4 Tipps für die DSGVO

Sie naht mit großen Schritten: In weniger als einem Jahr tritt die neue EU-Datenschutzgrundverordnung, die DSGVO, in Kraft. Stichtag ist der 25. Mai 2018. [...]

Das bedeutet, dass Unternehmen nicht mehr viel Zeit bleibt, Richtlinien, Prozesse und Systeme adäquat an die neuen Vorschriften anzupassen. Christoph Stoica, Regional General Manager bei Micro Focus, gibt im Folgenden vier konkrete Tipps, mit denen sich Unternehmen bereits vorab gut auf die DSGVO vorbereiten können:

1. Überblick verschaffen
Die DSGVO ist komplex – es wird nicht mehr nur eine Richtlinie wie beim deutschen Bundesdatenschutzgesetz vorgegeben, sondern es werden feste Gesetze mit weitreichenden Konsequenzen eingeführt. So ist ein Vergehen gegen die DSGVO ab Mai 2018 strafrechtlich per Bußgeld ahndbar. Dies gilt auch für Unternehmen, die keinen Standort in der EU haben, aber dort tätig sind: Bis zu vier Prozent des weltweiten Jahresumsatzes können als Strafe anfallen. Es besteht also dringender Handlungsbedarf in den Unternehmen.Ein erster Schritt in die richtige Richtung wäre, sich als Unternehmen durch die internationale Norm ISO/IEC 27001 zertifizieren zu lassen. Dafür lohnt sich die Einführung eines Informationssicherheits-Management-Systems (ISMS). Für kleine und mittlere Unternehmen ist das meist jedoch unnötig kostspielig. Und Vorsicht: Selbst eine Zertifizierung nach ISO bedeutet nicht automatisch eine Compliance mit der DSGVO! Es sollte also für jedes Unternehmen an erster Stelle stehen, im Hinblick auf die Datensicherheit zu prüfen, welche Maßnahmen für das eigene Unternehmen sinnvoll sind.

2. Daten strukturieren
Die DSGVO gibt jeder Person das Recht auf Löschung ihrer Daten, welchem ein Unternehmen auf Wunsch natürlich auch nachkommen muss. Dabei ist die Definition von personenbezogenen Daten sehr weitreichend: auch IP-Adressen, User IDs oder Cookies sind davon betroffen. Dazu muss aber erstmal ein Überblick her, an welcher Stelle im Unternehmen personenbezogene Daten verarbeitet und gespeichert werden. Dass diese Aufgabe nicht trivial ist, wird einem schnell klar, wenn man bedenkt, in welchem Umfang Daten in Unternehmen über E-Mail verteilt und auf lokalen Datenträgern abgespeichert werden. Wer Analyse, Klassifizierung und Management seiner Daten beherrscht, verfügt über ein solides Fundament für DSGVO.

3. Benutzer- und Zugriffsrechte kontrollieren
Im Kontext der DSGVO sind insbesondere Berechtigungen die Zugang zu personenbezogenen Daten ermöglichen einer regelmäßigen Überprüfung zu unterziehen. Gerade durch die Beschäftigung temporärer Mitarbeiter wie etwa Praktikanten, Azubis oder Trainees, aber auch durch Abteilungswechsel kann es zu im Sinne der DSGVO unzulässigen Berechtigungen kommen. Grundsätzlich und unabhängig von der DSGVO sollten Unternehmen sämtliche Berechtigungen einer regelmäßigen Überprüfung unterziehen. Um dabei den Aufwand für das Unternehmen in Grenzen zu halten, sollte sich die Häufigkeit der Überprüfung nach der Kritikalität der Berechtigung richten – kritische Berechtigungen sollten dabei spätestens im Abstand von drei Monaten regelmäßig überprüft werden, bei weniger kritischen Berechtigungen reicht unter Umständen auch eine jährliche Überprüfung. Ergänzend sollten im Einzelfalls Ereignis-basiert Überprüfungen der Berechtigungen erfolgen – zum Beispiel im Fall eines Abteilungswechsels oder beim Ausscheiden eines Mitarbeiters.

4. Einblick bekommen
Gerade das stete Monitoring von Zugriffen auf bestimmte Daten hilft dabei, frühzeitig etwaige Datenschutzverletzungen zu erkennen. Laut DSGVO muss ein Angriff innerhalb von nur 72 Stunden an die Aufsichtsbehörde gemeldet werden. Um das zu schaffen, braucht es allerdings einen umfangreichen Überblick der Prozess- und Systemlandschaft. Sind Prozesse allerdings an Fremdfirmen oder in eine Cloud ausgelagert, kann es dauern, bis ein Angriff publik wird. Technische Unterstützung, etwa in Form von SIEM-Lösungen, analysieren das System fast in Echtzeit. Ein SIEM-Programm zentralisiert die Auswertung und Speicherung von Ereignisprotokollen, um sie sehr zeitnah durchleuchten zu können. Eine Alternative ist eine etwas einfacher gestrickte Change-Monitoring-Lösung. Sie ermöglicht zwar keine Analysen komplexer Vorgänge, verkürzt aber bereits deutlich die Reaktionszeiten bei Sicherheitsvorfällen.

Fazit: Transparenz schaffen
Neben dem Datenschutz steht bei der DSGVO eines über allem: Transparenz. Unternehmen müssen klar und transparent formulieren, wie sie personenbezogene Daten nutzen. Dies muss nachvollziehbar gestaltet sein – wer hat die Informationen gesehen und wer hat sie wofür genutzt? Wie wird mit grenzübergreifenden Datentransfers umgegangen? Gibt es bereits einen Datenschutzbeauftragten im Unternehmen, der sich gebündelt um die neuen Anforderungen kümmert? Auch wenn personenbezogene Daten im Auftrag anderer Organisationen gespeichert werden, müssen die neuen Regelungen eingehalten werden – es gibt Vieles zu berücksichtigen.

Mehr Artikel

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

News

Salesforce kündigt autonome KI-Agenten an

Agentforce soll es Unternehmen ermöglichen, autonome KI-Agenten für zahlreiche Unternehmensfunktionen zu entwickeln und einzusetzen. So bearbeitet Agentforce beispielsweise selbstständig Kundenanliegen, qualifiziert Vertriebsleads und optimiert Marketingkampagnen. […]

News

Startschuss für neues Studium „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln

Mit einem fortschrittlichen Konzept und praxisnaher Ausrichtung ist der neue Bachelor-Studiengang „Softwaretechnik & Digitaler Systembau“ am Biotech Campus Tulln der Fachhochschule Wiener Neustadt erfolgreich gestartet. Unter der Leitung von Dominik Hölbling erwartet die Studierenden eine Ausbildung mit Schwerpunkt auf moderne Softwaretechnologien und innovative Digitalisierungslösungen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*