Für den Datenschutz ist eine generelle Information-Governance-Strategie erforderlich

01.03.2018

Alle starren zur Zeit auf die DS-GVO wie "das Kaninchen auf die Schlange". Nur noch wenige Wochen bis zum 25.5.2018. An diesem Datum endet die Übergangsfrist. Bis zu diesem Termin ist bei vielen Unternehmen in Deutschland noch viel zu erledigen. Die DS-GVO Datenschutz-Grundverordnung bringt viele Änderungen mit sich: Verfahrensverzeichnis, Definition von schützenswerten Daten, Lokalisierung dieser Daten, Prozesse für die Behandlung von Auskünften und Löschanfragen, kontrollierte Löschvorgänge, Prüfung der Einhaltung der Vorgaben, Audit-Trails und viele andere klassische Records-Management-Anforderungen. Auch gilt es nicht allein die GDPR/EU-DS-GVO zu berücksichtigen. Mit dem „DSAnPUG-EU“-Gesetz wurde das BDSG aktualisiert. Mit dem „BDSG-nF“ – im Volksmund statt neue Fassung auch gern einfach BDSG-neu genannt – wurden zahlreiche Erweiterungen, Verschärfungen, Erleichterungen, Anpassungen usw. vorgenommen. Auch die Landesdatenschutzgesetze – zum Teil schon aktualisiert – warten mit weiteren Überraschungen auf. DS-GVO und BDSG-nF treten zusammen am 25.5.2018 in Kraft und ersetzen das bisherige BDSG.

Fokussiert man den Blick zu sehr auf die aktuelle Herausforderung DS-GVO können andere Initiativen des Gesetzgebers leicht übersehen werden. Die DS-GVO steht nicht allein. Weitere europäische Gesetze ergänzen sie. So wurden zum Beispiel bereits Dezember 2016 die „European Commission High Level Privacy & Data Protection Rules“ veröffentlicht. Im Rahmen der EU DSM Digital Single Market Initiative kommen weitere Direktiven auf die Anwender zu, so z.B. die „European Commission ePrivacy Regulation“ vom Oktober 2017, ausgeschrieben „REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC“. Eine der wichtigsten Regelungen betrifft hier den Grundsatz „Privacy by Default”. Im Rahmen der Digital Single Market Regularien wird nicht nur die Verankerung der bisherigen Verordnungen festgeschrieben sondern es werden weitere hinzukommen – für E-Commerce, Portale, Cookies, Profiling, Metadaten, Datenaustausch usw. Die DS-GVO steht am Anfang, nicht am Ende, dieser Entwicklungen. DS-GVO und die übrigen erwähnten Regularien haben den Schutz personenbezogener Daten von Individuen zum Ziel.

Durch den Fokus auf die DS-GVO, die wirklich massive Änderungen für Prozesse und Dokumentation mit sich bringt, ist ein anderes EU-Gesetz bei vielen „unter dem Radar durchgerutscht“: „RICHTLINIE (EU) 2016/943 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“. Diese Richtlinie betrifft den Schutz geheimer, vertraulicher Unternehmensinformationen. Ein anderer Blickwinkel auf das Thema Datenschutz im Unternehmen. Es geht im Prinzip um den Schutz und die Nachweissicherung vertraulicher Informationen von geschäftlicher Bedeutung. Werden diese entwendet, mißbraucht oder öffentlich gilt es den Nachweis erbringen zu können, dass diese geheimen oder vertraulichen Informationen geschützt waren, einen Wert darstellen (z.B. einen Wettbewerbsvorteil) und Eigentum des Unternehmens sind. Im Gerichtsfall hat man sonst „schlechte Karten“ wenn es um den Nachweis des Mißbrauchs geht, Unterlassungen gefordert werden oder Schadensersatz geltend gemacht werden soll. Immerhin hat die Bundesregierung hierfür kein Anpassungsgesetz wie beim BDSG-nF geschaffen, sodass diese EU-Richtlinie 1:1 im Juni 2018 auch in Deutschland in Kraft tritt.

Neben den DS-GVO gibt es so noch zahlreiche andere Schutzbedürfnisse, die besondere Maßnahmen, Nachvollziehbarkeit und Sicherheitsanforderungen nach sich ziehen. Hierzu gehören z.B. im Bereich von Handels- und Steuerrecht die GoBD mit ihren Anforderungen nach geordnete Prozesse und Verfahrensdokumentation; die ISO 9001:2015 mit den Anforderungen an die Dokumentation und Überprüfbarkeit von Prozessen in einem Wissensmanagement, das ITSM mit seinen Anforderungen an Unternehmen die KRITIS unterliegen; Die E-Health-Gesetzgebung mit dem Schutz und der Bereitstellung von Patientendaten; MIFID II bei Banken, FDA part 11 und GxP im Pharma-Bereich, usw., usw. Letztlich sind alles Governance- und Compliance-Anforderungen, die ähnliche Vorgehensweisen und häufig die gleichen Grundinformationen betreffen.

Die Strategie muss daher sein, ein einheitliches Vorgehen für alle Vorgaben auf einer Information-Governance-Infrastruktur zu implementieren, damit nicht für jede der rechtlichen und regulativen Anforderungen eine Insel-Lösung geschaffen wird. Berechtigungssystem, sichere Datenspeicherung, Identifikation betroffener Informationen, IKS Internes Kontrollsystem, E-Mail-Management, Datensicherung, Informationslandkarten usw. sind immer wieder gleichermaßen mit einbezogen. Daher gilt auch für die Lösungen zur Erfüllung der DS-GVO „über den Tellerrand“ zu blicken, zu berücksichtigen was noch folgt und welche Anforderungen mit den gleichen Prozessen und Daten involviert sind. Es gilt generell eine Infrastruktur für Sicherheit, Nachvollziehbarkeit, Auffindbarkeit, Authentizität und all die anderen Records-Management-Grundanforderungen zu schaffen, um Information organisiert und kontrolliert nutzbar zu machen. So gesehen sind die Pönalen der DS-GVO positiv zu sehen, da sie alle Unternehmen zwingen, sich ernsthaft und dauerhaft mit dem Thema Datenschutz und Wert der Information auseinanderzusetzen. Es geht um die Beherrschung der Information, um Information Governance.

Jedes Unternehmen benötigt eine Information-Governance-Strategie!

 

Dr. Ulrich Kampffmeyer

Kommentare

Neuen Kommentar schreiben

*
Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.