4 Tipps für die DSGVO

Sie naht mit großen Schritten: In weniger als einem Jahr tritt die neue EU-Datenschutzgrundverordnung, die DSGVO, in Kraft. Stichtag ist der 25. Mai 2018. [...]

Das bedeutet, dass Unternehmen nicht mehr viel Zeit bleibt, Richtlinien, Prozesse und Systeme adäquat an die neuen Vorschriften anzupassen. Christoph Stoica, Regional General Manager bei Micro Focus, gibt im Folgenden vier konkrete Tipps, mit denen sich Unternehmen bereits vorab gut auf die DSGVO vorbereiten können:

1. Überblick verschaffen
Die DSGVO ist komplex – es wird nicht mehr nur eine Richtlinie wie beim deutschen Bundesdatenschutzgesetz vorgegeben, sondern es werden feste Gesetze mit weitreichenden Konsequenzen eingeführt. So ist ein Vergehen gegen die DSGVO ab Mai 2018 strafrechtlich per Bußgeld ahndbar. Dies gilt auch für Unternehmen, die keinen Standort in der EU haben, aber dort tätig sind: Bis zu vier Prozent des weltweiten Jahresumsatzes können als Strafe anfallen. Es besteht also dringender Handlungsbedarf in den Unternehmen.Ein erster Schritt in die richtige Richtung wäre, sich als Unternehmen durch die internationale Norm ISO/IEC 27001 zertifizieren zu lassen. Dafür lohnt sich die Einführung eines Informationssicherheits-Management-Systems (ISMS). Für kleine und mittlere Unternehmen ist das meist jedoch unnötig kostspielig. Und Vorsicht: Selbst eine Zertifizierung nach ISO bedeutet nicht automatisch eine Compliance mit der DSGVO! Es sollte also für jedes Unternehmen an erster Stelle stehen, im Hinblick auf die Datensicherheit zu prüfen, welche Maßnahmen für das eigene Unternehmen sinnvoll sind.

2. Daten strukturieren
Die DSGVO gibt jeder Person das Recht auf Löschung ihrer Daten, welchem ein Unternehmen auf Wunsch natürlich auch nachkommen muss. Dabei ist die Definition von personenbezogenen Daten sehr weitreichend: auch IP-Adressen, User IDs oder Cookies sind davon betroffen. Dazu muss aber erstmal ein Überblick her, an welcher Stelle im Unternehmen personenbezogene Daten verarbeitet und gespeichert werden. Dass diese Aufgabe nicht trivial ist, wird einem schnell klar, wenn man bedenkt, in welchem Umfang Daten in Unternehmen über E-Mail verteilt und auf lokalen Datenträgern abgespeichert werden. Wer Analyse, Klassifizierung und Management seiner Daten beherrscht, verfügt über ein solides Fundament für DSGVO.

3. Benutzer- und Zugriffsrechte kontrollieren
Im Kontext der DSGVO sind insbesondere Berechtigungen die Zugang zu personenbezogenen Daten ermöglichen einer regelmäßigen Überprüfung zu unterziehen. Gerade durch die Beschäftigung temporärer Mitarbeiter wie etwa Praktikanten, Azubis oder Trainees, aber auch durch Abteilungswechsel kann es zu im Sinne der DSGVO unzulässigen Berechtigungen kommen. Grundsätzlich und unabhängig von der DSGVO sollten Unternehmen sämtliche Berechtigungen einer regelmäßigen Überprüfung unterziehen. Um dabei den Aufwand für das Unternehmen in Grenzen zu halten, sollte sich die Häufigkeit der Überprüfung nach der Kritikalität der Berechtigung richten – kritische Berechtigungen sollten dabei spätestens im Abstand von drei Monaten regelmäßig überprüft werden, bei weniger kritischen Berechtigungen reicht unter Umständen auch eine jährliche Überprüfung. Ergänzend sollten im Einzelfalls Ereignis-basiert Überprüfungen der Berechtigungen erfolgen – zum Beispiel im Fall eines Abteilungswechsels oder beim Ausscheiden eines Mitarbeiters.

4. Einblick bekommen
Gerade das stete Monitoring von Zugriffen auf bestimmte Daten hilft dabei, frühzeitig etwaige Datenschutzverletzungen zu erkennen. Laut DSGVO muss ein Angriff innerhalb von nur 72 Stunden an die Aufsichtsbehörde gemeldet werden. Um das zu schaffen, braucht es allerdings einen umfangreichen Überblick der Prozess- und Systemlandschaft. Sind Prozesse allerdings an Fremdfirmen oder in eine Cloud ausgelagert, kann es dauern, bis ein Angriff publik wird. Technische Unterstützung, etwa in Form von SIEM-Lösungen, analysieren das System fast in Echtzeit. Ein SIEM-Programm zentralisiert die Auswertung und Speicherung von Ereignisprotokollen, um sie sehr zeitnah durchleuchten zu können. Eine Alternative ist eine etwas einfacher gestrickte Change-Monitoring-Lösung. Sie ermöglicht zwar keine Analysen komplexer Vorgänge, verkürzt aber bereits deutlich die Reaktionszeiten bei Sicherheitsvorfällen.

Fazit: Transparenz schaffen
Neben dem Datenschutz steht bei der DSGVO eines über allem: Transparenz. Unternehmen müssen klar und transparent formulieren, wie sie personenbezogene Daten nutzen. Dies muss nachvollziehbar gestaltet sein – wer hat die Informationen gesehen und wer hat sie wofür genutzt? Wie wird mit grenzübergreifenden Datentransfers umgegangen? Gibt es bereits einen Datenschutzbeauftragten im Unternehmen, der sich gebündelt um die neuen Anforderungen kümmert? Auch wenn personenbezogene Daten im Auftrag anderer Organisationen gespeichert werden, müssen die neuen Regelungen eingehalten werden – es gibt Vieles zu berücksichtigen.

Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*