DQS im Dialog
DQS Website Abonnieren

DS-GVO: Erfahrungen mit der DS-GVO bei INSITE

Darüber, wie ein professionelles Datenschutzmanagement gemäß der neuen DS-GVO zu mehr Rechtssicherheit beitragen kann, berichtet Dr. Matthias Conradt, Geschäftsführer der INSITE-Interventions GmbH, in einem persönlichen Gespräch. Lesen Sie mehr.
Interview © INSITE-Interventions GmbH DS-GVO Erfahrungen

Die im Mai 2016 in Kraft getretene EU-Datenschutz-Grundverordnung (DS-GVO) ist in Deutschland seit Mai 2018 verbindlich umzusetzen. Allerdings tun sich Unternehmen auch nach über einem Jahr noch immer schwer mit der Erfüllung der gesetzlichen Anforderungen. Mit Blick auf Compliance, aber auch auf die empfindlichen Geldbußen, die bei Verstößen drohen, sollten sich betroffene Unternehmen schnellstens Klarheit verschaffen – zum Beispiel mit einem Datenschutzaudit der DQS.

Herr Dr. Conradt, welche Rolle spielen personenbezogene Daten bei der Arbeit von INSITE?

Als Anbieter für Employee Assistance Programme / Externe Mitarbeiterberatung verarbeiten wir bei unserer Beratungstätigkeit unter anderem besondere personenbezogene Daten, wie Hintergründe zu privaten, familiären, beruflichen und gesundheitlichen Anliegen unserer Klienten. Datenschutz, IT-Sicherheit und Vertraulichkeit sind deshalb die wichtigste Währung für unsere Arbeit.

Wofür benötigen Sie diese personenbezogenen Daten?

Wir wollen auf jede Anfrage sehr schnell, persönlich und angemessen reagieren können und unseren Klienten die Unterstützung geben, die sie in einer bestimmten Situation benötigen. So helfen wir unseren Kunden, ihre Mitarbeiter im grünen Bereich zu halten.

Wie sind Sie vor Inkrafttreten der DS-GVO mit personenbezogenen Daten umgegangen?

Als Psychotherapeuten oder Psychiater sind uns die Themen Schweigepflicht und Datenschutz ohnehin vertraut. Um jedoch datenschutzrechtliche Anforderungen sicher und vollumfänglich zu erfüllen, wozu übrigens auch ein gewisses Maß an IT-Sicherheit gehört, haben wir uns bereits 2013 entschlossen, professionelles Datenschutzmanagement zu betreiben. Wir wollten damit auch größeren Unternehmen mit mehreren tausend Mitarbeitern ein attraktiver Partner sein.

Wie haben Sie sich auf das Datenschutzaudit durch die DQS vorbereitet?

Zur Vorbereitung auf das erste Audit haben wir uns von einem externen Anbieter beraten lassen, das war sehr hilfreich. Seitdem führt die DQS jährlich ein externes Datenschutzaudit durch, das wir unsererseits durch interne Audits, Schulungen und Prüfprozesse vorbereiten. Mit den regelmäßigen Auditberichten von der DQS erhalten wir wertvolle Hinweise, in welche Richtung wir uns weiter verbessern können und vor allem, wo es Sicherheitslücken gibt. So überprüfen wir unsere zentralen IT-Systeme regelmäßig auf Sicherheit, Datenweitergabe und Datenspeicherung.

Da waren Sie für den Übergang auf die neue DS-GVO ja bereits gewappnet?

Das stimmt! Wir hatten tatsächlich das meiste schon installiert, um die neuen Anforderungen der DS-GVO sicher zu erfüllen.

An welchen Stellen mussten Sie noch Anpassungen vornehmen?

Wir mussten das Verfahrensverzeichnis anpassen und etwas erweitern. Neu war für uns auch, dass es das öffentliche Verfahrensverzeichnis, also das Verzeichnis von Verarbeitungstätigkeiten, nicht mehr gibt. Allerdings hatten wir durch die vorherigen Datenschutzaudits schon ein recht umfassendes Verzeichnis, es gab also keine großen Schwierigkeiten mit der Umstellung.

Viele Unternehmen stellen fest, dass die Risikobetrachtung jetzt stärker im Vordergrund steht.

Das kann ich bestätigen. Das Risikomanagement der DS-GVO ist tatsächlich deutlich ausführlicher und formalisierter. Das bewirkt vor allem, dass man sich aus unternehmerischer Sicht stärker mit den Geschäfts- und Datenschutzrisiken beschäftigt, diese quantifiziert bzw. einordnet und ggf. risikominiminierende Maßnahmen installiert. Aber wir waren gut vorbereitet und konnten auf unserer bestehenden Risikobewertung aufbauen.

Gab es auch Details, auf die Sie nicht vorbereitet waren?

Ja, u.a. bei neuen Anforderungen, die eher ins Detail gehen. Auf der Homepage mussten z.B. zielgruppenspezifische Erklärungen hinterlegt und die Einwilligungserklärungen auf eine aktive Zustimmung umgestellt werden. Und wir mussten die Auftragsverarbeiter-Verträge prüfen und erneuern, was vor allem für Dienstleistungsunternehmen, wie wir eines sind, aufwändig sein kann.

Wie wurde das Datenschutzaudit durchgeführt?

Das Audit durch die DQS erfolgte in Form einer GAP-Analyse. Es baute auf einer Selbstbewertung und einer Dokumentenprüfung durch die DQS auf. Die nachfolgenden Kriterien wurden anschließend auf Umsetzung in unserem Unternehmen geprüft. Die Kriterien basieren auf der aktuellen DS-GVO bzw. dem BDSGneu:

  • Datenschutzrichtlinie, Strategie
  • Verantwortlichkeiten und Rollen
  • Verarbeitungsverzeichnis
  • Management der Auftragsverarbeiter
  • technische und organisatorische Maßnahmen (Stand der Technik, Budget, Risiken)
  • Minimierungsgebot, Löschkonzept, Schutzniveau, Verfügbarkeit, Verschlüsselung
  • betriebliche Anweisungen
  • Bedienung der Betroffenenrechte
  • datenschutzkonforme Drittlandübermittlung

Im Anschluss an das Datenschutzaudit haben wir eine Bewertung über den Grad der Erfüllung der rechtlichen Anforderungen erhalten.

Wie sind Sie für die Datenschutzaudits zur DQS gelangt?

Wir haben damals einen qualitativ hochwertigen, professionellen Zertifizierer gesucht – und mit der DQS auch gefunden. Die Zusammenarbeit war immer partnerschaftlich, dienstleistungs- und zielorientiert, besonders auch mit Ihrem Auditor, Stephan Rehfeld. Für unsere Kunden ist es im Übrigen sehr zentral, auf eine verlässliche Instanz vertrauen zu können, gerade bei einem so empfindlichen Thema wie Datenschutz. Und der Nutzen geht sogar über diese Themen hinaus: Denn ein Datenschutzaudit strahlt auch in andere Managementbereiche hinein und hilft bei der organisationalen Verbesserung der Tätigkeitsfelder.

Herr Dr. Conradt, wir danken für das interessante Gespräch!

INSITE – Zahlen, Daten und Fakten

Die INSITE-Interventions GmbH ist einer der führenden Anbieter für Employee Assistance Programme (EAP) / Externe Mitarbeiterberatung und befasst sich mit allen Themen rund um die psychische Gesundheit von Mitarbeitern. Das Unternehmen entwickelt, implementiert und betreibt moderne und wirksame Unterstützungssysteme für Mitarbeiter, Führungskräfte und die gesamte Organisation. Die Ausübung dieser Tätigkeit ist mit dem Umgang personenbezogener Daten verbunden, weshalb INSITE von der DS-GVO betroffen ist.

Welchen Nutzen hat ein Datenschutzaudit durch die DQS?

  • sicherer Umgang mit den gesetzlichen Datenschutzanforderungen
  • verlässliche Informationen zu Handlungsfeldern und verdecktem Potenzial
  • interner Nachweis über den Umsetzungsgrad von Datenschutzmaßnahmen
  • mehr Handlungs- und Rechtssicherheit bei Datenschutzvorfällen
  • schrittweise Einführung eines Datenschutzmanagementsystems, ggf. unter Berücksichtigung bestehender Managementsysteme, z. B. Qualität oder Informationssicherheit
  • gute Vorbereitung auf eine Zertifizierung gemäß DAkkS-Akkreditierung

Machen Sie es wie Insite und gehen Sie mit uns in den Dialog, z.B. in einem der nächsten Workshops. Erfahren Sie in dem zweitägigen Seminar, wie Sie die grundlegenden Anforderungen der DS-GVO mittels wirksamer Prozesse und Maßnahmen in Ihrem Unternehmen umsetzen, um Datenschutz-Compliance erreichen und wesentliche Nachweispflichten erfüllen zu können.
Dazu gehört das Sicherstellen der rechtskonformen Verarbeitung personenbezogener Daten, der Schutz vor Datenverlust und unerwünschter Manipulation sowie das reibungslose Bedienen der Rechte Betroffener.

Workshop: Datenschutzmanagement mit ISO-Normen

 

11. Dezember 2019, Frankfurt am Main

  • Umsetzung wirksamer Prozesse und Maßnahmen
  • Grundlagen aus ISO 27001
  • Datenschutz-Risiko-Management mit Hilfe von ISO 29134
  • Maßnahmenkatalog von ISO 29151
Jetzt anmelden