https://dr-christian-knebel.de/tags/compliance/Recent content in Compliance on Dr. Christian KnebelHugo -- gohugo.iode-deTue, 31 May 2016 20:00:00 +0200https://dr-christian-knebel.de/posts/2016-05-monatsrueckblick/Tue, 31 May 2016 20:00:00 +0200https://dr-christian-knebel.de/posts/2016-05-monatsrueckblick/<p>Am 25. Mai ist die <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679" target="_blank" rel="noopener noreferrer" > Datenschutz-Grundverordnung </a> in Kraft getreten. Was die ersten Reaktionen zeigen: Das Bewusstsein für die kommenden Anforderungen ist gestiegen. Was auch sichtbar wird: Die zwei Jahre Übergangszeit werden für viele Behörden nicht ausreichend sein, wenn nicht sofort begonnen wird.</p> <h2 id="was-die-ersten-reaktionen-zeigen">Was die ersten Reaktionen zeigen</h2> <p>In Bundesbehörden, Länderministerien und Kommunen ist die <a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679" target="_blank" rel="noopener noreferrer" > DSGVO </a> jetzt ein Thema. Was die Reaktionen unterscheidet: Manche Organisationen haben bereits vor Mai mit der Vorbereitung begonnen. Andere starten jetzt, mit dem Amtsblatt als Startpistole.</p> <p>Was die Behörden, die früh begonnen haben, bereits wissen: Die Erstellung eines vollständigen Datenverarbeitungsverzeichnisses dauert länger als erwartet. Was das erfordert, ist kein IT-Projekt, sondern ein organisatorisches: alle Stellen in der Behörde müssen ihre Datenverarbeitungen dokumentieren. Das ist Handarbeit, die nicht automatisiert werden kann.</p> <p>Was das für die verbleibenden 24 Monate bedeutet: Wer jetzt beginnt, hat eine realistische Chance, bis Mai 2018 vorbereitet zu sein. Wer noch wartet, riskiert, im Mai 2018 den Betrieb unter nicht-konformen Bedingungen fortzuführen.</p> <h2 id="was-verwaltungen-in-der-übergangszeit-konkret-tun-sollten">Was Verwaltungen in der Übergangszeit konkret tun sollten</h2> <p>Drei Schritte, die sofort begonnen werden können: Erstens, Bestandsaufnahme aller Datenverarbeitungen. Welche Daten werden wo erhoben, gespeichert, verarbeitet, weitergegeben? Zweitens, Bewertung, welche dieser Verarbeitungen einer Datenschutz-Folgenabschätzung bedürfen. Drittens, Prüfung, ob die bestehenden technischen und organisatorischen Maßnahmen den DSGVO-Anforderungen entsprechen.</p> <p>Diese drei Schritte können parallel zu laufendem Betrieb durchgeführt werden. Was sie erfordern: Kapazität, die explizit dafür freigemacht wird. DSGVO-Vorbereitung passiert nicht nebenbei.</p> <p>Was konkret nicht helfen wird: das Thema zu delegieren, ohne Ressourcen bereitzustellen. Ein Datenschutzbeauftragter, der die DSGVO-Vorbereitung als Einzelperson erledigen soll, kann das nicht. Was nötig ist, sind behördenweite Prozesse, die vom Management getragen werden.</p> <h2 id="was-die-dsgvo-für-neue-digitalisierungsprojekte-bedeutet">Was die DSGVO für neue Digitalisierungsprojekte bedeutet</h2> <p>Was ab sofort gilt: Jedes neue Digitalisierungsprojekt, das bis Mai 2018 live geht oder danach betrieben wird, sollte von Anfang an DSGVO-konform geplant werden. Privacy by Design ist kein optionales Add-on, sondern ein Grundsatz.</p> <p>Was das für Projektmethodik bedeutet: Datenschutzanforderungen gehören in das Lastenheft, nicht in die abschließende Revision. Wer diesen Grundsatz in seinen E-Government-Projekten verankert, spart nachträgliche Anpassungskosten.</p> <p>Was die DSGVO für die Zusammenarbeit mit IT-Dienstleistern bedeutet: Auftragsverarbeitungsverträge müssen vor Projektbeginn vorliegen. Was das konkret heißt: Einkauf und Datenschutz müssen früh in Beschaffungsprozesse eingebunden werden.</p> <h2 id="hat-sie-das-thema-interessiert">Hat Sie das Thema interessiert?</h2> <p>Wenn Sie die DSGVO-Übergangszeit für Ihre Behörde strukturiert angehen wollen: Das Kontaktformular unten ist der direkteste Weg.</p>