Meldepflicht DSGVO/GDPR

Nur 72 Stunden

22.05.2018
Von 
Peter Schneider arbeitet als Senior Produkt Manager bei der Qt Company, dem Hersteller der Qt Software Development Platform. In seiner Karriere hat er in verschiedenen Produktmanagementpositionen bei Efecte, Nokia und Siemens zahlreiche Projekte im Bereich Applikationsentwickung und Enterprise Service Management erfolgreich umgesetzt.
Laut DSGVO ist seit dem 25. Mai 2018 eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die zuständigen Aufsichtsbehörden zu melden. Hier lesen Sie Tipps zur Vorbereitung.
Die Zeit läuft: Bei einem Sicherheitsvorfall in Verbindung mit personenbezogenen Daten heißt es schnell zu reagieren.
Die Zeit läuft: Bei einem Sicherheitsvorfall in Verbindung mit personenbezogenen Daten heißt es schnell zu reagieren.
Foto: Liderina - shutterstock.com

Wenn es um den Verlust personenbezogener Daten geht, gibt es künftig kein Verstecken mehr. Unternehmen müssen entsprechende Vorfälle umgehend den zuständigen Landesdatenschutzbeauftragten melden - und zwar innerhalb von 72 Stunden.

Die Zeit mag ausreichend erscheinen, doch in der Praxis dauert es meist deutlich länger. Man stelle sich vor, dass ein ehemaliger Mitarbeiter alle persönlichen Daten aus der firmeneigenen CRM-Anwendung heruntergeladen und auf einem USB-Stick mitgenommen hat. Wie lange dauert es wohl, bis Verantwortliche aller Abteilungen wissen, welche Personen davon betroffen sind, wer die Geschäftsinhaber und zuständigen Datenschutzbeauftragten und welche Aufsichtsbehörden für diese Anwendung gegebenenfalls relevant sind?

Plötzlich tauchen Fragen auf, die in vielen Unternehmen ungeklärt sind:

  • Zunächst müssen ein Vorfall und dessen tatsächliche Auswirkungen analysiert werden.

  • Bezüglich Datenschutz ist zu klären, welcher Personenkreis betroffen ist und wie entsprechende Maßnahmen zu eskalieren sind. Hier spielen vor allem Zuständigkeiten eine große Rolle: Wer ist für die Genehmigung der Meldung an die Aufsichtsbehörden zuständig und wer für die Benachrichtigung an die Betroffenen?

Spätestens in einer solchen Krisensituation werden den ITSM-Verantwortlichen die Herausforderungen der DSGVO schlagartig klar. Dennoch besteht kein Grund zur Panik. Organisationen können mit vier grundlegenden Maßnahmen ihre ITSM-Lösungen an die neuen Informationspflichten anpassen.

1. DSGVO-Workflow modellieren

Typische Krisen-Szenarien sind erfolgreiche Hacker- und Phishing-Angriffe sowie der Diebstahl von Kreditkarteninformationen, Personalunterlagen und anderen personenbezogenen Informationen. Mit Inkrafttreten der DSGVO müssen Organisationen neben der eigentlichen Analyse und Schadensbegrenzung einen möglichst lückenlose Informationsfluss sicherstellen.

Zusätzlich zur Benachrichtigung von Chief Information Security Officer (CISO), Chief Security Officer (CSO) und Chief Information Officer (CIO) müssen vor allem die zuständigen Datenschutzbeauftragten und natürlich die betroffenen Personen selbst informiert werden. Damit dies innerhalb der geforderten 72 Stunden möglich ist, sollten ITSM-Verantwortliche einen automatisierten Workflow für alle DSGVO-bezogenen Vorfälle erstellen.
Existiert bereits ein Krisenpräventionsplan, sind mögliche Szenarien dort in der Regel klar definiert und lassen sich mithilfe gängiger ITSM-Tools relativ schnell in einen Workflow übertragen.

Ist dies hingegen nicht der Fall, herrscht akuter Handlungsbedarf: CIOs sollten gemeinsam mit Führungskräften von IT- und Fachabteilungen Problemfelder und Szenarien rund um die Speicherung, Übertragung und Verarbeitung identifizieren sowie alle für den Krisenfall notwendigen Schritte definieren. Ist dies geschehen, können auch von Seiten des Service Managements entsprechende Vorkehrungen getroffen werden.

Kurzum: Eine standardisierte Vorgehensweise hilft Organisationen, Probleme oder Krisensituationen rund um personenbezogene Daten von Beginn an mit einem formalen Ansatz zu managen. Verantwortliche behalten so den Überblick und können sich auf die Lösung der eigentlichen Probleme konzentrieren. Gleichzeitig vermeiden sie unnötige Kosten, die durch Verletzung der Informationspflicht entstehen können - und dazu gehört vor allem die fristgerechte Benachrichtigung der zuständigen Landesdatenschutzbeauftragten. Um den Workflow sinnvoll zu nutzten, sind jedoch weitere Maßnahmen notwendig.

2. Zentrale Listen erstellen

Ohne die richtigen Adressaten geht im Krisenfall wertvolle Zeit verloren. Dies lässt sich jedoch vermeiden. Die Kontaktinformationen aller Aufsichtsbehörden innerhalb der Europäischen Union sind öffentlich verfügbar. Gleiches gilt für die Datenschutzbeauftragten von Kunden und Geschäftspartnern.

3. Rechtssichere Texte für Benachrichtigungen formulieren

Bei Datendiebstahl sind die Datenschutzbeauftragten der Unternehmen, die zuständigen Landesbehörden und natürlich die Betroffenen selbst zu informieren. In Krisensituationen kommt es auf eine möglichst klare, rechtssichere und vor allem individuelle Information aller Beteiligten an. Organisationen sollten sicherstellen, dass Verantwortliche mit freigegebenen Vorlagen für unterschiedliche Informationstexte ausgestattet werden und diese in bestehenden ITSM- und ESM-Lösungen hinterlegen können.

Die dazu notwendigen Vorbereitungen erfordern eine enge Abstimmung zwischen Fach- und Rechtsabteilungen sowie den Kommunikationsteams. Doch der Aufwand lohnt sich, denn im Falle eines auftretenden Datenschutzproblems wird der Informationsprozess enorm beschleunigt und kann in vielen Fällen sogar automatisiert werden.
Vorteil: IT- und Sicherheitsexperten können die Situation sofort analysieren und umgehend entsprechende Gegenmaßnahmen ergreifen oder zeitnah Backups einspielen.

4. Erstellung und Pflege einer Datenkarte

Tritt ein Krisenfall ein und sind Unternehmen nicht vorbereitet, müssen ITSM-Verantwortliche und Führungskräfte erst mühsam herausfinden

  • welche Anwendung betroffen ist,

  • wo personenbezogene Daten im Spiel sind und

  • wie kritisch die Situation tatsächlich ist.

Diese Herausforderung lässt sich mit einer detaillierten Datenkarte lösen. Sie enthält Informationen zu unternehmensweit eingesetzten Business-Anwendungen. Sie zeigt meist in Tabellenform, wo welche personenbezogenen Daten gespeichert sind und welche Anwendungen und Mitarbeiter darauf Zugriff haben. Darin kann auch hinterlegt werden, ob die Aufsichtsbehörden überhaupt involviert werden müssen und wer gegebenenfalls zu informieren ist.

Beispiel für eine Datenkarte mit fiktiven Namen.
Beispiel für eine Datenkarte mit fiktiven Namen.
Foto: Efecte

Fazit: IT-Leiter und Service-Manager werden zu Change Agents

Die Datenschutz-Grundverordnung soll den Umgang mit personenbezogenen Daten neu regeln. Die Praxis wird zeigen, ob dies europaweit tatsächlich gelingt. Doch eines ist sicher: Organisationen müssen sich darauf vorbereiten - ob sie wollen oder nicht.

Ähnlich wie beim Enterprise Service Management (ESM) starten entsprechende Projekte oft in der IT und werden dann schrittweise auf andere Abteilungen ausgedehnt. Funktional verantwortlich ist der Bereich IT Operations. IT-Führungskräfte sollten sich dieser Situation bewusst sein und möglichst zügig mit der Vorbereitung beginnen.

IT-Leiter und Service Manager kommt hier eine besondere Rolle zu: Sofern eine ITSM-Lösung vorhanden ist, können sie ihren Teams Best Practices vorbereiten und entsprechende Projekte später aktiv vorantreiben. Sie avancieren damit zu Change Agents für das gesamte Unternehmen.

Eines sollten sie dabei immer im Hinterkopf behalten: Wie jedes IT-Projekt ist auch die Umsetzung der DSGVO eine Teamleistung. Entsprechende Projekte können nur dann erfolgreich sein, wenn Beteiligte von deren Nutzen überzeugt sind und produktiv zusammenarbeiten. Deshalb ist es sinnvoll, frühzeitig den CIO ins Boot zu holen und zeitnah Führungskräfte der einzelnen Fachabteilungen zu involvieren.