RATINGCY: EU-DSGVO-Check für rechtskonformen Datenschutz

secions Cyber Rating Agentur unterstützt bei EU-DSGVO-Umsetzung und Nachweispflicht

Hamburg, 06. Februar 2018 – RATINGCY, der neue Geschäftsbereich des Hamburger IT-Sicherheitsspezialisten secion, unterstützt Unternehmen bei der Umsetzung der Europäischen Datenschutz-Grundverordnung (EU-DSGVO). Mit RATINGCY bietet die secion GmbH ein valides Instrument, das Unternehmen auf ihrem Weg zur Compliance mit der EU-DSGVO unterstützt und einen wichtigen Beitrag zur darin geforderten Nachweispflicht leistet. Die Übergangsfrist für Unternehmen zur Umsetzung der Vorgaben endet bereits am 25. Mai 2018. Mit der neuen Regelung kommen viele Veränderungen und zum Teil auch empfindliche Bußgelder bei Nichteinhaltung auf die Verantwortlichen zu.

Der erste Schritt zur Überprüfung der Compliance mit der EU-DSGVO durch RATINGCY ist eine Bestandsaufnahme aller Prozesse im Unternehmen, in denen personenbezogene Daten verarbeitet werden. Ein besonderes Augenmerk sollte dabei auf die Nachweispflicht gelegt werden, die Unternehmen den Aufsichtsbehörden gegenüber haben. Darunter fallen auch die Art und der Umfang sowie der Zweck der Verarbeitung. Zusätzlich sind die angewandten, technischen Sicherheitsmaßnahmen zu evaluieren. Werden datenschutzfreundliche Techniken eingesetzt und sind datenschutzfreundliche Voreinstellungen implementiert? Auf Grundlage eines mehrstufigen Bewertungssystems zeigt RATINGCY nicht nur den Ist-Zustand der Bereiche Organisation, IT-Prozesse und technische Maßnahmen an, sondern klassifiziert auch den aktuellen Status der IT-Sicherheit des betreffenden Unternehmens.

Mehrstufiges Verfahren
Für diese umfassende Bewertung nutzt RATINGCY ein mehrstufiges Prüfverfahren. Der erste Schritt ist ein rein organisatorisches Security-Audit. RATINGCY orientiert sich hier streng an den Vorgaben des IT-Grundschutzes sowie an der ISO-Norm 27001/2. Die zweite Stufe der Sicherheitsbewertung ist ein technisches IT-Sicherheitsaudit. Es knüpft an die klassischen Schutzziele der IT-Sicherheit an. Aus dem Ergebnis der Sicherheitsbewertung können dann gemeinsam mit den IT-Sicherheitsspezialisten von RATINGCY und gegebenenfalls den Datenschutzbeauftragten erforderliche Maßnahmen abgeleitet werden, um die Vorgaben der EU-DSGVO zu erreichen. Denn den Aufsichtsbehörden gegenüber haben Organisationen eine Nachweispflicht. Das heißt, sie müssen innerhalb bestimmter Fristen nachweisen können, dass sie die Vorgaben der EU-DSGVO einhalten. Diese Dokumentationspflicht ist ein zentraler Bestandteil der neuen Regelung und ebenfalls bei Nichteinhaltung mit Bußgeldern belegt.

Konkrete Anleitung
Neben der mehrstufigen Überprüfung unterstützt RATINGCY Organisationen in jeder Phase durch konkrete Handlungsempfehlungen. So werden Defizite in Organisationen klar benannt und können schnell sowie effizient anhand der Empfehlungen von RATINGCY behoben werden. Folgende Fragen stehen beispielsweise bei der gemeinsamen Umsetzung der EU-DSGVO mit RATINGCY im Fokus:

  • Welche Prozesse im Unternehmen verarbeiten personenbezogene Daten und sind von der EU-DSGVO betroffen?
  • Welche Technologien kommen zur Absicherung dieser Prozesse und der zugrundeliegenden IT-Infrastruktur zum Einsatz?
  • Welche organisatorischen Maßnahmen werden zum Datenschutz eingesetzt?
  • Wo liegen technische oder organisatorische Defizite, und wie können sie behoben werden?
  • Ist die geforderte Dokumentation und die Überprüfung von Sicherheitsmaßnahmen DSGVO-konform, und an welcher Stelle muss nachgebessert werden?

Maximilian Hartung, ein erfahrener Datenschutzauditor und Kooperationspartner von RATINGCY äußert sich über die Nachweispflicht von Unternehmen im Hinblick auf die EU-DSGVO: „Unternehmen sind für die Einhaltung der Grundsätze zur Verarbeitung personenbezogener Daten mit der Datenschutz-Grundverordnung rechenschaftspflichtig. Dazu gehört ein Verfahren zur Prüfung und regelmäßigen Kontrolle, die Feststellung möglicher Risiken, daraus resultierender Schutzmaßnahmen und die Nachweise der Wirksamkeit in einer umfassenden Verfahrensdokumentation. Werden diese Anforderungen an die IT- und Geschäftsprozesse nicht umgesetzt, drohen Sanktionen und ein Verlust der Reputation im Fall einer Datenschutzverletzung.“

Weitere Informationen erhalten Sie unter www.ratingcy.com.

Zurück