Dimension Data > IT-Sicherheit > Die Readiness-Analyse: Ist Ihre Einrichtung schon bereit für die EU-DS-GVO?

Die Readiness-Analyse: Ist Ihre Einrichtung schon bereit für die EU-DS-GVO?

TwitterFacebookGoogle+LinkedIn

Make an impact: how to raise awareness of cybersecurity best practice at your organisationJe näher der 25. Mai – und mit diesem Datum das Inkrafttreten der neuen EU-Datenschutzschutz-Grundverordnung – rückt, desto nervöser werden die Verantwortlichen in den Unternehmen. Doch Panik wäre jetzt die falsche Devise, vielmehr heißt es jetzt: Ruhe bewahren und zunächst einmal das ganze Unternehmen einer gründlichen Prüfung unterziehen. Denn sind die Schwach- und Baustellen erst einmal aufgedeckt, können die passenden Maßnahmen noch rechtzeitig ergriffen werden. Auch für diejenigen, die sich von den Änderungen eigentlich nicht betroffen fühlen, kann sich eine solche Readiness-Analyse lohnen, da sie vor bösen Überraschungen schützt. Die festgeschriebenen Strafen sind nämlich empfindlich: Waren nach dem Bundesdatenschutzgesetz bisher maximal 300.000 Euro im Einzelfall möglich, beträgt die maximale Geldbuße nun bis zu zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr (es wird der höhere Wert herangezogen).

Dieser Aufwand muss sein

Die Readiness-Analyse verschafft Ihnen einen Überblick, inwieweit Sie auf die Anforderungen der EU-DS-GVO vorbereitet sind. Dazu gehört eine High-Level-Analyse, bei der festgestellt wird, welche Bereiche besondere Aufmerksamkeit benötigen. Eine Gap-Analyse erkennt zudem die Lücken zwischen Anforderungen der EU-DS-GVO und der Realität in den Prozessen und Maßnahmen des Unternehmens. Im letzten Schritt werden die passenden Handlungsempfehlungen identifiziert. Der zu erbringende Aufwand variiert von Unternehmen zu Unternehmen und hängt von seiner Größe beziehungsweise der Zahl seiner Mitarbeiter sowie vom Vorhandensein eines internen oder externen Datenschutzbeauftragten ab.

Welche Bereiche müssen für eine Readiness-Analyse also betrachtet werden? Eine wichtige Änderung, die durch die EU-DS-GVO eintritt, ist die Rechenschaftspflicht als zentraler Grundsatz der Datenverarbeitung. Damit rückt die Verantwortlichkeit von Unternehmen in den Vordergrund. Sie werden grundsätzlich zur Dokumentation aller Datenverarbeitungsprozesse aufgefordert – ein Vorgang, der vielerorts noch nicht oder nicht mit der nun notwendigen Gründlichkeit vorgenommen wird. Darüber hinaus müssen folgende Formulare und Dokumente den neuen Bestimmungen genügen und eventuell überarbeitet werden: Datenschutzerklärungen, Einwilligungserklärungen (Verschärfung der formalen Vorgaben), Betriebsvereinbarungen und Vereinbarungen zur Auftragsverarbeitung.

Datenschutz betrifft alle

Auch zahlreiche Prozesse müssen gründlich geprüft und gegebenenfalls angepasst oder sogar neu geschaffen werden: der Prozess für den Widerruf eine Einwilligung zur Datenspeicherung und -verarbeitung, die Prozesse zur Umsetzung von Widersprüchen, der Prozess bei Datenpannen, die Datenschutz-Folgenabschätzung (Privacy Impact Assessment) und das Verfahren zur Übertragung von Daten in gängige elektronische Formate. Datenschutzangelegenheiten durchziehen das gesamte Unternehmen und betreffen alle Abteilungen. Besonders gefragt ist natürlich die IT-Sicherheit: Entsprechen die vorhandenen Sicherheitsmaßnahmen, wie gefordert, dem Stand der Technik? Dies muss nicht nur einmalig, sondern regelmäßig überprüft werden. Sollte es doch einmal zu einer Datenschutzverletzung kommen, muss Ihr Unternehmen zudem in der Lage sein, das gewählte Konzept hinsichtlich Security, Datenschutz und Technologien gegenüber den Behörden offenzulegen und auch zu rechtfertigen.

Für nahezu jedes Unternehmen werden aus diesen Punkten To-Dos resultieren und Mitarbeiter werden in der täglichen Arbeitspraxis mit den Bestimmungen der EU-DS-GVO konfrontiert werden. Daher ist die Durchführung von zielgruppengerechten Schulungen ein Punkt, der nicht vernachlässigt werden sollte. Wer bisher keinen internen oder externen Datenschutzbeauftragten beschäftigt, wird vermutlich – ab einer gewissen Unternehmensgröße – spätestens jetzt darüber nachdenken.

Für einen ersten Eindruck, wie fit Ihr Unternehmen im Hinblick auf die DSGVO ist, können Sie unseren kostenlosen Schnelltest nutzen: http://www.schnelltest-security-dsgvo.de/

    Matthias Körbitzer ist Leiter Sales Research, Education, Healthcare Salesteam bei Dimension Data Deutschland