Wissen - Life Sciences News - Topics - Downloads - Newsletter
Kontakt
Rob Stijlen
Rob Stijlen
Home | Newsletter | UPDATE 1 | 2018 | GDPR Endspurt: Jetzt wird’s ernst
26. Februar 2018

GDPR Endspurt: Jetzt wird’s ernst

Im Mai läuft die zweijährige Übergangsfrist für die neue EU Datenschutz Grundverordnung DSGVO / GDPR (General Data Protection Regulation) aus. Die Umsetzung in den Unternehmen geht jedoch schleppend voran: Zwei Drittel der Unternehmen fühlten sich laut Umfrage noch vor wenigen Monaten nicht bereit, mit der bestehenden Infrastruktur und den derzeitigen Prozessen GPDR-konform zu arbeiten. Das kann schmerzhaft enden, denn bei Nichteinhaltung drohen Strafen von mindestens 20 Millionen Euro oder – falls dieser Betrag höher ist – bis zu 4 % des Unternehmensumsatzes.

 

GDPR betrifft die Life Sciences Industrie in besonderem Ausmass, da unter den personenbezogenen Daten die Gesundheitsdaten als besonders schützenswert gelten und ihnen ein hohes Risiko beigemessen wird. Steht es in puncto Datenschutzgesetz auch in Ihrem Unternehmen auf kurz vor zwölf? Noch ist Zeit zu handeln.

 

Tipps aus der Umsetzung

Was zu tun ist, ist zwei Jahre nach Verabschiedung des Gesetzes mehrheitlich bekannt (siehe hierzu auch unseren News-Artikel über Datenschutz-Grundverordnung). Nicht wenige Unternehmen kämpfen jedoch mit dem „Wie“, und der wachsende Zeitdruck erlaubt keine Fehler. Hinzu kommt, wie bei jedem neuen Gesetz, die Unsicherheit, ob die eigene Interpretation und Umsetzung einer Behördeninspektion standhält. ARCONDIS unterstützt verschiedene Kunden aus der Pharma- und Medizinproduktindustrie bei der GDPR-Implementierung. Kurz vor der Ziellinie haben wir die wichtigsten How-tos zusammengetragen.

 

GDPR ist kein IT-Projekt

IT-Abteilungen haben meist den besten Überblick im Unternehmen darüber, wo Daten anfallen und verarbeitet werden. Ausserdem ist die grösste Projektmanagement-Kompetenz im Unternehmen häufig in der IT anzutreffen und es stehen ausreichend Ressourcen bereit, um projektbezogen zu arbeiten.

Daher existiert die Tendenz, die Gesamtverantwortung für die GDPR-Anpassungen bei der IT einzuhängen. Dabei darf aber nicht vergessen werden, dass viele GDPR-Anforderungen auf verschiedene Weise interpretiert werden können. Die rechtliche Auslegung kann nicht Sache der IT sein. Ist GDPR-Compliance also in erster Linie ein Projekt für die Rechtsabteilungen? Jein. Die regulatorischen Abteilungen sind Experten darin, die Unternehmen in rechtlich sicherem Terrain zu halten, und setzen Compliance-Richtlinien zugeschnitten auf die Organisation um. Sie sind aber nicht zwingend diejenigen, die für Geschwindigkeit und Wirtschaftlichkeit in den Geschäftsprozessen verantwortlich sind. Ihnen ist vermutlich klar, worauf es hinausläuft: Die GDPR-Umsetzung ist ein organisationsweites Projekt.

Es spielt daher weniger eine Rolle, aus welcher Abteilung der Gesamtprojektleiter kommt. Beim Set-up ist aber unbedingt auf folgende Punkte zu achten oder – im Falle laufender Initiativen – nachzurüsten, da ansonsten Schlagseite entsteht:

  • Steering: Legal, IT und Business müssen ihre Rollen kennen und Verantwortung übernehmen, und zwar über die Mitarbeit im Projekt hinaus. Im Steering Board, das Ressourcen für das Projekt freigibt und Ergebnisse abnimmt, sollten sich Entscheider aller drei Bereiche befinden.
  • OCM: Durch die übergreifende Natur des Projekts ist Organisatorisches Change Management (OCM) ein Must-have für eine reibungslose Integration und Adaption der GDPR-Anforderungen. Dieser Bedarf wird initial erfahrungsgemäss oft übersehen oder stark unterschätzt. OCM-Massnahmen sind weder „Dummy“ noch „versteckte Reserve“ im Projektplan, es gilt sie von vorneherein im Projektbudget und personell abzusichern.
  • Awareness Trainings: Bei der Planung der OCM-Aktivitäten gehören bei der GDPR-Umsetzung insbesondere Awareness Trainings mit auf den Radar. Durch sie erlernen und vertiefen Mitarbeiter den bewussten und korrekten Umgang mit personenbezogenen Daten im Arbeitsalltag. Die Trainings sollten rollenspezifisch gestaltet werden, da der normale Mitarbeiter eine andere Art der Sensibilisierung benötigt als zum Beispiel Daten- und Systemverantwortliche, die täglich mit dem Thema Datenschutz in Berührung kommen.

Neben dem Set-up des Implementierungsprojekts sind aus unserer Sicht folgende Stolpersteine zu bewältigen.

 

GDPR-Endspurt: Jetzt wird’s ernst

 

Gesucht: Data Protection Officer

Unternehmen mit mehr als 250 Mitarbeitern benötigen laut GDPR einen Data Protection Officer (DPO). Besonders in mittelständischen Unternehmen strauchelt man mit der Zuweisung dieser Rolle, denn anders als beispielsweise beim deutschen Datenschutzbeauftragten formuliert die GDPR klare Anforderungen an die Befähigung der Person und ihre Pflichten (GDPR Artikel 37–39). Der DPO muss beispielsweise Expertenwissen in Datenschutzgesetzen und deren Anwendung besitzen. Ausserdem darf kein Interessenskonflikt durch seine weiteren Tätigkeiten im Unternehmen entstehen. Einige Positionen wie CEO, CFO oder Marketingleiten- sind daher mit der Rolle des DPO schlecht vereinbar.

Wer nimmt sich dieser Verantwortung also an, der Chief Information Security Officer, jemand aus dem Bereich oder fällt es gar in den Bereich des Personalwesens? Für uns sind alle diese Optionen denkbar, insofern die rechtlichen Anforderungen an den DPO erfüllt sind. Die GDPR macht übrigens deutlich, dass die Rolle auch von einem externen Spezialisten erfüllt werden kann.

 

Egal ob im Haus oder über Externe: Was wir dringend empfehlen, ist die Zuweisung dieser Verantwortung zum frühestmöglichen Zeitpunkt. Der DPO spielt eine zentrale Rolle für den Kommunikationsfluss und die Zusammenarbeit der beteiligten Gruppen im Rahmen der GDPR-Umsetzung und ist damit Erfolgsfaktor für ein Gelingen.

 

Schlanke Prozesse: Pflicht und Wertbeitrag

Bestehende Prozesse sind häufig zu rudimentär oder zu langsam, um mit der durch die GDPR geforderten Geschwindigkeit und Präzession auf Ereignisse zu reagieren. Situationen und Anforderungen wie

  • Anfragen von betroffenen Personen
  • Datenschutzverletzungen
  • Datenschutz-Folgeabschätzung
  • der Lebenszyklus von Daten
  • das Management von Einverständniserklärungen

 

GDPR-Endspurt: Jetzt wird’s ernst

 

müssen neu nicht nur explizit abgedeckt sein, sondern sehr effizient durchlaufen werden. Ein „Hinzufügen“ an bestehende Abläufe ist daher selten eine Option, meist braucht es ein Redesign. Bei steigendem Volumen der personenbezogenen Daten in der Life Sciences Industrie führen schlanke Datenmanagementprozesse zu einem signifikanten Vorsprung gegenüber dem Wettbewerb. Für neue Systeme und Prozesse oder deren Anpassung gilt dabei das „Privacy bei Design“-Prinzip: Der datenschutzkonforme Umgang mit Informationen wird bereits in der Konzeptphase integriert und muss nicht künstlich aufgesetzt oder mühevoll nachgerüstet werden. Dabei lassen sich Synergien mit der Abdeckung von GxP-Anforderungen bilden. Beispielsweise lässt sich das Data Protection Impact Assessment (, zu Deutsch: Datenschutz-Folgeabschätzung) mit geringem Aufwand in die initiale Systemanalyse, oft High Level Risk Assessment (HLRA) genannt, integrieren.

Neben den Prozessen möchten wir den Fokus auf zwei weitere wichtige Bestandteile eines GDPR-konformen Datenschutzes lenken.

 

Datenklassifizierung und Incident Management

Vielfach in Projekten erlebt: Auch wenn in der Organisation ein Information Security Management System (ISMS) vorhanden ist, sind in der Regel Erweiterungen notwendig, um dem Schutz personenbezogener Daten gemäss GDPR-Gesetzgebung gerecht zu werden. Das betrifft beispielsweise das Datenklassifikationsschema und den Security-Incident-Prozess. Beim Schema muss sichergestellt sein, dass für sensitive personenbezogene Daten eine dem hohen Risiko entsprechende Klassifikation zugewiesen wird. Je nach Unternehmensstrategie kann es auch sinnvoll sein, auf die Unterscheidung zwischen sensitiven und nichtsensitiven Daten zu verzichten und für alle Personendaten die höchsten Schutzanforderungen umzusetzen. Das kann das Handling im Unternehmen vereinfachen, GDPR-konform zu prozessieren. Beim Incident-Management-Prozess liegt das besondere Augenmerk auf der Kommunikation. Die GDPR sieht kurze Melde- und Antwortfristen an Behörden und Betroffene vor, die in der Praxis mit den vorhandenen Security-Incident-Prozessen in der Regel nicht einzuhalten sind. Zusammengefasst: Auf einem Information Security Management System lässt sich gut aufbauen, es erfüllt jedoch nicht per se die GDPR-Anforderungen.

 

Verzeichnis von Verarbeitungstätigkeiten

Die GDPR fordert ein Verzeichnis (Register) über die Verarbeitung relevanter , sowohl vom Datenschutzverantwortlichen als auch vom Auftragsbearbeiter. Unternehmen müssen also genau wissen, welche Datenkategorien wo verarbeitet werden, denn nur so können technische und organisatorische Schutzmassnahmen greifen. Gelebte Praxis ist jedoch, dass bestehende Verzeichnisse und Inventare in Bezug auf Daten- und Datenattribute häufig nicht vollständig sind und damit eine Bewertung der Daten im Hinblick auf Compliance unmöglich wird. Der Artikel 30 der GDPR beschreibt das Minimalset der Anforderungen an ein Inventar. Allerdings ergeben sich aus der Lektüre der anderen Artikel sinnvolle und teils notwendige Ergänzungen. Für grosse Unternehmen mit verteilten Inventaren wird zudem die Konsolidierung und Erstellung einer übergeordneten Sicht auf die Verzeichnisse ein eigenes Unterprojekt.

 

Fünf vor zwölf und der Weg noch weit?

Für die Unternehmen, die noch grössere Schritte zur GDPR-Compliance zurückzulegen haben, empfehlen die Compliance-Experten der ARCONDIS im Hinblick auf die auslaufende Übergangsfrist folgende Prioritäten zu setzen:

  1. Festlegung der Verantwortlichkeiten und Rollen ( – nur so hat die Organisation „Treiber“ für die Umsetzung und eine zentrale Anlaufstelle.
  2. Risikobasierter Review des Inventars: In welchen Fällen sind die Daten von betroffenen Personen besonders gefährdet (grosse Zugriffsgruppen, besonders schützenswerte Daten, Datentransfer durch verschiedene Systeme, externer Zugriff …)? Nicht alles gleichzeitig angehen, sondern schnelle Abhilfe für die High-Risk-Prozesse und ‑Systeme schaffen.
  3. Bei neuen Initiativen von Beginn an GDPR-konform arbeiten und auf grundlegende Praktiken wie Data Protection Impact Assessments, Privacy by Design, das Daten-Lifecycle-Management und die Einholung von Einverständniserklärung (Consent Management) achten.

 Dr. André Geiser, Verena Dreher


 

Das könnte Sie auch interessieren: