Was Datenverantwortliche bei der EU-DSGVO häufig übersehen
Um sicherzustellen, dass bei der DSGVO-Umsetzung keine Fehler gemacht wurden, sollten Verantwortliche eine Checkliste für Datennutzungen und Prozesse erstellen.
Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) – oder General Data Protection Regulation (GDPR) – müssen Datenverantwortlichen die wichtigsten Compliance-Richtlinien und -Prozesse umsetzen. Verstoßt man gegen die Verordnung, drohen hohe Bußgelder. Um sicherzugehen, dass Sie keinen Fehler gemacht haben, sollten Sie daher einen Schritt zurücktreten und eine DSGVO-Checkliste für Datennutzungen und Prozesse erstellen, die möglicherweise ignoriert wurden.
Wichtige Punkte einer solchen Liste sind die Geschäftsprozesse in den Abteilungen, die Automatisierung von DSGVO-Abfragen und die Vorbereitung auf eine mögliche Rechtsverletzung. Wichtig ist auch, die Praktiken der Partner zu bewerten.
Darüber hinaus sollten Datenverantwortliche prüfen, ob personenbezogene Daten (Personally Identifiable Information, kurz: PII) zwischen Unternehmensabteilungen außerhalb der Grenzen der Europäischen Union (EU) übertragen werden.
1. Erfassen Sie Bestandsdaten der Geschäftseinheiten
In Unternehmenssystemen existiert ein ganzes Universum von nicht-relationalen Daten, die in relationalen Datenbanksystemen und anderen Systemen nicht erfasst werden. Datenverantwortliche sollten deshalb erwägen, einzelne Abteilungs-Check-Ins oder unternehmensweite Meetings mit Abteilungsleitern zu veranstaltet, um dafür eine DSGVO-Checkliste zu erstellen.
„Diese Systeme werden oft auf der Ebene der Geschäftseinheit – nicht auf der Ebene des Unternehmens – ausgeführt, was ihre Nachverfolgung und Inventarisierung erschwert“, sagt Greg Reid, Managing Director und Leiter des Bereichs Information Privacy bei BDO USA.
Einige dieser Systeme umfassen zum Beispiel gemeinsame Laufwerke, SharePoint, Box, Dropbox, Egnyte, Livelink, Documentum und natürlich E-Mail. Diese Systeme und Technologien sind nicht von der DSGVO ausgenommen und können einen erheblichen Anteil an personenbezogenen Daten enthalten. Sie dürften deshalb vom Datenmanager nicht ignoriert werden.
2. Automatisieren Sie Abfragen
Die in der EU-DSGVO detailliert dargestellten Aktivitäten im Kontext der Rechte betroffener Personen (Data Subjects Rights, DSR) haben direkte Auswirkungen sowohl auf die Datenarchitekturen als auch auf die Datenverarbeitungsaktivitäten innerhalb der RDBMS-Technologien.
Datenmanager sollten SQL-Berichts- und Abfragefunktionen entwickeln, um Anfragen zu den Rechten betroffener Personen als Teil ihrer DSGVO-Checkliste zu unterstützen. Diese sind nicht in vielen Systemen eingebaut. Daher müssen Datenmanager diese Abfragen in ihre Systeme integrieren – oder die Möglichkeit ins Auge fassen, dies manuell durch Ad-hoc-SQL-Aufrufe zu machen.
Datenmanager müssen auch über die Auswirkungen der referentiellen Integrität beim Löschen von Datensätzen nachdenken. „Es geht nicht nur darum, bestimmte Rechte der betroffenen Personen auf bestimmten Systemen durchzuführen; es geht auch darum, diese auf den Systemen in einer bestimmten Reihenfolge auszuführen, um ungültige SQL-Aufrufe mit Rückwärtssuche zu vermeiden“, sagt Reid.
Abbildung 1: Eine DSGVO-Checkliste sollte die Überprüfung personenbezogener Daten und deren Sicherheit beinhalten.
3. Bereiten Sie sich auf einen Verstoß vor
Selbst bei robusten Sicherheitsmaßnahmen finden Hacker ständig neue Wege, um Systeme zu durchbrechen. Eine gute Praxis dagegen ist es, alle Daten und Datenprozesse in einem Unternehmen zu verstehen und zu erfassen. Dazu gehören RDBMS- und Nicht-RDBMS-Systeme, wie E-Mail-, Dokumenten- und Content-Management-Systeme (CMS).
Es ist wichtig, dass ein in der EU-ansässiger Rechtsberater das Daten-, Inhalts- und Prozessverzeichnis überprüft, um festzustellen, welche der Datenelemente den DSGVO-Verletzungsregeln unterliegen. Dies sollte vor einem Verstoß geschehen, da eine 72-stündige Meldepflicht für bestimmte Vergehen besteht.
4. Auditieren Sie Ihre Geschäftspartner
Datenverantwortliche sollten eine Umfrage unter ihren Geschäftspartnern in die DSGVO-Checkliste aufnehmen. Der Hintergrund: Daten, die an die Lieferanten und Geschäftspartner des Unternehmens übermittelt wurden, fallen ebenfalls unter die DSGVO-Verpflichtungen eines Unternehmens. Die Organisation, die die Daten kontrolliert, ist bis zu einem gewissen Grad auch dafür verantwortlich, wie die Informationen von Drittanbietern verwaltet werden.
Unternehmen, die Lieferanten und Subunternehmer beauftragen und personenbezogene Daten erhalten, sind verpflichtet, nur mit solchen Partnern zusammenzuarbeiten, die bestimmte Verantwortlichkeiten in Bezug auf die Konformität der DSGVO erfüllen können. Dazu gehören die rechtzeitige Benachrichtigung über Verstöße, die Garantie, dass Daten am Ende des Vertrages gelöscht oder zurückgegeben werden, die Vereinbarung, Daten nur auf schriftliche Anweisung zu verarbeiten, und die Daten nicht ohne die schriftliche Zustimmung des Kontrolleurs weiterzugeben.
„Wir haben eine Reihe von Kunden, die es versäumt haben, den Datentransfer innerhalb ihrer eigenen Organisation zu berücksichtigen.“
Paul SonntagCoalfire
„Viele Unternehmen haben es versäumt, bestehende Datenverarbeitungsaufträge zu überprüfen, um so sicherzustellen, dass diese Bedingungen angemessen erfasst werden“, sagt Paul Sonntag, Director of Commercial Services, GDPR bei Coalfire, einem Cyberrisikomanagementdienst.
Die Umsetzung strenger Praktiken beim Lieferantenmanagement war noch nie so wichtig wie bei der DSGVO, da die Verordnung Bestimmungen über die gemeinsame Haftung zwischen Kontrolleuren und Verarbeitern im Falle eines Verstoßes oder einer rechtswidrigen Datenverarbeitung enthält.
Unternehmen sollten alle ihre Serviceverträge, die die Übermittlung personenbezogener Daten beinhalten, sorgfältig prüfen und sicherstellen, dass nur diejenigen Anbieter als Partner in Frage kommen beziehungsweise erhalten bleiben, die ihrer regulatorischen Verantwortung nachkommen können. Verträge und Lieferanten sollten mindestens einmal jährlich neu bewertet werden.
5. Berücksichtigen Sie interne Datentransfers
Datenmanager sollten auch interne Datenübertragungen zwischen verschiedenen Abteilungen als Teil einer DSGVO-Checkliste bewerten. Die Verordnung verpflichtet Unternehmen, alle Tätigkeiten aufzuzeichnen, bei denen Daten transferiert werden.
„Wir haben eine Reihe von Kunden, die es versäumt haben, den Datentransfer innerhalb ihrer eigenen Organisation zu berücksichtigen. Das ist aber wichtig, wenn eine Organisation über Geschäftseinheiten sowohl in Europa als auch in den USA verfügt und die Daten zwischen ihnen übertragen werden“, sagt Sontag.
Für Manager ist es entscheidend, ein detailliertes Verständnis dafür zu entwickeln, welche Daten innerhalb des Unternehmens gesammelt und verarbeitet werden und wohin sie übertragen werden – auch wenn diese Transfers nicht unbedingt einen Dritten betreffen. Jeder größere Anwendungsfall mit personenbezogenen Daten sollte über einen entsprechenden Datenverarbeitungsnachweis verfügen, und alle Übermittlungen sollten aufgezeichnet werden.
