Datenschutzassistent® von HF-Computersysteme in der EFIT

Bild vom EFIT Magazin
EFIT Magazin

Die Septemberausgabe der EFIT, dem Geschäftskundenmagazin für Comteam Systemhäuser, widmet sich ausführlich dem Thema Datenschutz und Umsetzung der Datenschutzgrundverordnung bis Mai 2018. Ein breiter Raum nimmt dabei die Software Datenschutzassistent® der HF-Computersysteme ein.

 

 

 

 

Hier der vollständige Artikel:

„Die Erkenntnis ist gereift. Die Entscheidung ist gefallen. Ein mittelständischer Maschinenbauer will sein Unternehmen auf die EU-Datenschutzgrundverordnung vorbereiten. Doch wie geht er vor? Als allererstes sollte er dafür einen externen Berater einschalten, der ihn Schritt für Schritt bei der Umsetzung unterstützt – oder dafür eine spezielle Software zur Hilfe nehmen.

„Planung ohne Ausführung ist meistens nutzlos – Ausführung ohne Planung ist meistens fatal“, so ein Spruch des deutsch-kanadischen Kaufmanns, Aphoristikers und Publizisten Willy Meurer. Getreu diesem Motto sollte der Maschinenbauer einen Plan entwerfen und diesen stringent befolgen. Dieser Plan besteht – grob gesagt – aus den zwei Hauptteilen Bestandsaufnahme und Umsetzung. Die Bestandsaufnahme gliedert sich in eine interne und externe Analyse plus einem priorisierten Handlungsplan, dem Beratungsbericht. Die Umsetzung besteht aus den Phasen Einführung, Überprüfung / Feinjustierung und kontinuierliche Verbesserung.

Da kein Unternehmen datenschutzrechtlich im leeren Raum unterwegs ist, gilt es zunächst den aktuellen Status zu erfassen. Wie weit hat das Unternehmen z.B. die aktuellen Vorgaben des derzeitigen bundesdeutschen Datenschutzrechtes (BDSG) umgesetzt? Was lässt sich davon übernehmen, was muss man abändern, was ergänzen, wo sind umfangreichere Lücken? Eine Checkliste dient hier zur Selbstauskunft. Diese bildet die Basis für die Vor-Ort-Begehung durch den externen Sicherheitsberater. Der Spezialist klopft die Angaben auf Plausibilität ab, prüft z.B. Zutrittskontrollsysteme und entwirft darauf aufbauend seinen Beratungsbericht für den Umstieg auf die EU-DSGVO. Dieser Beratungsbericht stellt quasi ein Pflichtenheft dar, in dem beschrieben wird, was in welcher Reihenfolge zu tun ist. Wenn der mittelständische Beispielunternehmer im September beginnt, sollte das Konzept bis zum Jahresende soweit stehen. Alle Prozesse sollten bis dahin an die neuen Anforderungen angepasst sein. Im ersten Quartal 2018 folgt die Feinjustierung. Im zweiten Quartal 2018 sollte alles zum Start der EU-DSGVO und zum Übergang in die Phase der kontinuierlichen Verbesserung bereit sein.

Was jedes EU-DSGVO-Projekt berücksichtigen sollte

  • Ist ein Datenschutzbeauftragter bestellt? Jedes Unternehmen mit mehr als neun Mitarbeitern, das sich mit personenbezogenen Daten beschäftigt, muss einen Datenschutzbeauftragten haben. Anders gesagt: ab dem zehnten Mitarbeiter, der ein E-Mail-Postfach hat, besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen. Gibt es den bisher nicht, ist jetzt dringend Handeln angesagt. Meist werden externe Datenschutzbeauftragte bestellt, weil interne Mitarbeiter keine Zeit für die umfangreichen Aufgaben haben oder auch aus Haftungs- bzw. Wissensgründen ausscheiden. Eine zentrale Aufgabe für ein Datenschutzmandat ist es, personenbezogene Daten in einer verantwortlichen Stelle (Unternehmen oder Behörde) in jeder Hinsicht sicher zu halten. Dies ist ein Teil des Versprechens an die Kunden, die zunehmend besorgt sind über ihr persönliches Risiko aus Datenschutzverletzungen und –verlusten. Also kann eine Investition in eine ordnungsgemäße Datensicherheit ein entscheidender Wettbewerbsfaktor sein.
  •  Gibt es einen internen Koordinator? Dem externen Datenschutzbeauftragten sollte ein interner Koordinator zur Seite stehen. „Meine Erfahrung aus der jahrelangen Praxis als externer Sicherheitsbeauftragter ist es, dass der Koordinator, entsprechend geschult, unsere Arbeit enorm erleichtert. Er kennt Prozesse, Mitarbeiter, Dienstleister und spricht ohne Vermittlungsprobleme die richtigen Mitarbeiter an“, sagt Thomas Ströbele, Berater für Datenschutz und IT-Sicherheit und Geschäftsführer der YourIT GmbH. Verfahrensverzeichnis und Auftragsdatenverarbeitung sowie ähnliche aufwändige Erfassungstätigkeiten liegen in der Obhut des internen Koordinators.
  •  Wie kritisch sind die im Unternehmen verarbeiteten Daten? Ein Unternehmen mit B2B-Geschäft muss primär die Personaldaten schützen. Sie enthalten Informationen zur Gesundheit, der Konfession oder andere kritische Datensätze. Ein Industrieunternehmen z.B. erfasst solche Daten nicht im Kundenstamm. Es genügt also die Mitarbeiterdaten nur in einen bestimmten Bereich auf dem Server oder klassisch in Ordnern in einem speziell gesicherten Personalarchiv abzulegen. Und den Zugang genau zu regeln. Ein Orthopädiehandel verarbeitet dagegen kritische personenbezogene B2C-Daten. Gesundheitsdaten sind quasi im ganzen Unternehmen zugänglich und können nicht gekapselt werden. Entsprechend strenger gelten hier die gesetzlichen Anforderungen der EU-DSGVO.
  •  Gibt es ein Verfahrensverzeichnis? Vorbereiten muss man sich ebenfalls für den Bereich Verfahren und der Verarbeitungsaktivitäten. Dieser wurde bisher häufig vernachlässigt, sicherlich auch weil es hier bisher keinen Bußgeldparagrafen gab. Heute muss ein Unternehmen ein Verfahrensverzeichnis bzw. künftig ein Verzeichnis der Verarbeitungsaktivitäten in Bezug auf personenbezogene Daten vorweisen. Auch der Auftragsdaten-Verarbeiter muss die Verfahren aufzeichnen und dem Auftraggeber zur Verfügung stellen. Gefragt wird hier insbesondere: Welche Daten werden zu welchem Zweck mit welchem Rechtsgrund verarbeitet, wann sollen sie gelöscht werden? Wie sind die technischen und organisatorischen Maßnahmen, um sicher zu sein.

Wie man softwaregestützt seinen Weg findet
 Was, wenn man kleinen und mittelständischen Unternehmen mittels Software erleichtern würde, die für die EU-DSGVO nötigen Arbeiten zu erledigen? Diese Überlegung stellen viele Systemhäuser an. So auch das im Bereich Datenschutz tätige Systemhaus H.F. Computersysteme aus Itzehoe. Um Dokumentationen nicht mehr manuell anlegen zu müssen, suchte es nach einer Lösung, die Datenschutzvorgänge gesetzeskonform abbilden kann. Fündig wurde sie bei der Datenschutz-Schmidt GmbH & Co. KG aus Franken, die eine zeitgemäße Web 2.0-Technologie nutzt. „Früher fand ich Datenschutz viel zu bürokratisch. Die Lösung vereinfacht die Aufgaben enorm und man hat ganz schnell alle relevanten Dokumentationen zusammen“, so Dr. Siegfried Hansen von H.F. Computersysteme.

Die H.F. Computersysteme als Lizenznehmer legt den Kunden / Mandanten im System an. Dieser wählt anschließend bis zu 20 Niederlassungen. Von der Hauptniederlassung aus, erzeugt der „virtuelle Datenschutzassistent“ sämtliche relevanten Punkte, die beim Thema Datenschutz für die EU-DSGVO zu prüfen sind. Ein Beispiel: Beim Thema Backup wählt man den Unterpunkt Hauptserver an. Unmittelbar darauf erscheinen alle Fragen, die in diesem Kontext zu beantworten sind. Der Anwender wird an die Hand genommen und kann so Schritt für Schritt der Nachweispflicht der EU-DSGVO nachkommen. Die Datenschutzmanagement-Software geht jede Aufgabe in vier Schritten durch, so dass „jeder Firmeninhaber zusammen mit seinem Datenschutz-Beauftragten und der IT-Abteilung diesen strukturierten Prozess erledigen kann“, ergänzt Dr. Hansen. Mit der Software erstellt man rechtssicher Dokumentationen über die technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten als PDF-Bericht, der so auch der Datenschutzbehörde übergeben werden kann. Die Cloud-Lösung ist über eine Zwei-Faktor Authentifizierung gesichert, was sie wiederum sehr effektiv vor Angriffen von außen schützt.

Auf dem Weg in Richtung umfassendes Informationssicherheits-Management
Wer die EU-DSVGO angeht, sollte über den nächsten Schritt mitdenken. Laut Verordnung betreffen die „Sicherheit der Bearbeitung“ geeignete technische und organisatorische Maßnahmen, aber eben auch die Fähigkeit, die Vertraulichkeit und Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zu gewährleisten. Die EU-DSGVO fordert also letztlich ein Informationssicherheits-Management (ISMS) wie z.B. in der ISO 27001. Deren Pfeiler sind Vertraulichkeit, Integrität und Sicherheit der Daten. Angesichts der Gefahren aus dem Cyberraum sollte der Datenschutz wie ihn die EU-DSGVO einfordert, nur der erste Schritt in Richtung des umfassenden Schutzes aller Informationen sein.“

Quelle: http://www.meine-efit.de