Abteilung ist. Wir haben 250 Sicherheitsexperten gefragt, ob die Abteilungen Recht, IT-Sicherheit, Personalwesen, die Geschäftsleitung, die Geschäftsführung oder das Marketing eines Unternehmens für die DSGVO-Compliance verantwortlich sein sollte. Am häufigsten wurden jeweils die Rechtsabteilung, die IT-Sicherheitsabteilung und das Personalwesen genannt. Nur 40 % aller Befragten hielten alle genannten Fachabteilungen und Unternehmensbereiche für zuständig.
Für die Umsetzung des Datenschutzes sind jedoch sämtliche Abteilungen eines Unternehmens von gleich hoher Bedeutung. Dieses Bewusstsein muss jedoch noch in den Führungsetagen ankommen. Die CISOs der Unternehmen müssen der Aufklärung ihrer Führungsriege über Datenschutz und mögliche Folgen von Nachlässigkeit bei diesem Thema mehr Zeit widmen. Sowohl Personal- als auch Rechtsabteilungen tragen für die Einhaltung sämtlicher relevanter Verordnungen und Gesetze durch die übrigen Abteilungen die Verantwortung, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Dies beinhaltet unter Umständen auch Änderungen im praktischen Umgang mit Datenschutz und -verwaltung. Hierzu zählt beispielsweise das Einholen der Zustimmung für die Benutzung der vorrätigen Daten von den jeweiligen Personen. Verstöße gegen solche einfachen Anforderungen können bereits hohe Geldbußen und Reputationsschäden nach sich ziehen.
Im Mittelpunkt der DSGVO steht die Stärkung und Vereinheitlichung des Datenschutzes zugunsten von Privatpersonen. Daher werden sich Marketing-Abteilungen bei der Datenerhebung neu aufstellen müssen. Klare Begründungen für die Erhebung der Daten und eine genaue Darstellung der Verarbeitung derselben sind nun erforderlich. Beispielsweise müssen Personen vor Verwendung ihrer Daten ihre vollumfängliche Einwilligung geben. Finanzabteilungen werden in Zukunft also genau Acht geben müssen, wie sie personenbezogene Daten speichern und verarbeiten.
Sensible Daten sind gemäß Artikel 32 der DSGVO über ihren gesamten Lebenszyklus hinweg und während sämtlicher Verarbeitungsschritte zu schützen. Damit diese Regelung erfüllt werden kann, müssen verschiedene Abteilungen einer Organisation zusammenarbeiten. In Anbetracht der aktuellen Sicherheitslage ist die Ansicht, allein die IT sei für den Datenschutz verantwortlich, vollkommen überholt.
Die IT-Abteilung spielt jedoch weiterhin eine nicht zu unterschätzende Rolle. Sie setzt effiziente und wirksame Kontrollmethoden im Sinne des Datenschutzes ein. Zudem muss sie wissen, wo sich die Daten befinden, gleich ob innerhalb der Organisation oder in der Cloud, welche Systeme welche Daten besitzen und wie Daten auf Anfrage gefunden werden können. Im Falle einer Datenschutzverletzung übernimmt die IT die zentrale Verantwortung bei der Aufklärung der Verletzung sowie bei der Einschätzung des Schadens für die betroffenen Daten. Zudem obliegt der IT in einem solchen Falle die Benachrichtigung der zuständigen Aufsichtsbehörden innerhalb von 72 Stunden.
Somit ist der umfangreiche Einfluss der DSGVO auf alle Unternehmensbereiche deutlich erkennbar. Unternehmen, die sich nur auf die Technologie verlassen, werden mit hohen Strafen zu rechnen haben. Stattdessen sind jetzt Lösungen, die Datenschutz, Technologie und Compliance vereinen, erforderlich, damit Unternehmen für die DSGVO vollständig gerüstet sind.
EU-DSGVO: Die Grundlagen auf einen Blick - Die Serie:
