Hürden beim technischen Datenschutz in Unternehmen
Datenschutzbeauftragte Personen haben oftmals nicht das technische Know-how, um alle komplexen Abläufe in der IT ausreichend zu verstehen. Seminare zum technischen Datenschutz helfen, diese Hürde in Unternehmen abzubauen.
Die DSGVO ist nun seit mehr als vier Jahren in allen EU-Mitgliedsstaaten bindend. Dennoch gibt es immer wieder Herausforderungen beim Umgang mit personengebundenen Daten und deren Schutz. Zu den Hürden, die sich für Unternehmen in puncto Datenschutz auftun, gehören besonders oft Fragen rund um die technische Umsetzung. Dabei wird in einigen Fällen angenommen, eine angemessene IT-Sicherheit würde genügen, um die Anforderungen an den technischen Datenschutz zu erfüllen. Dem ist jedoch nicht so.
Das unterscheidet IT-Sicherheit von Datenschutz
Sicherheitsmaßnahmen der IT bilden eine solide Grundlage für den technischen Datenschutz, ersetzen ihn jedoch nicht. Die IT-Sicherheit soll die datenverarbeitende Stelle schützen, vor Datenverlust sicherstellen sowie Verfügbarkeit, Vertraulichkeit und Integrität bewahren. Der Zweck technischer Datenschutzmaßnahmen liegt dagegen darin, die Interessen der betroffenen Personen zu schützen. Das gelingt, indem die Verknüpfung von personenbezogenen Daten, Ereignissen und Prozessen verhindert und Transparenz gesichert wird. Im Bereich der konkreten Maßnahmen können sich die Vorgehensweisen von IT-Sicherheit und Datenschutz ergänzen. Während es bei der IT jedoch stets um die automatisierte Datenverarbeitung geht, schließt der Datenschutzbegriff alle Arten ein.
Was ist unter technischem Datenschutz zu verstehen?
In der DSGVO geht es um TOM – kurz für: technische und organisatorische Maßnahmen. Diese muss jedes Unternehmen ergreifen, um die Datenschutzziele zu erreichen. Unter die organisatorischen Maßnahmen fallen beispielsweise spezielle Arbeitsanweisungen oder das 4-Augen-Prinzip. Der technische Datenschutz umfasst dagegen alle Vorgehensweisen, die sich physisch und technologisch umsetzen lassen. Dazu zählen zum Beispiel allgemeine Verschlüsselungen, Backups und das Identity- und Accessmanagement.
Vor allem die DSGVO-Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen – und 32 – Sicherheit der Verarbeitung – befassen sich mit der technischen Umsetzung. Dabei gibt es drei zentrale datenschutzspezifische Schutzziele, die grundsätzlich über die Maßnahmen der IT-Sicherheit hinausgehen:
• Transparenz
Sowohl die datenverarbeitenden Personen im Unternehmen als auch die Betroffenen und Aufsichtsbehörden sowie Kontrollinstanzen müssen die Datenverarbeitung transparent nachvollziehen können. Als Hürden beim technischen Datenschutz können sich hier zum Beispiel KIs und Algorithmen erweisen.
• Nicht-Verkettbarkeit
Darunter ist zu verstehen, dass Daten, die zu verschiedenen Zwecken und/oder von unterschiedlichen Verantwortlichen erfasst wurden, nicht einfach zusammengeführt werden dürfen. Damit soll sichergestellt werden, dass sich zwei Datensätze nicht einfach verbinden lassen.
• Intervenierbarkeit
Grundsätzlich muss gewährleistet werden, dass Betroffene ihre Rechte durchsetzen können. Das betrifft zum Beispiel die Datenlöschung oder -berichtigung. Eine Hürde kann dabei durch die Blockchaintechnologie entstehen, die weder Änderungen erlaubt noch Löschungen vorsieht.
Mehr Sicherheit und Verständnis für technischen Datenschutz durch Seminare
Datenschutz ist eine zentrale und äußerst wichtige Aufgabe in jedem Unternehmen, auch weil Verstöße mit sehr hohen Geldbußen und Imageverlust bestraft werden können. Deshalb ist es für kleine und mittelständische Betriebe ebenso empfehlenswert wie für große Konzerne, dass alle datenschutzbeauftragten Personen auch ein gutes Verständnis für die technischen Maßnahmen und Umsetzungen haben.
Ist das noch nicht der Fall, helfen Seminare weiter, die das nötige Know-how über technischen Datenschutz vermitteln. Inhalte solcher Kurse von Anbietern, die sich auf Datenschutzthemen spezialisiert haben, sind unter anderem alle rechtlichen Grundlagen, Firmennetzwerke, Firewalls, Verschlüsselungen, TCI/IP, Rollen- und Rechtevergabe, Authentifizierungsmethoden und praktische Beispiele.