Wir verbinden Universen der Telekommunikation

DS-GVO – Umgang mit personenbezogenen Daten richtig dokumentieren gemäß EU-Datenschutz-Grundverordnung

Mit der neuen EU-Datenschutz-Grundverordnung sind Unternehmen ab dem 25. Mai 2018 gesetzlich verpflichtet nachzuweisen, wie personenbezogene Daten im Unternehmen verarbeitet werden. Gemäß Artikel 30 der DSGVO ist zum Beispiel der Zweck der Datenspeicherung zu erfassen, die entsprechenden Löschfristen und einige andere Details. Ein Unternehmen muss „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis von Verarbeitungstätigkeiten

Torsten Mausch unterstützt das PECOS-Team in der technischen Durchführung der Dokumentation und weiß worauf es ankommt:

Ein wichtiger Punkt der DS-GVO ist die Dokumentationspflicht. Was bedeutet das für Unternehmen?

Da die meisten Daten digital verarbeitet werden, ist die IT gefordert, die Wege der Verarbeitung personenbezogener Daten transparent zu machen und zu dokumentieren.  Insofern ist es kein primäres IT-Thema, aber eben ein IT-lastiges Thema. Unternehmen, die den Anforderungen des BDSG bereits nachgekommen sind und ein internes Verfahrensverzeichnis geführt haben, können  daraus relativ einfach ein Verzeichnis der Verarbeitungstätigkeiten nach neuer DSGVO erstellen. Für die, die es noch nicht haben, bedeutet es Arbeit.

Gibt es Unterschiede je nach Betriebsgröße?

Aus IT-technischer Sicht gibt es keine Unterschiede. Aus der Betriebsgröße ergibt sich natürlich der Umfang der Dokumentation. Die Prozesse für eine Dokumentation entsprechend der Datenschutz Grundverordnung sind aber für alle gleich. Allerdings nimmt die Umsetzung natürlich mehr Raum ein und braucht mehr Zeit, je mehr Daten zu verarbeiten und Datenwege zu analysieren sind. Unternehmen mit verschiedenen Filialen müssen zum Beispiel ein Gesamt-Verzeichnis erarbeiten, das sämtliche Filialen einbezieht.

Was ist ein „Verzeichnis der Verarbeitungstätigkeiten“ genau?

Das Verzeichnis umfasst mehrere Verfahrensbeschreibungen, in denen die Verarbeitungsschritte dokumentiert werden. Die Dokumentation muss aufzeigen, welche personenbezogenen Daten ein Unternehmen mit welchen Mitteln auf welche Art und Weise verarbeitet. Außerdem müssen die technisch-organisatorischen Maßnahmen aufgeführt werden, die zum Schutz der Daten unternommen werden.  In dem Verzeichnis ist genau dokumentiert, wie Daten erfasst und bewegt werden. Zum Beispiel, wer wann Zugriff auf die Daten hat, wo die Daten herkommen oder welche Löschfristen einzuhalten sind. Es wird festgehalten, wie die Anforderungen der DS-GVO technisch in der Praxis umgesetzt werden. Das ist von der Sache her nicht neu, aber der große Unterschied, den die DS-GVO mit sich bringt, ist, dass jetzt schmerzhafte Bußgelder fällig werden, wenn ein Unternehmen bei einer Kontrolle dieses Verzeichnis nicht vorlegen kann.

Wie unterstützt Pecos Unternehmen bei der Dokumentationspflicht?

Bevor wir anfangen können, brauchen wir einen Vertrag zur Auftragsdaten-verarbeitung, in dem festgehalten wird, dass PECOS Zugriff auf die Daten des Kunden haben darf und zu welchem Zweck. Sonst würden wir hier schon gegen die DS-GVO verstoßen.

Dann führen wir im Auftrag des Kunden eine Analyse des Netzwerkes durch, checken die Verzeichnisberechtigungen und machen einen Penetrationstest, um die aktuelle Sicherheit des IT-Netzes festzustellen. Auf dieser Datenbasis erarbeiten wir dann die  Dokumentation. Um welche Daten es genau geht, möchte ich im Folgenden kurz skizzieren:

Analyse des Netzwerkes

  • Wo werden personenbezogene Daten abgelegt?
  • Wer hat Zugriff auf personenbezogene Daten?
  • Wie ist der Weg der Kunden- und Mitarbeiterdaten?
  • Wie sind Zugriffe in Personal-Abteilungen geregelt?
  • Wie ist das Vertragswesen organisiert?
  • Ist die Web-Seite DS-GVO-konform?

Verzeichnisberechtigungen

  • Welche Netze führen personenbezogene Daten?
  • Wie werden Back-ups durchgeführt?
  • Wo werden die Daten gesichert?
  • Wie wird mit Aufbewahrungsfristen umgegangen?

Penetrationstest

  • Welche Freigaben/Zugriffsberechtigungen gibt es für User-Accounts?
  • Wie sicher sind die VPN-Zugänge externer Mitarbeiter?
  • Ist der Standort der externe Mail-Server in der EU?
  • Welche Protokolle werden verwendet?
  • Welche Virenscanner werden verwendet?

Wie sieht das Ergebnis aus, das der Kunde am Ende in Händen hält?

Wir fassen die Ergebnisse für unsere Kunden übersichtlich zusammen – in Form von PDF-Dokumenten oder Visio-Zeichnungen. Wir sind in der Lage, jeden einzelnen Rechner zu scannen, zum Beispiel, welchen  Patch-Stand er hat, Viren-Scanner und die Auslastung der Festplatte. Der Kunde bekommt eine fertige Dokumentation. Da ein Netzwerk lebt, also ständig neue Kunden hinzukommen und neue Dokumente, können wir den Prozess so einrichten, dass unsere Kunden sich auf Knopfdruck den aktuellen Stand des Verzeichnisses herunterladen können und zur Verfügung haben. Wenn zum Beispiel ein neuer Server angeschafft wird, wird dieser in die Analyse einbezogen und in das Verzeichnis von Verarbeitungstätigkeiten integriert. Somit ist das Unternehmen auf der sicheren Seite, der DS-GVO zu entsprechen.

Kann ein Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten selbst erstellen?

Sind die personellen Ressourcen intern vorhanden, können Unternehmen sich selbstverständlich eine entsprechende Software anschaffen und das Verzeichnis selbst erstellen. Für eine einzelne Person dürfte es aber kaum möglich sein, das gesamte Verzeichnis neben dem Tagesgeschäft alleine zu erstellen und zu pflegen. Mit einem Dienstleister, der sich täglich damit befasst, geht es sehr viel entspannter. Denn es gibt einiges zu bedenken. So benötigt der jeweilige Verantwortliche im Unternehmen Kenntnisse über die einzelnen Verfahren. Außerdem muss derjenige die Inhalte der DS-GVO recht gut kennen, um zu wissen, welche technischen Lösungen dokumentiert werden müssen, und muß sich mit der notwendigen Software auskennen.

Wie lautet die Empfehlung an unsere Kunden, um entspannt aber zielgerichtet mit der DS-GVO umzugehen?

Als ersten Schritt würde ich empfehlen, die Website auf Vordermann zu bringen. Das heißt, die Datenschutzrichtlinien müssen angepasst werden. Außerdem muss eine Dokumentation angelegt werden, wie mit personalisierten Daten umgegangen wird, die über die Website generiert werden.  Empfehlenswert ist eine Liste der Anwendungen und Tools, die mit personenbezogenen Daten in Berührung kommen. Das kann zum Beispiel ein Kontaktformular sein oder die Anmeldung für einen Newsletter, aber auch das Zeiterfassungssystem, die Verarbeitung von E-Mails und CRM-Systeme.

 

Vielen Dank für das Gespräch, Torsten Mausch.

 

Torsten Mausch ist seit 19 Jahren in der IT-Branche tätig. Er unterstützt Unternehmen bei der Beschaffung der passenden IT-Infrastruktur, bei der Umsetzung der Datenschutzanforderungen und  bei der Umstellung der klassischen Telefonie zu modernen Kommunikationslösungen.

Zurück