Datenschutz als Chance für den IT-Dienstleister

Es kommt immer wieder vor, dass der Datenschutz von IT-Dienstleistern als Bedrohung wahrgenommen wird. „Jetzt werden wir kontrolliert“ ist noch der neutralste Kommentar, den Datenschutzbeauftragte in dem Zusammenhang hören. Dabei ziehen Datenschutz und IT-Dienstleister am gleichen Strang.

Überschneidungen zwischen Datenschutz und IT-Sicherheit

Der Artikel 24 der DSGVO (nachfolgend im Auszug zitiert) verpflichtet Unternehmen, sich mit IT-Sicherheit auseinander zu setzen.

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. […]“

Die Vorgabe, technische Maßnahmen zum Datenschutz zu ergreifen, ist eine Anweisung, die informationstechnische Infrastruktur des Unternehmens, welche Daten verarbeitet, mit technologischen Maßnahmen zu schützen. Um Datenschutz betreiben zu können ist es unumgänglich, seine IT-Infrastruktur im Auge und im Griff zu haben.

Auch wenn sich die DSGVO vornehmlich auf den Schutz von personenbezogenen Daten bezieht, ist in vielen Unternehmen gar keine oder keine große Unterscheidung zwischen den personenbezogenen Daten und den Daten, welche zum Betrieb des Unternehmens notwendigen sind, möglich.

Daten als Existenzgrundlage

Aus dem immensen Wert, dem man heute digitalen Daten zurechnen muss, ergibt sich die Notwendigkeit für Unternehmen, diese zu schützen. Berücksichtigt man zum Arbeitsausfall und dem Imageverlust durch Hackerangriffe auch noch die hohen Bußgelder, die in einigen Fällen bei Datenschutzverstößen ausgesprochen wurden, ergibt sich ein finanzieller Vorteil, wenn an Datenschutz nicht nur gedacht wird, sondern dieser ein aktiver Bestandteil der Unternehmenskultur ist.

Der Anstieg der Cyberkriminalität und dadurch immer höher ausfallender Schäden (Quelle) erfordern bessere Sicherheits-, Sicherungs- und Notfallkonzepte. Hierin liegt die Stärke von gutem Datenschutz.

Die wichtigsten Dokumente hierbei sind:

Das Datenschutzkonzept (DSK) gibt eine Übersicht über die Art. den Umfang, die Verarbeitung und den Zweck der personenbezogenen Daten.

Zum Nachweis wie, wo Daten erhoben, gespeichert, verarbeitet werden und aus welchem Zweck dies geschieht, wird ein Verfahrensverzeichnis (VVZ) erstellt.

Mit Hilfe des Berechtigungskonzeptes (BK) lässt sich bestimmen, wer auf welche Daten welche Art von Zugriff hat und auf welche Art dies geschieht.

Die technischen und organisatorischen Maßnahmen (TOM) werden durch Artikel 32 der DSGVO vorgeschrieben, um die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten. Hierbei muss ein risikoangemessenes Schutzniveau unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für Rechte und Freiheiten natürlicher Personen hergestellt werden.

Zusammenarbeit von IT-Dienstleistern und Datenschutzbeauftragten

Um eine größtmögliche Datensicherheit zu garantieren, ist die Trennung von IT-Dienstleister und Datenschutzbeauftragten in unabhängige Instanzen unabdingbar.

Die Aufgabe des Datenschutzbeauftragten ist es, Konzepte, Maßnahmen und Verzeichnisse zu erarbeiten, welche bei Umsetzung durch den IT-Dienstleister die Sicherheit der personenbezogenen Daten gewährleisten. Anhand der vom Datenschutzbeauftragten durchgeführten Risikoanalysen kann der IT-Dienstleister optimal einschätzen, welche Bereiche besonders geschützt werden müssen und welche Daten eine getrennte Speicherung erforderlich machen.

Der IT-Dienstleister ist für die Auswahl der eingesetzten Technik, Software, Systeme, Verschlüsselung und dafür aufgewendeten Kosten verantwortlich. Ihm obliegt es, die Systeme zu warten und zu erneuern sowie auf aktuelle Gefahrenlagen zu reagieren. Er ist für den reibungslosen Betrieb der IT-Infrastruktur verantwortlich. Im Fall eines datenschutzrelevanten Vorfalls ist es die Aufgabe des IT-Dienstleisters, diesen Vorfall aufzuarbeiten und dem Datenschützer über den Vorfall zu informieren, damit dieser den Geschäftsführer beim Melden des Vorfalles bei der Datenschutzbehörde unterstützen kann.

Fazit:

Durch die Nutzung von unabhängigen Datenschutzbeauftragten und IT-Dienstleistern erhält der Kunde eine optimale Beratung und auf seine Bedürfnisse angepasste Absicherung seiner IT-Infrastruktur, welche sich durch die regelmäßige Überprüfung durch den Datenschutzbeauftragten auch an die sich verändernden Risikolagen anpasst.

Der IT-Dienstleiser bekommt durch den Datenschutzbeauftragen Empfehlungen hinsichtlich der einzusetzenden technischen Maßnahmen, welche seinem Kunden gegenüber ein weiteres Verkaufsargument durch eine unabhängige Quelle darstellen.

Haben sich Datenschutz und IT-Abteilung bei Ihnen schon an einen Tisch gesetzt und die Schnittstellen definiert? Wird der Datenschutz bei IT-Projekten zu Beginn einbezogen? Nutzen die DSB das Knowhow der IT-Abteilung? Das Team der dacuro GmbH besteht aus JuristInnen und IT-Spezialisten und hilft Ihnen, Datenschutz und IT-Sicherheit gut miteinander zu verbinden. Gerne erläutern wir Ihnen in einem kostenfreien Erstgespräch, wie das bei Ihnen aussehen kann.