Die Prüfer werden kommen!

Die Prüfer werden kommen!

scanplus
02. Mai 2018

Thomas Dietrich ist nicht nur der Datenschutzbeauftragte des  IT-Unternehmens scanplus, er gehört zudem zum Dozenten-Team der renommierten udis GmbH, der Ulmer Akademie für Datenschutz und IT-Sicherheit. Im folgenden Interview zeigt er auf, was sich durch die EU-Datenschutzverordnung tatsächlich verändern wird. 

 

Die EU-Datenschutzverordnung ist derzeit ein großes Thema. Was kommt da auf uns zu?

THOMAS DIETRICH: Viel Neues, viel Altes. Man könnte Zu dieser Thematik auch sagen: Da ist viel alter Wein in neuen Schläuchen. Bisher wurde durch die Datenschutzverordnung bereits einiges sehr streng geregelt. Besonders durch die so genannten TOMs, die technisch-organisatorischen Maßnahmen, die den Schutz der Daten ganz klar vorgeschrieben haben.

 
Datenschutzbeauftragter bei scanplus

 
  

Zum Beispiel?

THOMAS DIETRICH: Wie ist der Zugangsschutz, der Zutritt oder der Zugang zu den Daten geregelt? Gibt es separat getrennte Netzwerke? Gibt es Zugriffsregelungen und Passwörter. Viele Punkte, die wir hier bei scanplus bereits durch die Zertifizierung für die ISO 27001 erfüllen. Dieser Anspruch wird jetzt durch die Vorgaben der EU-Datenschutzverordnung europaweit harmonisiert. Hin zu einer einheitlichen Regelung zum Umgang mit personenbezogenen Daten und zu deren Schutz. Einige Länder in der EU haben ein nicht so hohes Datenschutz-Niveau und werden deutlich mehr Anstrengungen unternehmen müssen als Deutschland, um diese Ziele zu erreichen.

Welche grundlegende Änderung wird es geben?

THOMAS DIETRICH:Die Maßnahmen für den Schutz der Daten sind jetzt klar definiert, im Gesetz verankert und müssen auditiert werden. Nun ist es also so, dass bei der Verarbeitung von personenbezogene Daten ein Datenschutzbeauftragter sein Auge darauf werfen sollte. Leider gibt es derzeit in der EU noch keinen Standard, nach dem zertifiziert werden kann. Es gibt zwar einige Anbieter von Datenschutzzertifizierungen, die eigene Maßnahmen, Fragenkataloge und   Zertifizierungsschemata anbieten, diese haben aber keinerlei internationale Anerkennung. Auch nicht durch den deutschen Akkreditierungsrat. Der Querverweis dieser Anbieter führt immer auf die ISO 27001. Das Rad dreht sich derzeit also immer wieder im Kreis.

Und was tut sich am Horizont für Zertifizierungen?

THOMAS DIETRICH: In der ISO 27001-Norm-Familie gibt es einen kleinen Sprössling, der ISO 27018 getauft wurde und bis Ende des Jahres 2018 zertifizierbar gemacht werden soll. Diese Norm gilt für den Datenschutz für Cloud-Dienstleister. scanplus hat jüngst beim ISO 27001-Audit diese Norm für Cloud-Dienstleister gleich mitprüfen lassen. Zwar gibt es hierfür noch kein Zertifikat und nur den Hinweis der Überprüfung im Audit-Bericht, aber mit der Einführung können wir die Norm sofort eintragen lassen. Wir haben uns bewusst für die Innovation im Bereich Qualitätsmanagement entschieden und wollen klar aufzeigen, dass wir bereits jetzt auf dem Weg sind.

Was verändert sich für das einzelne Unternehmen?

THOMAS DIETRICH:Die Persönlichkeitsrechte des Einzelnen sind jetzt deutlich gestärkt. Jeder Mensch hat das Recht, bei einem datenverarbeiten Unternehmen anzufragen, warum seine Daten dort gespeichert sind und mit welcher Zweckbindung. Diese Informationen müssen auf Anfrage unentgeltlich zur Verfügung gestellt werden. Neu ist, und so steht es auch tatsächlich im Gesetz, dass der Betroffene ein Recht auf Vergessenwerden hat. Jede natürliche Person hat also das Recht auf die komplette Löschung aller Daten bei einer Firma – vorausgesetzt die Daten werden nicht weiterhin für rechtsverbindliche Zwecke wie Steuern, Strafverfolgung, Arzt etc. genutzt. Ein Online-Shop muss diese Daten aber gegen Nachweis löschen.

Gibt es weitere Neuerungen?

THOMAS DIETRICH: Die Datenportabilität. Wenn ich beispielsweise von Vodafone zur Telekom wechsele, habe ich das Recht zur Datenmobilität. Der Anbieter muss mir also die technischen Möglichkeiten zur Verfügung stellen, meine Daten von A nach B zu portieren. Es gibt zudem viele weitere anspruchsvolle Neuerungen, die aber eher einen Vertragscharakter haben. Vieles steht aber bereits im aktuellen Bundesdatenschutzgesetz. Und genau das tritt zum 26. Mai neu in Kraft und untermauert die deutschen Ansprüche an den Datenschutz – und dies flankierend zur EU-Datenschutzverordnung, die natürlich darübersteht.

Wenn alles zeitlich so klar geregelt war und ist, warum gibt es um die Einführung der EU-Datenschutzverordnung eine solche Aufregung? 

THOMAS DIETRICH: Das liegt an der vom Gesetzgeber eingeräumten zweijährigen Übergangsfrist. Viele Unternehmen haben das Thema genau deshalb vor sich hergeschoben. Auch der Gesetzgeber zeigte zunächst nicht klar auf, wohin die Reise gehen würde. Gefühlt seit einem Jahr machen nun beratende Firmen richtig Dampf bei Unternehmen mit den zu erwartenden, sehr hohen Strafen, die man als Unternehmen im schlechtesten Fall erwarten kann, wenn man sich nicht diesem Thema annimmt. Tatsächlich wird man mit der Devise „Aus den Augen, aus dem Sinn“ genauso wenig zum Ziel kommen wie mit heißer Nadel gestrickten Audits – zumal die Zahl der Prüfer nicht annähernd ausreichen wird.

Mit Prüfungen wird man aber rechnen müssen?

THOMAS DIETRICH: Sie werden kommen, die Frage ist nur wann. Vermutlich werden erst die großen Unternehmen überprüft, dann der Mittelstand. Aber gerade für viele kleinere Unternehmen sollte das kein Problem darstellen, denn die haben bereits Unternehmensberater oder die Unterstützung von ihren Verbänden, die ihnen Datenschutzbeauftragte stellen. Grundsätzlich wird sich das Vorgehen durch die entsprechenden Behörden, die für die Umsetzung der EU-Datenschutzverordnung auch kräftig aufgerüstet haben, doch drastisch verändern.

Wie gut ist scanplus bezüglich der EU-Datenschutzverordnung aufgestellt?

THOMAS DIETRICH: Unsere Kunden können sicher sein, dass bei uns technisch-organisatorisch alles voll überprüft ist – auch durch interne Audits und unseren Weg der kontinuierlichen Verbesserung beim Datenschutz. Zudem arbeitet unsere Abteilung für den Datenschutz sehr eng mit der unseres Partners Telekom zusammen und zwar in einem produktiven und sehr effektiven Dialog bei der Auftragsdatenverarbeitung (ADV). Gemeinsam haben wir auch die Änderungen im bestehenden Vertrag über die Verarbeitung personenbezogener Daten für unser Service Center den neuen, strengen Vorgaben bereits angepasst. 

 

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Details ansehen