DSGVO - Transparenz bei Datenschutz und Sicherheit
Seit Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO), und inzwischen werden bei Verstößen vermehrt Sanktionen ausgesprochen. Die finanziellen Strafen können bis zu 20 Mio. Euro oder 4 % des Unternehmensumsatzes umfassen. Allerdings sind Bußgelder nur ein Aspekt. Bei Bekanntwerden eines Vorfalles wiegt der Vertrauensverlust von Partnern und Kunden ebenso schwer, da diese von aktuellen und geplanten gemeinsamen Geschäften Abstand nehmen könnten.
Es ist absehbar, dass es weitere Verordnungen geben wird, die den Schutz und die Sicherheit von Daten adressieren. Eine davon wird die ePrivacy-Verordnung sein, die in Ergänzung zur DSGVO den Schutz personenbezogener Daten im Bereich der elektronischen Kommunikationen im Fokus hat und den freien Verkehr von elektronischen Kommunikationsdaten, -geräten und –diensten gewährleisten soll. Außerdem werden die Richtlinien für den Warenhandel, die auch IoT-Geräte einbezieht, und die Richtlinie für digitale Inhalte, z.B. für Cloud-Dienste, durch die Mitgliedstaaten der EU in nationales Recht umgesetzt.
Die Frage nach dem konkreten "Wie?"
Zwar gibt die Datenschutzgrundverordnung die Regeln genau vor, dennoch stellt sich bei der Umsetzung oft die Frage nach dem konkreten Wie: Wie können Lieferanten und Kunden eingebunden werden? Oder wie geht man mit den Auftragsverarbeitungsverträgen um?
Die gute Nachricht ist: Es gibt Antworten auf diese Fragen, und zwar nachhaltige, praxisorientierte und zukunftsweisende.
Am Anfang jedoch muss der Handlungsbedarf im Unternehmen bzw. in der Organisation ermittelt werden. Unser Security-Check bietet eine Gap-Analyse für den Schutz und das Management von personenbezogenen Daten und schafft Transparenz hinsichtlich Datenschutz und Informationssicherheit. Datenschutz braucht ein funktionierendes Datenmanagement.
Wie wir Sie unterstützen können
Unser ganzheitlicher Ansatz nimmt auch ein nachhaltiges und sicheres Stammdatenmanagement in den Blick. Individuelle Handlungsempfehlungen geben konkrete Hinweise, in welchen Bereichen und wie Datenschutz und Datenmanagement besser und praxistauglich umzusetzen sind, um die gesetzlichen Vorgaben effizient zu erfüllen.
ISO 27791 – Privacy Information Management
Die ISO 27701 (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines) wurde im August 2019 veröffentlicht. Bei der ISO 27701 handelt es sich nicht um eine neue eigenständige Norm. Sie baut auf der ISO 27001 (Informationssicherheitsmanagementsystem) auf und erweitert sie um Datenschutzanforderungen zu einem Datenschutzmanagementsystem. Das bedeutet, dass für einen erfolgreichen Konformitätsnachweis zunächst alle Anforderungen der ISO 27001 erfüllt sein müssen.
Inhaltlich erweitert die ISO 27701 die Anforderungen bei der Definition des Kontextes der Organisation. Dabei müssen zwingend relevante Datenschutzgesetze sowie entsprechende gerichtliche Entscheidungen einbezogen werden. Ebenso müssen im Rahmen der Risikoanalyse die Aspekte der Verarbeitung von personenbezogenen Daten berücksichtigt werden. Darüber hinaus gibt die Norm u.a. folgende Hinweise in Ergänzung zur ISO 27002, dem Leitfaden zur Maßnahmenumsetzung des Anhangs A der ISO 27001:
- Datenschutz bei der Systemgestaltung (privacy by design)
- Erweiterung der Leitlinie und Richtlinien um Datenschutzaspekte
- Datenschutz-Schulungen für Mitarbeiterinnen und Mitarbeiter Ereignisprotokollierung von personenbezogenen Daten
- Ernennung einer/eines Verantwortlichen für das Datenschutzmanagementsystem
- Prüfung auf Datenschutzverstöße bei Sicherheitsvorfällen
- Verschlüsselung z.B. bei besonders personenbezogenen Daten (Bspw. Gesundheitsdaten)
Aufgrund von spezifischen Anforderungen an eine Zertifizierungsstelle nach Artikel 43 der DSGVO entspricht, zumindest aktuell, ein ISO 27001 Zertifikat ergänzt um die ISO 27701 nicht den DSGVO Anforderungen und ist kein Nachweis für eine DSGVO-Konformität. Allerdings ergeben sich für bereits ISO 27001 zertifizierte Unternehmen viele Synergieeffekte und Vorteile durch den Aufbau eines Datenschutzmanagementsystems (DSMS).
Wie wir Sie unterstützen können
Unsere Expertinnen und Experten unterstützen bei der Vorbereitung, der Konzeption und Planung über die Umsetzung bis zur Zertifizierung eines DSMS. Dazu setzen wir bewährte Methoden wie Soll-/Ist Analysen oder Auditsimulationen ein. Wir arbeiten mit einer hohen Detailtiefe und zugleich dem Blick für das Ganze und die Ziele unserer Kunden.
