Nützliche Tools zur Bewältigung der DSGVO

Problemfall Datensilos

Aber überall dort, wo Menschen Daten sammeln, verwalten und ablegen, entstehen fast zwangsläufig Datensilos. Dabei handelt es sich um redundante Daten und Informationen in unterschiedlicher Ausprägung, die an unterschiedlichen Orten lagern. Das sind zum Beispiel Daten, auf die nur eine kleine Nutzergruppe oder eine Abteilung im Unternehmen Zugriff hat. Diese Datensilos sind nicht per se negativ - so gibt es auch erwünschte Datensilos, etwa wenn einige Daten bewusst vom Rest des Unternehmens abgeschottet werden sollen oder müssen. Die Datenschutzgrundverordnung gilt aber selbstverständlich für alle Daten und auch für alle gewollten oder ungewollten Datensilos.
"Es ist in der Tat schwierig, gerade bei digital sehr aufgeschlossenen Firmen, den Überblick zu behalten, weil viele Software-Anbieter zusätzlich auf Drittanbieter setzen", berichtet Datenschutz-Expertin Carina Thomas. Um DSGVO-konform zu arbeiten sei deshalb eine Analyse der Lieferanten notwendig - "im schlimmsten Fall muss ein Audit vor Ort durchgeführt werden." Jedes Unternehmen sollte daher über eine aktuelle Aufstellung der Software aller Unternehmensbereiche verfügen. Ausgediente oder ungenutzte IT-Systeme sollten für den nachträglichen Informationsbedarf mit einem Lesezugriff ausgestattet werden und neue Programme erst nach Erstellung eines Anforderungsprofils unter Hinzuziehung des Datenschutzbeauftragten implementiert werden.
Ein effektiver Datenschutz sei zwar auch angesichts der steigenden Zahl an Datensilos durchaus möglich, doch erfordere das einen deutlich höheren Aufwand bei der Planung und Umsetzung, so die Erfahrung von Florian Fiessmann von Consol. Und er weist darauf hin, dass man in Zeiten der Cloud prüfen solle, wo ein Anbieter seinen Sitz hat und wo die Daten gespeichert werden. "So lässt sich feststellen, nach welchen regionalen Datenschutzvorgaben sich der Anbieter richten muss. Darüber hinaus sollte geklärt werden, welche Massnahmen zum aktiven Datenschutz ergriffen werden: Was wird dem Kunden vertraglich zugesichert? Je sorgfältiger die Auswahl erfolgt, desto weniger Aufwand hat man im operativen Betrieb."
Elke Bastian sieht hier vor allem den Datenschutzbeauftragten in der Pflicht. Es sei in seinem Interesse, einen guten Gesamtüberblick zu haben. Er definiere Vorgaben und Richtlinien, wie das Unternehmen seine DSGVO-Verpflichtung handhabe. Wenn er in vielen Datensilos prüfen müsse, ob die Vorgaben eingehalten würden, erschwere das seine Arbeit. Dennoch sollte es möglich sein, den Datenschutz einzuhalten. Kurzum: "Der Gesetzgeber nimmt keine Rücksicht auf strukturelle Defizite in Unternehmen."

Fazit

Auch ein Jahr nach Inkrafttreten der DSGVO hakt es bei vielen Unternehmen, vor allem weil viele zu spät mit der Umsetzung begonnen haben, weil sie den Umfang der Umsetzung unterschätzt haben oder einfach nicht wussten, wie sie das Thema angehen sollten. "Manche wollten auch bewusst erst mal abwarten", erklärt Elke Bastian. Doch spätestens seit die ersten Strafen verhängt wurden, sollte auch den Letzten klar sein, dass Handlungsbedarf besteht.
Carina Thomas zufolge fehlt den meisten Firmen schlicht der Überblick über ihre Software und Lizenzen. Zum Teil existierten keine Anweisungen im Unternehmen, wie Software zu implementieren, zu testen und datenschutzkonform zu konfigurieren sei - "der Datenschutzbeauftragte wird oft nicht in den Prozess eingebunden."
Florian Fiessmann begegnen zwei Probleme immer wieder: Das eine ist ein Over-Engineering von Datenschutzprozessen und damit verbundenen Anforderungen an eine Software. Hier plädiert er für mehr Pragmatismus. Das andere ist die mangelnde Ernsthaftigkeit, mit der das Thema angegangen wird. Der Datenschutz und die Ausbildung von Datenschutzbeauftragten komme aus wirtschaftlichen Gründen oft schlicht zu kurz. "Stattdessen suchen die Verantwortlichen häufig nach einer Software-Lösung, die fehlendes Know-how ersetzt. Dieser Weg ist im Grunde von vornherein zum Scheitern verurteilt."
In puncto DSGVO-Tools ein eher ernüchterndes Fazit zieht die Datenschutz-Expertin Carina Thomas: "Es gibt keine Software, die ich für alle Aspekte des Datenschutzes empfehlen kann."




Das könnte Sie auch interessieren