Tipps von IDC kurz vor dem DSGVO-Stichtag

Was Unternehmen im Hinblick auf den „Stand der Technik“ beachten sollten

Laura Hopp verstärkt seit 2016 das IDC-Team in Frankfurt. Die studierte Betriebswirtin ist mit der Durchführung von kundenspezifischen Consulting-Projekten sowie der Erstellung von Studien betraut. Als Analystin konzentriert Hopp sich insbesondere auf die Themen Internet of Things, Industrie 4.0 und Smart Cities. Ein weiterer Schwerpunkt ist die Analyse des IT-Marktes nach vertikalen Märkten.
Die wenige Tage bis zum Inkrafttreten der neuen EU-Datenschutz-Grundverordnung (DSGVO) sollten Unternehmen gut nutzen, um ihre aktuelle Position in Bezug auf die DSGVO-Compliance noch einmal kritisch zu prüfen und gegebenenfalls feinzujustieren.

Ein Konzept, dem hierbei eine wichtige Rolle zukommt, ist der Stand der Technik. Unternehmen in Deutschland müssen gemäß Art. 32 der DSGVO bei der Auswahl von Technologien den Stand der Technik berücksichtigen. Das Konzept ist somit ein zentraler Aspekt innerhalb der DSGVO und die Einhaltung der Anforderung entscheidend für die DSGVO-Compliance.

Der Gesetzgeber lässt jedoch offen, was genau darunter zu verstehen ist. Es bleibt viel Interpretationsspielraum. Eine häufig anzutreffende Meinung ist, dass es um die „neuesten und besten“ Technologien geht. Viele Entscheider sind auch der Auffassung, dass sie nun sämtliche IT-Systeme erneuern müssen. Dies ist nicht der Fall. Die Unsicherheit auf Seiten der Unternehmen bleibt dennoch hoch.

Der zur DSGVO-Compliance geforderte "Stand der Technik" bietet viel Interpretationsspielraum.
Der zur DSGVO-Compliance geforderte "Stand der Technik" bietet viel Interpretationsspielraum.
Foto: Gorodenkoff - shutterstock.com

Laut IDC entspricht eine IT-Lösung dem Stand der Technik, wenn drei Kriterien erfüllt sind:

  • Functionality: Die IT-Lösung sollte fortschrittliche und innovative Funktionalitäten aufweisen

  • Adoption: Die Technologie sollte am Markt bzw. in der jeweiligen Branche bereits etabliert sein

  • Future-Ready: Die IT-Lösung sollte an neue regulatorische, kunden- oder marktseitige Gegebenheiten anpassbar und somit „zukunftsfähig“ sein

IDC empfiehlt bei der Auswahl von Technologien, die personenbezogene Daten verarbeiten oder den Datenschutz verbessern sollen, Folgendes zu beachten:

Überstürzten Sie nichts bei der Einführung neuer Technologien

Verschwenden Sie kein Geld mit „riskanten“ IT-Projekten. Denken Sie daran, dass die Einführung von Technologien, die dem Stand der Technik entsprechen, nicht zwingend ist. Das Konzept muss lediglich geprüft werden. Konkret heißt es im Gesetzestext: „Unter Berücksichtigung des Stands der Technik, …trifft der Verantwortliche…geeignete technische Maßnahmen… .“ Demnach müssen Sie auch nicht Ihre komplette IT-Infrastruktur austauschen. Nichtsdestotrotz ist das Konzept insofern sinnvoll, als dass es Unternehmen dazu bewegt, ihre IT-Lösungen hinsichtlich eines angemessen hohen Datenschutzniveaus zu überprüfen und zu modernisieren.

Evaluieren Sie IT-Lösungen anhand unterschiedlicher Kriterien

Entscheiden Sie, was der Stand der Technik für Ihr Unternehmen bedeutet. Da der Gesetzgeber keine konkreten Vorgaben macht, gelten Ihre eigenen Maßstäbe. Prüfen Sie anhand der Kriterien „Functionality“, „Adoption“ und „Future-Ready“, ob eine IT-Lösung dem Stand der Technik entspricht. Im Idealfall handelt es sich um Technologien, die die Einhaltung von sowohl aktuellen als auch künftigen Datenschutzanforderungen unterstützen und gleichzeitig am Markt verbreitet und akzeptiert werden. Gehen Sie Kompromisse ein, falls nicht alle Kriterien erfüllt werden können. Dokumentieren Sie in jedem Fall Ihre Entscheidungen.

Setzen Sie die Notwendigkeit von Investitionen in den geschäftlichen Kontext

Wägen Sie bei der Einführung einer neuen IT-Lösung auf dem Stand der Technik Nutzen, Kosten und das Risiko einer „Nicht-Einführung“ ab. Setzen Sie die Entscheidung für oder gegen eine Einführung somit in den geschäftlichen Kontext. Die genannten Faktoren müssen zueinander im Verhältnis stehen. Der Gesetzgeber hat kein Interesse daran, Unternehmen in eine finanzielle Notlage zu bringen, nur damit diese ihre IT-Systeme komplett erneuern. Wenn Sie sich für Lösungen entscheiden, die nicht dem Stand der Technik entsprechen, müssen Sie diese Entscheidung vor den Aufsichtsbehörden jedoch gut begründen können.

Fazit

Die DSGVO stellt Unternehmen mit dem Stand der Technik vor neue Herausforderungen. Gleichzeitig formuliert der Gesetzgeber mit der Anforderung ein Konzept, das Unternehmen motivieren soll innovative Technologien einzusetzen. Nach Einschätzung von IDC sollten Sie daher vor allem die Chancen sehen, die sich daraus für Sie ergeben: Die Modernisierung der IT-Landschaft kann besser verargumentiert und somit sehr wahrscheinlich zügiger umgesetzt werden. Übergeordnetes Ziel ist es, das Datenschutzniveau so hoch wie möglich zu halten. Die Anforderung aus Art. 32 trägt in jedem Fall ihren Teil dazu bei. Sehen Sie die Umsetzung der DSGVO daher nicht als lästige Pflicht an, sondern als einen Anreiz Ihre bestehende IT-Systeme zu prüfen und in diese künftig stärker zu investieren. (mb)

 

tlawicki

Vielen Dank für den in Teilen interessanten Artikel zum "Stand der Technik" und DSGVO.

Leider finde ich im Artikel nicht ausreichend ausgearbeitet,
woran die Autorin festmacht, dass die gewählten Kriterien zur Bestimmung des "Stands der Technik" von technischen und organisatorischen Maßnahmen (TOMs) die Richtigen sind? Ebenso wenig wird der Begriff "Stand der Technik" definiert. Bereits an dieser Stelle führt eine unklare Definition zur Verwirrung, die die Autorin selbst bemängelt.

Wie allgemein bekannt, fokussiert DSGVO den Schutz personenbezogener Daten. An dieser Stelle mag das von der Autorin genannte Kriterium "Functionality" zwar richtig sein, um einzelne Produkte hinsichtlich ihres Funktionsumfangs zu bewerten, im Hinblick auf den Datenschutz ist es wohl kaum ausreichend.

Auch das Kriterium "Adaption" kann nur eine grobe Annäherung sein. An dieser Stelle stellt sich die Frage, wie kann festgestellt
werden, ob eine Maßnahme sich in der jeweiligen Branche etabliert hat. Und wenn doch, steht dies möglicherweise im Widerspruch zu der vom Gesetzgeber gewünschten Fortschrittlichkeit.

Das Kriterium "Future-ready" klingt sehr stark nach Marketing, doch ist es kaum bewertbar. Was heißt es konkret? Wie kann ein Unternehmen feststellen, ob ein Produkt die zukünftigen (also noch nicht formulierten) Gesetzesvorgaben (möglicherweise) erfüllen wird?

Ich empfehle einen Blick in die "Handreichung zum Stand der Technik [...]" vom Bundesverband IT-Sicherheit e.V. (TeleTrusT), zu werfen, um basierend darauf den Stand der Technik von technischen und organisatorischen Maßnahmen zu bestimmen. Das Dokument ist frei verfügbar unter:

https://www.teletrust.de/ar....

Die Auflage befindet sich gerade in der Überarbeitung. Die aktualisierte Auflage wird in Kürze veröffentlicht.

comments powered by Disqus