Sergey Nivens - Fotolia

In fünf Schritten zur Einhaltung der EU-Datenschutz-Grundverordnung

Wenn Unternehmen diese fünf Schritte beachten, sind sie auf dem besten Wege, die Anforderungen der neuen EU-Datenschutz-Grundverordnung zu erfüllen.

Seit dem 25. Mai 2016 läuft der Countdown: Im Mai 2018 tritt die neue Datenschutz-Grundverordnung der Europäischen Union (General Data Protection Regulation, GDPR) in Kraft, die Auswirkungen auf alle Organisationen haben wird, die Geschäfte in Europa machen oder mit personenbezogenen Daten von EU-Bürgern in Berührung kommen. Egal, ob ein Unternehmen seinen Sitz in Australien, Europa oder post-Brexit-Großbritannien hat – wenn es mit Daten von EU-Bürgern in Kontakt kommt, hat es jetzt noch knapp eineinhalb Jahre Zeit, die neuen Regulierungen zu implementieren.

GDPR besagt, dass personenbezogene Daten nicht außerhalb des Europäischen Wirtschaftsraums übertragen werden dürfen, es sei denn, die Europäische Kommission erkennt ein angemessenes Level an Datenschutz an oder ein anderer konformer Datenübertragungsmechanismus ist verfügbar. Doch es gibt kein „Universalkonzept“, wenn es um die Einhaltung der Grundverordnung geht.

Stattdessen sollten Unternehmen weltweit nun damit beginnen, sich nach einem ganzheitlichen Datenschutzsystem umzusehen, um Vorkehrungen für die baldige Einführung der strengen Richtlinien zu treffen. Denn Bußgelder können in Zukunft vier Prozent des globalen Jahresumsatzes betragen – für manche Unternehmen sind das Milliarden.

Was können Unternehmen nun tun, um sich für die neuen Regulierungen zu wappnen? Diese fünf Tipps sollten Unternehmen beachten.

Datenschutzstrategie implementieren

Es ist wichtig, schon früh zu ermitteln, wo die Verantwortung für Datenschutz innerhalb einer Organisation liegt und eine entsprechende Reaktionsstrategie zu entwickeln. Außerdem sollte eine komplette Bestandsaufnahme vorgenommen werden, um den Datenfluss in einem Unternehmen und seinen Systemen nachzuvollziehen. Es ist keine einfache Aufgabe herauszufinden, woher jede einzelne Datenzeile stammt und wer mit ihr arbeitet. Allerdings ist dies ein essenzieller Bestandteil bei der Planung einer Datenschutzstrategie.

Ein Unternehmen muss sicherstellen, dass strenge Richtlinien vorhanden sind, um Datenschutzstrategien zu verwalten. Am Beispiel von Verstößen: Wer handhabt den Umgang mit Verstößen? Was muss beachtet werden? Und was passiert bei einer vermuteten Nichteinhaltung?

Innerhalb des Unternehmens sollte ein Team damit beauftragt werden, unternehmensweite Kontrollen, Richtlinien und Verfahren zur Einhaltung der Richtlinien einzurichten und durchzusetzen. Das Team sollte aus einer Kombination von Personen sowohl aus dem Rechts- als auch dem IT- und Sicherheitsbereich stammen, angeführt von einem Chief Information Security Officer (CISO) oder einem Data Privacy Officer (DPO).

Datenschutzbeauftragte bestimmen

So kurz vor der Einführung der Datenschutz-Grundverordnung ist es wichtig, dass sich Unternehmen der Plicht, persönliche Daten zu schützen, bewusstwerden. Die Zuständigkeit und Verantwortung liegt hier besonders beim Data Privacy Officer, dessen Bedeutung für Unternehmen in den kommenden Jahren stetig zunehmen wird – in ein paar Jahren werden tausende Data Privacy Officers damit beauftragt werden, Informationen zur Identifizierung von Personen zu schützen. Bisher ist der Werdegang eines DPOs noch nicht klar definiert. Zuständige kommen meist aus verschiedenen Sektoren, hauptsächlich aus dem Rechtswesen und der IT.

Mitarbeiter sollten im Mittelpunkt aller ganzheitlichen Datenschutzprogramme stehen. Daher ist es eine zentrale Aufgabe des DPOs sicherzustellen, dass das gesamte Unternehmen über GDPR und andere Datenschutzrichtlinien informiert ist. Alle Mitarbeiter sollten zum Thema Datenschutz zertifiziert werden. Ein besonderes Augenmerk sollte allerdings auf die Mitarbeiter gerichtet werden, die täglich mit personenbezogenen Daten arbeiten. Sie werden mehr Training benötigen, um Fehler zu vermeiden und den strengen Richtlinien gerecht zu werden.

Privacy by Design verinnerlichen

Während die Schulung ein zentraler Teil von Compliance ist, ist es genauso wichtig sicherzustellen, dass alle eingesetzten Systeme in ihrem Kern sicher sind. Dieser „Privacy by Design“-Ansatz hilft Organisationen dabei, alle unnötigen Sicherheitslücken zu vermeiden. Da auch in den kommenden Jahren kein Weg an der Cloud vorbeiführt, sollten Unternehmen daher Cloud-Anbieter auswählen, die dem „Privacy by Design“-Ansatz folgen sowie Anbieter, die die Datenschutzpraktiken aller relevanten Länder kennen. Hier hilft es, von Anfang an die richtigen Fragen zu stellen, wie beispielsweise: Teilen Sie meine Daten mit Drittanbietern? Können Sie mir Ihre Drittanbieter und Prozesse zeigen?

In der Regel arbeiten Cloud-Anbieter mit Drittanbietern, um Kundendaten zu verarbeiten, zu übertragen und zu lagern. Um den Schutz der Daten zu gewährleisten, sollten diese Kunden (Unternehmen und Konsumenten) daher zuerst wissen, wer ihre Daten verwaltet. Besonders Unternehmen müssen sicherstellen, dass Cloud-Anbieter die Datenschutzgesetze und interne Kontrollrichtlinien einhalten.

Verstehen, wie sich Daten von Ort zu Ort bewegen

Nach der jüngsten Brexit-Entscheidung denken Unternehmen mehr als je zuvor über Standortdaten nach. Unternehmen müssen bedenken, wo genau Cloud-Anbieter ihre Informationen zur Identifizierung von Personen lagern und wie Daten sich von A nach B bewegen. Wenn Daten innerhalb des Europäischen Wirtschaftsraums verarbeitet und gelagert werden, dürfen die Daten diesen Raum nicht verlassen. Der Europäische Wirtschaftsraum beinhaltet Island, Norwegen, Liechtenstein und alle EU-Länder.

„Wenn Unternehmen noch kein ganzheitliches Datenschutzsystem besitzen, können Elemente wie „Privacy by Design“ nur schwer bis Mai 2018 erfüllt werden.“

Deema Freij, Intralinks

 

Der physische Standort von Daten ist für Unternehmen wichtig, die ihre kritischen Informationen bevorzugt im eigenen Land oder hinter den eigenen Unternehmens-Firewalls aufbewahren wollen – sei es auch nur dem eigenen Gewissen zuliebe oder um die eigenen Kunden zu beruhigen. Doch in den meisten Fällen müssen Daten von Ort zu Ort übertragen werden. Solange jedoch alle EU-Musterklauseln eingehalten werden, stellt das kein Problem dar.

Daten einstufen und Risikobewertungen durchführen

Um die Risiken für Firmendaten angesichts der nahenden Regulierungen effektiv bewerten zu können, müssen Organisationen den Kontext dieser Daten genau kennen. Das ist besonders wichtig für bestimmte Branchen, wie Biowissenschaften und Versicherungen, in denen strenge Regeln gelten. Unternehmen müssen Daten nach deren Maß an Vertraulichkeit kategorisieren und sie dementsprechend schützen. Gegebenenfalls muss eine entsprechende Lösung zur Bewertung von Daten nachgerüstet werden. Gleichzeitig sollten unbedingt alle Technologien aus dem Unternehmen verbannt werden, die Mitarbeiter in vermeintlicher Sicherheit wiegen, aber tatsächlich das Risiko erhöhen, wie etwa File-Sharing-Tools für Verbraucher.

Wenn Unternehmen diese fünf Schritte beachten, sind sie auf dem besten Wege, die Anforderungen der neuen EU-Datenschutzrichtlinie und anderer internationaler Regulierungen zu erfüllen. Ganz wichtig für Unternehmen ist, dass sie jetzt handeln. Wenn Unternehmen noch kein ganzheitliches Datenschutzsystem besitzen, können Elemente wie „Privacy by Design“ oder die Erstellung einer neuen Datenschutzstrategie nur schwer rechtzeitig bis Mai 2018 erfüllt werden.

Über den Autor
Deema Freij ist Global Privacy Officer bei Intralinks.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: EU-Datenschutz-Grundverordnung richtig umsetzen

Datenschutz-Grundverordnung: Welche Probleme Unternehmen jetzt beheben müssen

Dokumentation der IT-Sicherheit nach DSGVO

Was Stand der Technik in der DSGVO bedeutet

Artikel wurde zuletzt im März 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close