ArtemSam - Fotolia

EU-Datenschutz-Grundverordnung: In sechs Schritten zur Compliance

IT-Abteilungen sind vielen Unternehmen mit der fristgerechten Umsetzung der EU-DSGVO beschäftigt. Eine schrittweise Vorgehensweise hilft dabei.

In weniger als einem Jahr ist es so weit: Die Datenschutz-Grundverordnung (DSGVO) wird ab dem 25. Mai 2018 anwendbar. Ziel ist die Stärkung der Bürgerrechte beim Schutz von persönlichen Daten. Viele Unternehmen arbeiten fieberhaft an der Umsetzung von entsprechenden Sicherheitsmechanismen, um den Anforderungen von „Privacy by Design“ und „Privacy by Default“ gerecht zu werden.

In den USA müssen Organisationen schon seit einiger Zeit öffentlich melden, wenn sie Opfer einer Cyberattacke wurden. In der EU war das bisher nicht der Fall. Daher ist die Dunkelziffer von verlorenen oder gestohlenen Datensätzen in Europa wahrscheinlich höher als erwartet.

Die DSGVO oder auch GDPR rückt genau solche Vorfälle in das Licht der Öffentlichkeit. Besonders in Deutschland reagieren Nutzerinnen und Nutzer sehr sensibel auf Sicherheitsvorfälle. Deshalb setzen sich IT-Abteilungen intensiv mit der Umsetzung auseinander. Folgende sechs Punkte können hier eine große Hilfe sein.

1. Die rechtlichen Rahmenbedingungen verstehen

Um die Rechtslage richtig einzuschätzen und Compliance zu sichern, bietet sich ein Audit auf Basis des rechtlichen Rahmens der DSGVO an – dies ist der erste Schritt zur Compliance. Egal, wie groß das eigene Unternehmen ist, jeder sollte einen Data Protection Officer (DPO) einstellen. Seine Aufgabe liegt in der Kommunikation und Anwendungen der entsprechenden Regulierungen.

Die Position wird idealerweise von einer Person besetzt, die hinreichende technologische und juristische Kenntnisse für diese Aufgabe besitzt. Natürlich sind danach noch weitere Schritte notwendig, diese variieren aber je nach Organisation. Deshalb sind Führungskräfte besonders gefordert, denn sie kennen die Situation ihrer Unternehmen besser als jeder andere.

2. Erstellung eines Dateienregisters

Nachdem ein erster Eindruck der Ist-Situation gewonnen wurde, gilt es, den Fortschritt beim Umsetzungsprozess zu dokumentieren. Ein Datenregister ist eine Art DSGVO-Tagebuch und dient zum Nachweis aller unternommenen Anstrengungen, um die Anforderungen umzusetzen. Falls es später zu einem Vorfall kommen sollte, kann dieses Dokument bei der der Data Protection Association (DPA) eingereicht werden.

Jeder Mitgliedstaat muss eine solche Organisation benennen. In Deutschland werden ab 2018 wahrscheinlich die Datenschutzbeauftragten der Länder als Kontaktstelle dienen. Auf Basis der Aufzeichnungen stellen diese fest, ob man ausreichende Bemühung unternommen hat. Selbst im Falle eines Compliance-Verstoßes lohnt sich der Nachweis von Aktionen, da die Höhe der Strafe ebenfalls von der DPA beeinflusst werden kann. Je nach Grad der Fahrlässigkeit des Vorfalls entscheidet sie, ob zwei oder vier Prozent des Umsatzes als Bußgeld verlangt werden sollen. Dazu kommen Faktoren wie die Schwere und Dauer des Verstoßes, die Kooperationsbereitschaft sowie die Anzahl der betroffenen Datensätze.

3. Klassifizierung der Daten

IT-Verantwortliche sollten im nächsten Schritt feststellen, was genau geschützt werden muss und wie man dieses Ziel am besten erreicht. Dabei müssen sämtliche personenbezogenen Daten (Personal Identifiable Information / PII) erkannt und gesichert werden.

Die Aspekte sind weitreichend: Wo sind die Informationen gespeichert? Wer hat Zugriff auf sie? Mit wem wurde der Zugang geteilt? Klassifizierung ist wichtig, da auf dieser Grundlage die Daten effizienter gesichert werden können und klare Zuständigkeiten bestimmbar sind.

4. Mit den wichtigsten Daten beginnen

Sobald die Daten gefunden und klassifiziert wurden, geht es an die Bewertung des Zustandes: Wie werden die Informationen geschützt und verarbeitet? Selbstverständlich ist die erste Priorität immer der Schutz der Privatsphäre – bei jeder Applikation oder bei jedem Datensatz. Es greift das Prinzip der Datenschlankheit: Unternehmen müssen immer rechtfertigen können, warum sie Daten speichern und für welchen Zweck dies sinnvoll ist.

Angreifer haben es immer auf persönliche Informationen abgesehen, daher macht ein Privacy Impact Assessment (PIA) und Data Protection Impact Assessment (DPIA) für alle Sicherheitsmechanismen Sinn. Dies sollte den kompletten Lebenszyklus einer Datei umfassen – von der Erstellung bis zur gesicherten Löschung. Dies ist wichtig, da das Recht auf Datenportabilität und Einschränkungen bei der Weiterverarbeitung Teil der neuen Verordnung sind. Zudem haben EU-Bürger das Recht auf Vergessenwerden: Informationen, die zur Identifizierung einer Person durch dritte Parteien genutzt werden können, müssen auf Wunsch gelöscht werden. Es ist also sehr wichtig, dass Daten zerstört werden und nicht wiederherstellbar sind.

„Datensicherheit ist ein Dauerthema, deshalb ist ständige Revision und Selbstkritik wichtig. Das bedeutet, die unternommenen Schritte zu evaluieren und falls nötig anzupassen.“

Jason Hart, Gemalto

Unternehmen sollten verschiedene Sicherheitsmechanismen und Ansätze überdenken. Beispiele sind Verschlüsselung, Tokenisierung oder Pseudonymisierung. Dabei dürfen keine Daten ausgelassen werden: Selbsterstellte Daten, Backups, Daten im eigenen Rechenzentrum oder in der Cloud und Datenhistorien müssen angegangen werden. Organisationen stehen in der Pflicht, alle persönlichen Informationen zu schützen, sobald diese einer Person zugeordnet werden können. Natürlich immer vom ersten Tag an bis zur Löschung der Datei.

5. Zusätzliche Prozesse etablieren und dokumentieren

Neben den hoch sensitiven Dateien gibt es auch andere Dokumente, die geschützt werden sollten. Somit besteht die Herausforderung, auch nach anderen Risikobereichen zu suchen und diesen entgegen zu wirken. Wie zuvor ist es auch hier sinnvoll, alle Schritte zu dokumentieren, um der DPA Nachweise liefern zu können.

6. Kritische Selbsthinterfragung

Datensicherheit ist immer ein Dauerthema, deshalb ist ständige Revision und Selbstkritik wichtig. In der Praxis bedeutet das, die unternommenen Schritte zu evaluieren und diese falls nötig anzupassen. Speziell ab Schritt vier wird es häufig zu Wiederholungen kommen. IT-Verantwortliche müssen gerade deshalb auf der Hut sein und Prozesse an neue Prioritäten angleichen.

Sicherheit bildet die Grundlage für neue Innovation und Applikation – anders lässt sich wirtschaftlicher Fortschritt heute nicht mehr bewerkstelligen. Ab 2018 gilt eine neue Transparenz für Unternehmen und Sicherheitseinbrüche können nicht mehr versteckt werden. Gleichzeitig bedeutet das aber auch, dass alle Akteure akzeptieren müssen, dass Cyberattacken und Datenverluste zur Realität gehören. Genau deshalb ist es so wichtig, sich so gut wie möglich vorzubereiten und die Anstrengungen zu dokumentieren.

Über den Autor:
Jason Hart ist CTO bei Gemalto.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: EU-Datenschutz-Grundverordnung richtig umsetzen

DSGVO: Auswirkungen des neuen Bundesdatenschutzgesetzes auf die IT-Sicherheit

Datenschutz-Grundverordnung: Die Auswirkungen auf Unternehmen

Dokumentation der IT-Sicherheit nach DSGVO

Artikel wurde zuletzt im Juni 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close