Blog Viewer

Für den Datenschutz ist eine generelle Information-Governance-Strategie erforderlich

By Ulrich Kampffmeyer posted 03-01-2018 12:10

  
Alle starren zur Zeit auf die DS-GVO wie das Kaninchen auf die Schlange. Nur noch wenige Wochen bis zum 25.5.2018. An diesem Datum endet die Übergangsfrist. Bis zu diesem Termin ist bei vielen Unternehmen in Deutschland noch viel zu erledigen (http://bit.ly/InfoGov-Strategie). 

Die DS-GVO Datenschutz-Grundverordnung bringt viele Änderungen mit sich: Verfahrensverzeichnis, Definition von schützenswerten Daten, Lokalisierung dieser Daten, Prozesse für die Behandlung von Auskünften und Löschanfragen, kontrollierte Löschvorgänge, Prüfung der Einhaltung der Vorgaben, Audit-Trails und viele andere klassische Records-Management-Anforderungen. Auch gilt es nicht allein die GDPR/EU-DS-GVO zu berücksichtigen. Mit dem „DSAnPUG-EU“-Gesetz wurde das BDSG aktualisiert. Mit dem „BDSG-nF“ – im Volksmund statt neue Fassung auch gern einfach BDSG-neu genannt – wurden zahlreiche Erweiterungen, Verschärfungen, Erleichterungen, Anpassungen usw. vorgenommen. Auch die Landesdatenschutzgesetze – zum Teil schon aktualisiert – warten mit weiteren Überraschungen auf. DS-GVO und BDSG-nF treten zusammen am 25.5.2018 in Kraft und ersetzen das bisherige BDSG.

Fokussiert man den Blick zu sehr auf die aktuelle Herausforderung DS-GVO können andere Initiativen des Gesetzgebers leicht übersehen werden. Die DS-GVO steht nicht allein. Weitere europäische Gesetze ergänzen sie. So wurden zum Beispiel bereits Dezember 2016 die „European Commission High Level Privacy & Data Protection Rules“ veröffentlicht. Im Rahmen der EU DSM Digital Single Market Initiative kommen weitere Direktiven auf die Anwender zu, so z.B. die „European Commission ePrivacy Regulation“ vom Oktober 2017, ausgeschrieben „REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC“. Eine der wichtigsten Regelungen betrifft hier den Grundsatz „Privacy by Default”. Im Rahmen der Digital Single Market Regularien wird nicht nur die Verankerung der bisherigen Verordnungen festgeschrieben sondern es werden weitere hinzukommen – für E-Commerce, Portale, Cookies, Profiling, Metadaten, Datenaustausch usw. Die DS-GVO steht am Anfang, nicht am Ende, dieser Entwicklungen. DS-GVO und die übrigen erwähnten Regularien haben den Schutz personenbezogener Daten von Individuen zum Ziel.

Durch den Fokus auf die DS-GVO, die wirklich massive Änderungen für Prozesse und Dokumentation mit sich bringt, ist ein anderes EU-Gesetz bei vielen „unter dem Radar durchgerutscht“: „RICHTLINIE (EU) 2016/943 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“. Diese Richtlinie betrifft den Schutz geheimer, vertraulicher Unternehmensinformationen. Ein anderer Blickwinkel auf das Thema Datenschutz im Unternehmen. Es geht im Prinzip um den Schutz und die Nachweissicherung vertraulicher Informationen von geschäftlicher Bedeutung. Werden diese entwendet, mißbraucht oder öffentlich, gilt es den Nachweis erbringen zu können, dass diese geheimen oder vertraulichen Informationen geschützt waren, einen Wert darstellen (z.B. einen Wettbewerbsvorteil) und Eigentum des Unternehmens sind. Im Gerichtsfall hat man sonst „schlechte Karten“ wenn es um den Nachweis des Mißbrauchs geht, Unterlassungen gefordert werden oder Schadensersatz geltend gemacht werden soll. Immerhin hat die Bundesregierung hierfür kein Anpassungsgesetz wie beim BDSG-nF geschaffen, sodass diese EU-Richtlinie 1:1 im Juni auch in Deutschland in Kraft tritt.

Neben den DS-GVO gibt es so noch zahlreiche andere Schutzbedürfnisse, die besondere Maßnahmen, Nachvollziehbarkeit und Sicherheitsanforderungen nach sich ziehen. Hierzu gehören z.B. im Bereich von Handels- und Steuerrecht die GoBD mit ihren Anforderungen nach geordnete Prozesse und Verfahrensdokumentation; die ISO 9001:2015 mit den Anforderungen an die Dokumentation und Überprüfbarkeit von Prozessen in einem Wissensmanagement, das ITSM mit seinen Anforderungen an Unternehmen die KRITIS unterliegen; Die E-Health-Gesetzgebung mit dem Schutz und der Bereitstellung von Patientendaten; MIFID II bei Banken, FDA part 11 und GxP im Pharma-Bereich, usw., usw. Letztlich sind alles Governance- und Compliance-Anforderungen, die ähnliche Vorgehensweisen und häufig die gleichen Grundinformationen betreffen.

Die Strategie muss daher sein, ein einheitliches Vorgehen für alle Vorgaben auf einer Information-Governance-Infrastruktur zu implementieren, damit nicht für jede der rechtlichen und regulativen Anforderungen eine Insel-Lösung geschaffen wird. Berechtigungssystem, sichere Datenspeicherung, Identifikation betroffener Informationen, IKS Internes Kontrollsystem, E-Mail-Management, Datensicherung, Informationslandkarten usw. sind immer wieder gleichermaßen mit einbezogen. Daher gilt auch für die Lösungen zur Erfüllung der DS-GVO „über den Tellerrand“ zu blicken, zu berücksichtigen was noch folgt und welche Anforderungen mit den gleichen Prozessen und Daten involviert sind. Es gilt generell eine Infrastruktur für Sicherheit, Nachvollziehbarkeit, Auffindbarkeit, Authentizität und all die anderen Records-Management-Grundanforderungen zu schaffen, um Information organisiert und kontrolliert nutzbar zu machen. So gesehen sind die Pönalen der DS-GVO positiv zu sehen, da sie alle Unternehmen zwingen, sich ernsthaft und dauerhaft mit dem Thema Datenschutz und Wert der Information auseinanderzusetzen. Es geht um die Beherrschung der Information, um Information Governance.

Jedes Unternehmen benötigt eine Information-Governance-Strategie!



Originalbeitrag im PROJECT CONSULT Blog http://bit.ly/InfoGov-Strategie
1 comment
5 views

Comments

03-25-2018 05:17

Trump ratifiziert den "Cloud Act" (http://bit.ly/CloudAct)! 

Nebenher, während der Diskussion um das Budget, hat der US Präsident den sogenannten Cloud Act ratifiziert, der es US Behörden erlaubt auch im Ausland auf Daten zuzugreifen. US-Behörden sollen leichteren Zugriff auf im Ausland gespeicherte E-Mails bekommen. Das US-Justizministerium kann im Zuge den Cloud Act Abkommen mit anderen Staaten schließen, um entsprechende Anfragen zu beschleunigen und langwierige diplomatische Prozesse zu umgehen. Letztlich ist das eine Legalisierung was die Geheimdienste längst tun. Ende Juni wird die Entscheidung des Supreme Court erwartet. Dann wird auch der Rechtsstreit um Microsofts Weigerung, Daten aus dem Ausland herauszugeben, zum Ende kommen.

Datenschützer in der EU und in Deutschland sind aufgeschreckt.
- Kann man zukünftig noch Google-Mail oder Outlook-Mail einsetzen?
- Darf man seine Daten der Google-, Amazon- oder Microsoft-Cloud anvertrauen?
- Ist Office365 bei Microsoft noch eine Option (oder muss man wirklich die rückständige Version der Telekom nehmen?)?

Die Entwicklung wird für die Akzeptanz der Cloud noch einmal kritisch - aber wie hieß es so schön - Bequemlichkeit schlägt Datenschutzbedenken.
http://bit.ly/CloudAct

Die meisten Leser und die meisten Kommentare gibt es auf Facebook ;)  https://www.facebook.com/ulrich.kampffmeyer/posts/10155711370979775
Passt dies zusammen?

Dabei geht es nicht nur um die GDPR / DS-GVO und "Privacy Shield" sondern auch um die EU Richtlinie 2016/943 "Geschäftsgeheimnisse" (http://bit.ly/EURL943) die am 1.6.2018 in Kraft tritt.