Die Umsetzung der Datenschutz-Grundverordnung im Rahmen eines Datenschutzmanagementsystems

Bachelor Studiengang IT Security

Für die Zielgruppe der kleinen und mittleren Unternehmen (KMU), deren Kerntätigkeit in der Verarbeitung sensibler Daten gemäß Art. 9 und 10 liegt

Lena-Valerie Rechberger, BSc

Dozent: Dipl.-Ing. Herfried Geyer

Ausgangslage

Die Datenschutz-Grundverordnung, welche seit Mai 2018 für Unternehmen der EU gilt, sorgte in Österreich für große Aufregung. Durch die Reform der Datenschutzgesetze ergeben sich zahlreiche, komplexe Anforderungen, die von den Betrieben umgesetzt werden müssen. Besonders im Bereich der sensiblen personenbezogenen Daten gelten strenge Vorschriften, die beispielsweise Einrichtungen betreffen, in denen Gesundheitsdaten verarbeitet werden. Um diese kritischen Daten zu schützen und die Einhaltung der gesetzlichen Vorgaben nachweisen zu können, ist ein Managementsystem für den Datenschutz unerlässlich. Doch dies stellt vor allem kleine und mittlere Unternehmen, die einen Großteil der österreichischen Wirtschaft ausmachen, vor große Herausforderungen. Vorhandene Lösungsansätze richten sich an große Unternehmen mit entsprechenden Strukturen und eignen sich aufgrund des Umfangs und der Komplexität kaum für den Einsatz in kleineren, ressourcenschwachen Betrieben.

Ziel

Ziel der Arbeit ist daher, die Entwicklung eines vereinfachten Datenschutzmanagementsystems für die Umsetzung der Anforderungen der Datenschutz-Grundverordnung, welches an kleine und mittlere Unternehmen, die sensible personenbezogene Daten verarbeiten, angepasst ist.

Ergebnis

Im Rahmen dieser Arbeit wurden zunächst die konkreten gesetzlichen Anforderungen für die Zielgruppe identifiziert, die sich aus der Datenschutz-Grundverordnung ergeben. Außerdem wurden vorhandene Lösungsansätze für die Implementierung eines Datenschutzmanagementsystems auf ihre Eignung für die Zielgruppe untersucht, ein passendes Rahmenwerk ausgewählt und dieses inhaltlich analysiert. Das gewählte Werk dient als Grundlage für die Ableitung eines Konzepts für ein vereinfachtes Managementsystem. Als Ergebnis dieser Arbeit wird somit ein Rahmenwerk zur ganzheitlichen Umsetzung des Datenschutzes für kleine und mittlere Unternehmen vorgestellt, das helfen soll, die Anforderungen der Datenschutz-Grundverordnung bezüglich der Verarbeitung sensibler personenbezogener Daten rechtskonform und nachweisbar umzusetzen. Dazu werden die 8 Schritte, die sich regelmäßig wiederholende Abläufe darstellen und für die Implementierung erforderlich sind, detailliert erläutert und bieten somit einen klaren Leitfaden für die Umsetzung, an dem sich betroffene Unternehmen orientieren können.