IT-Security

Kernelemente des Datenschutzes

Ein Beitrag von Mareike Vogt von der Tüv Süd Sec-IT

30.11.2020 - Kleinen und mittleren Unternehmen (KMU) fehlt meist das Fachpersonal, um die Anforderungen zum Datenschutz zu identifizieren und umzu­setzen

Kleinen und mittleren Unternehmen (KMU) fehlt meist das Fachpersonal, um die Anforderungen zum Datenschutz zu identifizieren und umzu­setzen. Gleichzeitig steigen technischen Möglichkeiten, gegen die ein Unternehmen seine Daten sichern muss. Wie lässt sich diese Herausforderung meistern? Mareike Vogt, Fachexpertin für Datenschutz bei der Tüv Süd Sec-IT, erklärt, wie Datenschutz rund um die drei Säulen Mensch, Technik und Prozesse auch für KMU funktioniert.

Längst basieren ganze Geschäftsmodelle darauf, Geld mit den Daten anderer Menschen zu machen. Von einem Thema am Rande, über das lediglich Experten diskutierten, avancierte der Datenschutz im letzten Jahrzehnt daher zu einem zentralen Bereich moderner IT-Sicherheit. Im Zuge dieser Aufklärung über die Gefahren unzulänglicher Datenverarbeitung gibt es auf internationaler Ebene unterschiedliche Regulierungen, um die Bürger besser gegen Missbrauch ihrer personenbezogenen Daten zu schützen – in Europa ist es die Europäische Datenschutz-Grundverordnung (EU-DSGVO).

Gleichzeitig stellen die von jedem Nutzer gesammelten Informationen einen wertvollen Rohstoff für Unternehmen aller Art dar, unter anderem in Form von Kundenkontakten oder zur Datenanalyse. Sie sind zu einem wichtigen Aspekt für betriebswirtschaftliche oder strategische Entscheidungen geworden. Wie schaffen aber vor allem kleinere und mittlere Unternehmen (KMU), die besonders unter einem Mangel an Fachkräften leiden, den Spagat zwischen dem Interesse an Daten und Datenschutzkonformität? Eine einfache und effektive Lösung für einen Fachkräftemangel, kann die Unterstützung durch einen unabhängigen externen Berater im Datenschutz darstellen. Gerade bei KMUs bietet es sich sogar an, die Aufgabe des Datenschutzbeauftragen durch externen Fachexperten übernehmen zu lassen. Gemeinsam sollte man sich dann an den drei Säulen des Datenschutzes orientieren.

Faktor Mensch
Die erste Säule, auf die sich EU-DSGVO-konformer Umgang mit personenbezogenen Daten stützt, ist der Mensch. Mitarbeiter, die im Unternehmen mit personenbezogenen Daten zu tun haben, müssen geschult werden. Es muss ein Bewusstsein geschaffen werden, welche Anforderungen zum Datenschutz an die Mitarbeiter und ihre Arbeit bestehen und welche Strafen dem Unternehmen bei Missachtung drohen. Ab einer bestimmten Größe – 20 Mitarbeitende, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind – müssen Unternehmen in Deutschland zudem einen Datenschutzbeauftragten benennen. Dieser berät nicht nur zielgerichtet, sondern kontrolliert die Einhaltung der EU-DSGVO im Unternehmen und dient als Ansprechpartner für zuständige Aufsichtsbehörden. Dieser Datenschutzbeauftragte fungiert als erste Anlaufstelle für Datenschutzanliegen, muss aber nicht im Unternehmen selbst beschäftigt sein. Unabhängige Dienstleister wie Tüv Süd bieten deshalb nicht nur Mitarbeiterschulungen zum Datenschutz an, sondern können auch den externen Datenschutzbeauftragten stellen.

Faktor Prozesse
Als zweite Säule gilt es, die internen Prozesse zur personenbezogenen Datenverarbeitung an die Anforderungen der EU-DSGVO anzupassen. Das beginnt bei der Sammlung solcher Daten, beispielsweise über die eigene Webseite. Zwar ist es möglich, Nutzerdaten mittels Cookies zu erfassen, allerdings muss der Nutzer vorher oftmals einwilligen. Das passiert über Cookie-Banner, die dem Nutzer beim Besuch der Seite angezeigt werden müssen. Welche Informationen darin enthalten sein müssen und wann eine Einwilligung rechtens ist, regelt die EU-DSGVO. Ergänzend helfen Gerichtsurteile sowie Aufsichtsbehörden bei der Auslegung. Eine unabhängige Beratung kann auch hier helfen, Fallstricke zu erkennen und zu vermeiden.

Faktor Technik
Die dritte Säule des Datenschutzes ist die Technik. Sie beinhaltet die angemessene und sichere Verarbeitung der Daten. Wie stark die durch die EU-DSGVO geforderte Sicherheit der Verarbeitung sein muss, ergibt sich unter anderem anhand einer objektiven Bewertung der Daten und Risiken. Es sollte daher eine Abwägung zwischen dem Schutzbedarf der Daten und den möglichen Sicherungsmaßnahmen getroffen werden. Da sich technische Möglichkeiten stets weiterentwickeln, ist es sehr wichtig, dass diese Abwägungen regelmäßig überprüft und angepasst werden. Nur so wird sichergestellt, dass die Sicherheit der Verarbeitung langfristig angemessen bleibt.

Kein Vertrauen ohne Datenschutz
Wer das Vertrauen der Kunden in sein Unternehmen gewinnen und erhalten möchte, kommt seit einigen Jahren nicht mehr am Datenschutz vorbei. Er gilt heute als Qualitätssiegel. Die drei Säulen des Datenschutzes, Mensch, Prozesse und Technik, bieten eine gute Orientierung, um diese Herausforderung erfolgreich zu meisten. Unternehmen, deren eigene Personalressourcen begrenzt sind, finden die passende Unterstützung bei externen Fachexperten. Denn Strafen sind nicht nur schlecht fürs Image, sondern können auch schnell teuer werden.

Kontakt

TÜV SÜD Management Service GmbH

Ridlerstr. 57
80339 München