DSGVO brachte mehr Datenhygiene und auch Bürokratie

Rainer Rehm blickt auf ein Jahr Datenschutzgrundverordnung zurück

[datensicherheit.de, 20.05.2019] In einem aktuellen Kommentar blickt Rainer Rehm, „DPO EMEA und CISO DACH“ bei Zscaler, auf ein Jahr Datenschutzgrundverordnung (DSGVO) zurück – seiner Ansicht nach brachte dieses Jahr durchaus einen Zuwachs an „Datenhygiene“, aber eben auch an Bürokratie.

Datenbeständen oft über mehrere verschiedene Abteilungen verstreut

Rehm: „Im ersten Jahr der europäischen Datenschutzgrundverordnung (DSGVO) kehrte in die Unternehmen eine größere Datenhygiene ein. Sie waren gezwungen, einen besseren Schutz und eine verantwortungsbewusstere Verwaltung der Daten europäischer Bürger zu gewährleisten.“
Um dies zu erreichen, mussten die Unternehmen laut Rehm den Überblick über die Vorhaltung von Datenbeständen erhalten, die oft über mehrere verschiedene Abteilungen verstreut aufbewahrt wurden. Nur auf einer einheitlichen Datenbasis – oftmals als „data dictionary“ oder „data repository“ bezeichnet – habe festgestellt werden können, „ob die Erlaubnis zur Verwendung der personenbezogenen Daten tatsächlich vorliegt“.

Zuweilen überreagiert und große Datenbestände gelöscht

In vielen Fällen hätten Firmen „überreagiert und große Datenbestände gelöscht“, die nicht dem Anspruch der „Double Opt-In“-Zustimmung entsprochen hätten. „Allzu oft geschah dies aufgrund mangelnder Kenntnisse über den richtigen Umgang mit den Datensätzen“, so Rehm.
Zahlreiche Initiativen zur Einholung der Zustimmung seien zudem erst in letzter Minute gestartet worden. In den meisten Fällen habe das jedoch nicht die gewünschte Wirkung nach sich gezogen und in der Folge zu einer „erheblichen Verkleinerung der Datenbanken“ geführt.

Digitale Assets kontrollieren und schützen

„Darüber hinaus mussten Unternehmen neue Technologien einführen, um digitale Assets kontrollieren und schützen zu können, sowie die oftmals zusammenhanglosen Vorgehensweisen zwischen den Abteilungen in Einklang zu bringen. Daraus abteilungsübergreifend Erkenntnisse abzuleiten, ist für die Aktualisierung des Sicherheitsstatus einer Organisation zwingend notwendig“, unterstreicht Rehm.
Die eingeführten Prozesse zur effektiveren Verwaltung der Daten hätten im ersten Jahr der Grundverordnung zu einem besseren Verständnis in Unternehmen geführt, „wo personenbezogene Daten eigentlich vorgehalten werden und wer darauf Zugang hat“. Die Mitarbeiter seien durch die Erklärungen und Kampagnen besser über die mit der Datenverarbeitung notwendigen Schutzziele und Maßnahmen vertraut gemacht worden, so dass davon ausgegangen werden könne, das zukünftige Datenerhebungen bereits mit „Privacy by Default“ erfolgen würden. „Diese getroffenen Maßnahmen bilden nun die Voraussetzung, um im Falle eines Datenverlustes die gesetzlichen Meldepflichten erfüllen zu können, sorgte aber gleichzeitig für Ordnung“, betont Rehm.

Dokumentationspflicht: Weder Standardisierung der Arbeitsschritte noch einheitliche Vorlagen

Während die DSGVO somit zu einer höheren „Datenhygiene“ geführt habe, „steigerte sich damit einhergehend die Bürokratie“. Um Compliance nachweisen zu können, seien eine Vielzahl von Vorlagen und Formularen erforderlich, die den Verantwortlichen dabei helfen sollten, den Überblick über die implementierten Prozesse zu belegen. Rehm erinnert: „Dokumente für das Datenmanagement und die Datenverarbeitung der gesamten Lieferkette erforderten vor der Umsetzung der Verordnung unzählige Interaktionen zwischen allen beteiligten Parteien und zogen haufenweise Papierstapel nach sich.“
Bisher gebe es noch keine Standardisierung dieser Arbeitsschritte der Dokumentationspflicht oder gar einheitliche Vorlagen. Die möglichen Zertifizierungen auf der Grundlage des Artikels 42 der DSGVO aber würden in der Folge wohl einen freiwilligen Gang zur Vereinfachung des Nachweises auslösen.

Foto: Zscaler

Rainer Rehm: Mögliche Zertifizierungen auf Grundlage des Artikels 42 DSGVO werden wohl zur Vereinfachung des Compliance-Nachweises führen.

DSGVO: Noch zu viel Raum für Interpretationen

Trotz aller Bemühungen bleibe die Unsicherheit jedoch aufgrund der Komplexität bestehen, „ob Unternehmen sich nun konform zur Datenschutzrichtlinie verhalten oder nicht“. Die DSGVO in ihrer anfänglichen Fassung lasse „nämlich noch zu viel Raum für Interpretationen“.
Die ersten, verhängten Bußgelder durch die CNIL in Frankreich und das ICO im Vereinigten Königreich gegen Internet-Giganten wie Google und Facebook zeigten indes, dass der Datenschutz inzwischen aber von Kontrollgremien ernstgenommen werde – „besonders, wenn Unternehmen die Regeln zur geforderten Transparenz für den Anwender nicht einhalten“, so Rehm.

Weitere Informationen zum Thema:

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance