EU-DSGVO – Anforderungen bei der Integration in bereits bestehende Information Security Prozesse und den nachfolgenden verordnungskonformen Betrieb

Master Studiengang Information Security

Ing. Lukas Kirchner, BSc

Dozent: Dipl.-Ing. Herfried Geyer

Ausgangslage

Im Mai 2018 ist die bereits 2016 beschlossene EU-Datenschutz Grundverordnung (EU-DSGVO) - zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Kraft getreten. Mit dieser EU-DSGVO will man ein einheitliches Datenschutzniveau in allen Mitgliedsstaaten erreichen. In Österreich galt bislang das Datenschutzgesetz 2000 (DSG 2000), welches hiermit überholt wurde. Durch das bisher bestehende Gesetz sollten Unternehmen eigentlich auf bereits bestehende Dokumentationen und Umsetzungen aufbauen können – aufgrund der bislang jedoch vergleichsweise geringen Strafen wurde dieses Thema teilweise vernachlässigt und gewinnt nun an sehr hoher Bedeutung (Bußgelder von bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens).

Nun stellt sich die Frage, wie die EU-DSGVO sinnvoll in einem Unternehmen umgesetzt werden kann, welche vorhandenen Ressourcen genutzt werden können, inwieweit in bestehende Prozesse eingegriffen werden muss und wie der weitere verordnungskonforme Betrieb gewährleistet werden kann. Aus aktuellem Anlass ist auch das Thema Home-Office relevant, welches aufgrund der vergangenen globalen Gesundheitslage für viele Arbeitnehmerinnen und Arbeitnehmer eingeführt wurde.

Ziel

Ziel dieser Arbeit ist eine Übersicht der Arbeitsschritte die notwendig sind, um ein Unternehmen EU-DSGVO konform vorzubereiten (Stichwort: Rechte der Betroffenen/Pflichten der Verantwortlichen). Es soll auch betrachtet werden, wie bereits bestehende Prozesse von einem Informationssicherheits-Managementsystem (ISMS) nach der internationalen Norm ISO 27001 im Rahmen der EU-DSGVO-Umsetzung genutzt werden können und welche Herausforderungen sich für Unternehmen ergeben, die ihren Mitarbeiterinnen und Mitarbeitern Home-Office ermöglichen. 

Ergebnis

Im Rahmen der Arbeit konnte gezeigt werden, welche Rechte den Betroffenen nach der neuen EU-DSGVO zustehen und welche Pflichten sich daraus für die sogenannten Verantwortlichen, also die Unternehmen welche personenbezogene Daten verarbeiten, ergeben. Ist ein Unternehmen bereits nach ISO 27001 zertifiziert, können daraus einige Synergien genutzt werden und wertvolle Ressourcen gespart werden. Auch das Thema Home-Office wurde in Bezug auf den Datenschutz beleuchtet und es konnte dargestellt werden, welche Themengebiete dabei besonders von Relevanz sind.