Fünf Fragen zur Europäischen Datenschutzgrundverordnung

Datenschutz (Bild: Shutterstock)

Die EU-DSGVO wird sich massiv auf die Art und Weise auswirken, in der Unternehmen personenbezogene Daten von EU-Bürgern speichern und sammeln dürfen. Viele Firmen sind allerdings noch nicht wirklich darauf vorbereitet. Diese fünf Fragen sollten IT-Teams ihrem CISO stellen, um ihn bei seinen Aufgaben zu unterstützen.

Die derzeit laufende Übergangsfrist für die EU-Datenschutz-Grundverordnung endet am 25. Mai 2018. Ab dann wird es für Unternehemn ernst. Denn die EU-DSGVO wird sich massiv auf die Art und Weise auswirken, in der Unternehmen personenbezogene Daten von EU-Bürgern speichern und sammeln dürfen. Unabhängig von ihrem Standort betrifft die Verordnung alle Unternehmen, die in der Europäischen Union erfasste Daten speichern und verarbeiten.

Vor der DSGVO galt in der EU die Datenschutzrichtlinie von 1995. Diese Datenschutzrichtlinie war schwer durchzusetzen und die Vorschriften wurden in den einzelnen Mitgliedsstaaten in unterschiedlichem Maße durchgesetzt und eingehalten. Während Länder wie Deutschland und die Niederlande strenge Kontrollen umsetzten, gab es auch Länder, in denen praktisch überhaupt nicht kontrolliert wurde. Die DSGVO wird dies ändern und sicherstellen, dass alle EU-Länder umfassende Kontrollen zum Schutz der Daten aller EU-Bürger umsetzen.

Karl Altmann Imperva (Bild: Imperva)
Karl Altmann, der Autor dieses Gastbeitrags für silicon.de, ist Area Vice President DACH bei Imperva (Bild: Imperva)

Die neuen Regeln der DSGVO haben die Form einer Verordnung. Sie erzwingen damit Datenschutzstandards, die – theoretisch – in allen 28 EU-Mitgliedstaaten gleich sind. Jedes Unternehmen, das die Verordnung nicht einhält, kann mit einer Geldbuße von bis zu 4 Prozent seines Jahresumsatzes oder 20 Millionen Euro belegt werden, je nachem, welcher Wert höher ist.

Klar ist: Geldbußen in dieser Größenordnung können für ein Unternehmen unter Umständen das Ende der Geschäftstätigkeit bedeuten. Daher ist es nun höchste Zeit, dass die Hausaufgaben gemacht werden. Dies ist aber nicht einfach. Viele Unternehmen werden technologische Lösungen entwickeln müssen, die bei der Einhaltung der Verordnung behilflich sind. Die folgenden fünf Fragen sollten IT-Teams ihrem CISO stellen, um ihn bei seinen Aufgaben zu unterstützen.

1. Wissen wir genau, was für Daten wir speichern und wo sie gespeichert sind?

Zunächst müssen IT-Teams einen Datenbewertungsbericht erstellen. Dieser verlangt von Unternehmen, dass sie vertrauliche, personenbezogene gespeicherte Daten lokalisieren. Zudem ist eine Dokumentation verpflichtend die aufzeigt, auf welche Weise diese Daten erfasst wurden. Diese detaillierte Bewertung muss für behördliche Prüfungen oder Compliance-Audits bereitgehalten werden.

Daten und Datenschutz (Bild: Shutterstock/cybrain)

Eine der wichtigsten Aufgaben ist es dabei allerdings, diese Daten erst einmal zu finden. Bei einem großen Unternehmen reicht ein Anruf bei der IT-Abteilung nicht aus. Dies ist eine der großen Herausforderungen der DSGVO und ein Problem, das alle Unternehmen lösen müssen.

2. Wer hat Zugriffsrechte auf die privaten Daten, wer greift darauf zu und aus welchen Gründen?

Eine der klaren Anforderungen der DSGVO liegt darin, den Zugriff auf bestimmte Informationen begrenzen und sicherstellen zu können, dass der Zugriff autorisiert ist und alle Änderungen innerhalb des Unternehmens reflektiert. Es ist wichtig, Richtlinien zur Handhabung von Daten zu analysieren, etwa zur Nutzung von Testdaten, Datenaufbewahrung und Datenvernichtung.

Es ist zudem ebenfalls sehr wichtig, dass Unternehmen wissen, warum jemand auf personenbezogene Daten zugreift. Nur weil eine Person eine bestimmte Position in einem Unternehmen inne hat, hat sie nicht automatisch das Recht, auf alle Datenquellen zuzugreifen.

3. Wie überwachen wir, wer auf die Daten zugreift? Könnten wir einen Datenschutzverstoß erkennen und untersuchen?

Ein Unternehmen, das von einem Datenschutzverstoß erfährt, muss diesen Verstoß öffentlich zugeben und die zuständigen Datenschutzbehörden in den Mitgliedstaaten darüber in Kenntnis setzen. Unternehmen müssen die zuständigen Datenschutzbehörden innerhalb von 72 Stunden nach der Feststellung oder Bestätigung des Verstoßes benachrichtigen. Sie müssen in der Lage dabei mitteilen können, welche Daten betroffen sind und wie viele Datensätze gestohlen wurden. Zudem ist die Bereitstellung eines mitgliedstaatspezifischen Berichts über den Verstoß verpflichtend.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Diese Anforderung bedeutet im Wesentlichen, dass alle Unternehmen feststellen können müssen, wer auf die Daten zugegriffen hat, welche Aktivitäten dabei durchgeführt wurden und wann dies geschah. Starke Technologielösungen sind unabdingbar, damit das Unternehmen die verlangten Informationen problemlos innerhalb des 72-Stunden-Fensters bereitstellen kann. Manuell oder auf Zuruf ist das nicht mehr zu bewrkstelligen.

4. Wie können wir das Volumen privater Daten minimieren, die in nicht-produktiven Systemen liegen?

Die DSGVO verlangt, dass Unternehmen die aufbewahrten Daten minimieren. Das gilt insbesondere, wenn sie nicht wirklich für das Tagesgeschäft benötigt werden. Und werden die Daten für Unternehmens- oder Compliance-Zwecke überhaupt nicht mehr benötigt, bestimmt die Verordnung, dass sie in rechtskonformer Weise zu löschen sind. Sie einfach einmal auf Verdacht aufzubewahren, ist dann nicht mehr erlaubt.

5. Wie können wir verhindern, dass auf Datenbankdaten von außerhalb des Landes oder der EU zugegriffen wird beziehungsweise dass sie aus dem Land oder der EU anders wohin übertragen werden?

Die DSGVO verlangt Beschränkungen der Übertragung personenbezogener Daten aus der Europäischen Union in Drittländer oder an internationale Organisationen. Damit wird das Schutzniveau von Einzelpersonen, das die DSGVO bewirkt, nicht untergraben.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Unternehmen benötigen ein klares Verständnis davon, wohin sie Daten übertragen und ob die Rechtsordnung, in der sich der Empfänger befindet, mutmaßlich einen angemessenen Datenschutz gewährleistet. Technologie für die Datenüberwachung spielt eine wichtige Rolle bei der Überwachung von Aktivitäten in Echtzeit. So können selbst versehentliche Datentransfers verhindert werden.

Fazit

Unternehmen müssen jetzt handeln. Die DSGVO wird große Auswirkungen auf die Art und Weise haben, in der Unternehmen Daten erfassen, speichern und übertragen. Die Grundlagen dafür müssen jetzt geschaffen werden.

Zur Vorbereitung müssen Bewertungen der Daten vorgenommen und Budgets für neue Technologien zur Umsetzung neuer Prozesse und Lösungen eingerichtet werde. Diese helfen den Unternehmen bei der Einhaltung der Verordnung.

Dies mag vielen Unternehmen als eine gewaltige Aufgabe erscheinen. Das Ergebnis jedoch wird eine viel sicherere Umgebung für personenbezogene Daten sein. Und das kann man nur als positiv einstufen.