Neuer Datenschutz (DSGVO / GDPR) und seine Lösungen

Neue Regeln verlangen neue Maßnahmen

Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) anerkannter Sachverständiger für IT-Produkte (rechtlich)

Dr. Gerolf Starke Auditor nach DS-BVD-GDD-01 Prüfung Auftragsdatenverarbeitung (ADV)

TÜV zertifiziert Personenzertifizierung Dr. Gerolf J. Starke

IBS Mitglied in der GDD e.V.

Dr. Gerolf Starke Datenschutzbeauftragter nach BvD e.V. Verbandskriterien verpflichtet

Die Umsetzung der DSGVO (EU Datenschutz Grundverordnung) / GDPR (European General Data Protection Regulation) ist für Unternehmen eine komplexe Aufgabe. IBS bietet eine einfache Lösung an. Unternehmen erhalten im Ergebnis einen detaillierten Fahrplan, wie sie die Umsetzung der DSGVO / GDPR realisieren können. Zeit bleibt derweil wenig.

Fest steht, am 25.05.2018 ist sie da, die neue, die DSGVO. Fest steht auch, es gibt keine Schonfrist. Wer bis dahin sein Schäfchen nicht im Trockenen hat, also seinen Datenschutz im Unternehmen nicht rechtskonform realisiert hat, der könnte Probleme bekommen. Warum? Erstens: Verstöße rechnen sich nun. Bis zu 20 Millionen Euro und auch etwas mehr darf es da schon mal sein. Zweitens: Die Aufsichtsbehörden rüsten auf. Das Personal wird vielerorts deutlich aufgestockt. Die Gefahr entdeckt zu werden steigt also. Und drittens: Bereits der immaterielle Schaden ist dem Betroffenen, also beispielsweise dem Mitarbeiter, zu ersetzen.

falsche Strategie zur DSGVO Umsetzung
Falsche Strategie der Umsetzung

Was ist also zu tun?

Zwei Ansätze bieten sich an. Kopf in den Sand und abwarten. Angesichts der oben genannten Beträge wohl eher ein seltener Ansatz. Oder: Den aktuellen Stand dem geforderten gegenüberstellen, Handlungsbedarf ableiten und umsetzen. Der systematischere und durchweg bessere Ansatz. Und genau das bieten wir Ihnen an.

Problem erkannt – Lösung realisiert.

Lösung zur Umsetzung der DSGVO / GDPR

Datenschutz ist aus betriebswirtschaftlicher, informationstechnischer und juristischer Sicht zu realisieren. Diesem Dreiklang folgt deshalb unser Analyseansatz.

Der Analyseansatz nach IBS

Betriebswirtschaftliche Identifikation der datenschutzrelevanten betrieblichen Prozesse

Gemäß einer Top-Down-Analyse werden zunächst die im Unternehmen betriebswirtschaftlich definierten Prozesse identifiziert, in denen personenbezogene Daten verarbeitet werden.

Betriebswirtschaftliche Analyse der tatsächlichen operativen Struktur

Die aus der Top-Down-Analyse zunächst theoretisch gewonnenen Prozesse werden mit der operativen Struktur im Unternehmen im Rahmen einer modifizierten GAP-Analyse abgeglichen und dieser zugeordnet. Differenzen werden diskutiert.

Abgleich mit vorhandener betriebsinterner Dokumentation

Der operativen Struktur wird die betriebsinterne Dokumentation zugeordnet. Diese besteht typischerweise insbesondere aus SOPs, Verfahrensverzeichnissen, Arbeitsanweisungen und Betriebsvereinbarungen.

Klassifikation der Daten in Absprache mit Fachabteilungen

Die personenbezogenen Daten werden klassifiziert. Die Klassifizierung erfolgt hinsichtlich Personenbezogenheit, Personenbeziehbarkeit, besonderen Kategorien, Verantwortlichkeiten, Auftragsdatenverarbeitern, Empfängern, Verlustrisiko, Betroffenenrisiko und gesetzlicher Grundlage.

Zuordnung der informationstechnischen Abläufe

Die klassifizierten Daten werden sodann in die informationstechnische Abläufe wie Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen, Vernichten, Berichtigen und Löschen gegliedert.

Aufteilung in organisatorische und IT-sicherheitstechnische Schutzmaßnahmen

Den informationstechnischen Abläufen werden die entsprechenden Schutzmaßnahmen nach dem Stand der Technik zugeordnet.

Analyse vertraglicher Beziehungen

Es werden die relevanten vertraglichen Beziehungen zu Kunden, Lieferanten und Auftragsdatenverarbeitern analysiert.

Bewertung der Ergebnisse

Eine abschließende Bewertung der Ergebnisse in Form einer Einteilung in Must Have, Nice to Have und Need to Know gibt eine ausführliche Übersicht, welche Diskrepanzen noch zur DSGVO bestehen und in welcher Reihenfolge vorhandene Lücken zu schließen sind. Die Ergebnisse sind juristisch mit Normenhinweisen belegt.

Unternehmensspezifisch individuell

Je nach Unternehmensgröße und Verarbeitungsintensität personenbezogener Daten kommt es zu unterschiedlichen Gewichtungen der einzelnen Punkte des Analyseansatzes. Daraus ergibt sich auch eine Änderung im Zeitaufwand.

Fordern Sie jetzt ein unverbindliches Angebot für Ihr Unternehmen an.

 

zurück