DSGVO – Risikomanagement statt Panik

 

Eine humorvolle und somit nicht so ernst gemeinte Betrachtung mit der aufkommenden DSGVO Panik umzugehen…

Heute ist der 26.05.2018 die Übergangsfrist der DSGVO ist abgelaufen – nun ist sie endlich in Kraft. Der erste Kaffee beginnt seine Arbeit und ich denke zurück wie uns in den letzten Monaten die IT Branche wieder einmal mit Schreckensmeldungen „Strafen bis zu 4% des Konzernumsatzes, 20 Mio. EUR“ und gleichzeitigen heilbringenden Versprechungen wie „DSGVO Fit Check“ oder „DSGVO compliant mit …“ vor uns hergejagt hat.

Die Tatsache, dass es schon die längste Zeit Gesetze zum Datenschutz gegeben hat und diese genauso umzusetzen waren wie die DSGVO und DSG 2018 blieb meist unerwähnt. Liegt die Wahrheit nicht einfach in einem nun neu zu bewertenden Risiko?

 

Welche Faktoren wären dafür heranzuziehen?
  • Konzernumsatz in EUR
  • Schwere der Vernachlässigung – damit man weiß ob man 2% oder 4% in das Sparschein einwerfen darf. Es wären da u.a. Datenverarbeitungsverzeichnisse und technische wie organisatorische Maßnahmen ausreichend zu Papier zu bringen – Meldepflichten in Prozesse zu gießen – Genehmigungen in ausreichend klarer Form einzuholen und jemanden zum unkündbaren und weisungsfreien Datenschutzbeauftragten zu bestellen.

 

Welche Wahrscheinlichkeiten einer allfälligen Prüfung der DSB (Datenschutzbehörde) fließen nun in die Kalkulation ein?
  • Wahrscheinlichkeit des Zufallsprinzips
  • Wahrscheinlichkeit aufgrund von gesetzeskonform gemeldeten Data Leaks. Hier ist das kriminelle Interesse an meinen Daten meiner Datenschutzreife gegenüber zu stellen.
  • Wahrscheinlichkeit aufgrund von eingebrachten Beschwerden missachteter Betroffenenrechte

Das Ergebnis ist ein Risikobetrag der eine Entscheidung und entsprechende Priorität nahelegt.

 

Um die Gewichtigkeit der Berechnung im hauseigenen Management noch zu unterstreichen könnten noch einige Details ergänzt werden:
  • Die Strafe kann auch mehrmals ausgesprochen werden
  • Regressansprüche der Eigentümer gegenüber der Geschäftsführung
  • Schadensersatzforderungen erzürnter Betroffenen
  • Imageschaden

 

Diese kurze, bewusst überzeichnete, juristisch unverbindliche und hoffentlich auch etwas humorvolle Ausführung soll Sie dazu bewegen die richtige Geschwindigkeit und Tiefe für Ihre Datenschutz Maßnahmen zu finden. Basis ist die Grundeinstellung eines ordentlichen Kaufmanns europäische Verordnungen ordnungsgemäß einzuhalten und eine Risikoanalyse die die richtige Priorität vorgibt.

Als langjähriger IT-Dienstleister ist die ITSDONE Gruppe der IT-Sicherheit und dem Datenschutz verpflichtet. Die Einhaltung eigener Vorgaben (ISAE3402) und gesetzlicher Vorschriften ist eine Selbstverständlichkeit.

25 Jan
DSGVO – Risikomanagement statt Panik