EU-DSGVO: Die wichtigsten Regelungen und wie Unternehmen sie leichter umsetzen – Interview mit Stephan La Rocca

Stephan La Rocca, Business Development Manager, PITSS GmbH

Am 25.05.2018 tritt die Europäische Datenschutz-Grundverordnung in Kraft. Sie regelt im Wesentlichen den Schutz personenbezogener Daten, erhöht die Transparenz des Datenschutzes für den Einzelnen und führt zu einer Homogenisierung des Datenschutzes in den EU-Mitgliedsstaaten. Es geht um die Erhebung personenbezogener Daten, deren Nutzung, Speicherung, Verarbeitung, Weitergabe und Löschung. Auch wenn zuvor auf nationaler Ebene ein hoher Maßstab im Umgang mit personenbezogenen Daten bestand, ist dennoch zu prüfen, ob die EU-Forderungen erfüllt werden. Unternehmen, die den Vorgaben nicht gerecht werden, müssen mit hohen Sanktionen und Strafzahlungen rechnen.

Bis zum Inkrafttreten der EU-DSGVO ist es nicht mehr lange hin und die meisten Unternehmen arbeiten schon auf Hochtouren, um die Regelungen umzusetzen. Wie sieht es bei Ihnen aus? PITSS Business Development Experte Stephan La Rocca gibt einige wertvolle Informationen und Tipps, damit Ihnen die neue Gesetzgebung weniger Kopfschmerzen bereitet.

PITSS: Herr La Rocca, welche Bedeutung hat die EU-Datenschutz-Grundverordnung für deutsche Unternehmen, die von jeher hohen Maßstäbe durch nationales Recht unterliegen?

Stephan La Rocca: Für mein Verständnis haben viele Unternehmen in den vergangenen Jahren den Datenschutz aus der Sicht des Schutzes der Daten vor dem Zugriff Dritter betrachtet und weniger aus der Sicht, dass der Schutzbedürftige eigentlich die einzelne Person mit ihren persönlichen Daten ist. Mit der EU-DSGVO rückt also der Schutz von Personendaten stärker in den Mittelpunkt. Es geht um die berechtigte Erhebung, Verarbeitung, Weiterreichung, Verwaltung und Speicherung von Personendaten sowie deren Löschung und Dokumentation in den jeweiligen Prozessen. Bei der Dokumentations- und Nachweispflicht sind die Anforderungen an Unternehmen nochmal gestiegen und gerade diese bringen IT-Abteilungen derzeit unter Druck. Es drohen empfindliche Strafzahlungen von bis zu 4% des weltweiten Konzernumsatz. Das bringt viele Firmen, auch in Deutschland, aktuell in Bewegung.

PITSS: Können Sie anhand eines Beispiels die Tragweite für die Veränderung erklären?

Stephan La Rocca: Einige unserer Kunden arbeiten mit externen Dienstleistern zusammen, die die gesamte Webpräsenz gestalten und betreuen. Werden beispielsweise bei der Einreichung von Förderprojekten über das Webinterface personenbezogene bis hin zur Kontoverbindungsdaten erfasst, ist das sowohl juristisch als auch technisch abzusichern. Noch stärker lässt sich das Ausmaß der erforderlichen Maßnahmen bei stark dezentral agierenden Unternehmen, wie Versicherungen, erkennen. Hier werden im großen Stil Personendaten erfasst, verarbeitet, verteilt, weiterverarbeitet, abgeändert, nochmals weitergereicht, ergänzt etc… Hier wird nach dem EU-DSGVO verlangt, dass all dies protokolliert und zu jedem Zeitpunkt nachgewiesen werden kann. Darüber hinaus müssen Rollen und Rechte von Mitarbeitern in Unternehmen gewährleisten, dass sie exakt nur die für ihre Bearbeitung erforderlichen Personendaten bekommen, einsehen und bearbeiten können. IT-Abteilungen müssen also erst mal analysieren, welche Geschäftsprozesse benötigen welche Daten. Ein gigantischer Aufwand, wenn man dies nicht automatisiert lösen kann.

PITSS: Was müssen Unternehmen tun, um EU-DSGVO-konform aufgestellt zu sein? Wie gehen Unternehmen die Umsetzung der Auflagen an?

Stephan La Rocca: Verbunden sind die Aufgaben vor allem mit jeder Menge Dokumentation. Es ist ein Verfahrensverzeichnis zu erstellen und die einzelnen Verfahren sauber zu dokumentieren. Eine gute Beschreibung dazu kann beim Bayerischen Landesamt für Datenschutzaufsicht eingesehen werden.

PITSS: Was und wen brauchen die Unternehmen für die Umsetzung?

Stephan La Rocca: Jedes Unternehmen sollte einen Datenschutzbeauftragten haben, der je nach Aufgabe auf juristisches, Fachbereichs- und technisches Know-how zugreifen kann. Juristisch arbeiten wir mit einer auf IT-Recht spezialisierten Kanzlei zusammen.

In der Regel ist ein Audit aus Sicht des IT-Rechts kein schlechter Startpunkt für einen konkreten Maßnahmenkatalog. In der Dokumentation erhält das Unternehmen alle Informationen, Schritte und Maßnahmen für die Umsetzung der geforderten Richtlinien. Es erfolgt eine Bestandsaufnahme der schützenswerten Daten und innerhalb einer automatisierten Analyse, wie wir sie anbieten, wird aufgezeigt, wo welche Daten vorkommen und in welchen Prozessen sie genutzt werden.

PITSS: IT-Abteilungen sind besonders betroffen, da sie für alle Bereiche in der technischen Verantwortung stehen. Wie gehen diese vor?

Stephan La Rocca: IT-Abteilungen sind vermutlich besonders betroffen, weil bei Ihnen am Ende des Tages die meisten Arbeiten entstehen. Neben der schon angesprochenen Prozess-Dokumentation werden sie in die Pflicht genommen, nachweisen zu können, wer welche Berechtigung auf die Datenbestände hat. Gleichfalls muss protokolliert werden, wer, wann und zu welchem Zweck Daten erhoben, verändert oder weitergegeben hat. Das wird umfangreiche Änderungen in den Applikationen mit sich bringen. Deshalb sind die bereits angesprochenen Analysen von enormer Bedeutung. Wenn an der auch noch so kleinsten Stelle im System eine unkontrollierte Änderung vorgenommen wird, kann das weitreichende Konsequenzen haben, die im schlimmsten Fall ganze Systeme zum Erliegen bringen können.

PITSS: Welche Vorgehensweise und Lösungen bieten Sie Ihren Kunden?

Stephan La Rocca: Wir bieten in Kooperation mit einer auf IT-Recht spezialisierten Rechtsanwaltskanzlei, Workshops und Audits an, um den besten Startpunkt im Sinne der EU-DSGVO zu nehmen.

Wenn der Maßnahmenkatalog steht, können wir die komplette Anwendungslandschaft vollumfänglich mit unserem Software-Analyse-Tool PITSS.CON analysieren. Das heißt, dass wir wirklich alle betroffenen Stellen und Abhängigkeiten sichtbar machen können und auch Massenänderungen kein Risiko darstellen werden. Dabei dokumentiert eine Funktionalität im PITSS.CON Tool sämtliche Prozessschritte, so dass unsere Kunden den Anforderungen der Dokumentations- und Nachweispflicht automatisiert gerecht werden und auch eine enorme Transparenz für sich gewinnen.

PITSS: Sind Unternehmen mit innovativen Konzepten wie Digitalisierung und Cloud-Lösungen härter getroffen? Was empfehlen Sie diesen?

Stephan La Rocca: Unternehmen, die auf Cloud-Lösungen setzen, sollten sicherstellen, dass passende Auftragsdatenverarbeitungsverträge (ADV-Verträge) nach dem gültigen Recht vereinbart sind. Für Anbieter aus Deutschland gibt es hierzu die Trusted Cloud Initiative des Bundesministerium für Wirtschaft und Energie. Für Anbieter aus dem Ausland sollte auf sogenannte sichere Drittländer oder spezielle Vereinbarungen z. B. zum EU-US Privacy Shield geachtet werden.
Gerade Firmen, die auf Big Data, IoT (Internet-of-Things), KI (Künstliche Intelligenz) und andere Schlagwörter der Digitalisierung setzen, erheben, verarbeiten und leben sozusagen von den Daten, was dazu führt, dass hier die Prozessdokumentation und Nachweispflicht einen wesentlich höheren Stellenwert einnimmt.

Vielen Dank für das Gespräch!