Tipps zur Einhaltung der GDPR

Die neue Datenschutz-Grundverordnung der EU stellt Unternehmen vor zahlreiche Herausforderungen. Doch mit einigen Umstellungen lassen sich diese effizient erfüllen. [...]

Ab dem 25. Mai 2018 müssen Firmen, die in Europa geschäftlich tätig sind oder mit EU-Kunden Geschäfte machen, die neue Datenschutz-Grundverordnung einhalten. Die GDPR (General Data Protection Regulation) wird in allen europäischen Ländern Standard, denn da es sich um eine EU-Verordnung handelt, ist kein nationales Recht zur Implementierung erforderlich. Die Grundverordnung führt neue Haftungsverpflichtungen, stärkere Verbraucherrechte und Einschränkungen für internationale Datenflüsse ein. Bei Nichteinhaltung drohen Strafen in Höhe von vier Prozent des weltweiten Gewinns oder von 20 Millionen Euro. Angesichts dieser möglichen Auswirkungen können sich Firmen aller Größen keine Datensicherheitsverletzungen mehr leisten. Entsprechend müssen Unternehmen ihre Prozesse bezüglich persönlicher Daten prüfen und die Verantwortung der Geschäftsführung erweitern.
Wie man Daten schützt
Um persönliche und unternehmensspezifische Daten zu verwalten, müssen Firmen zum einen die Daten klassifizieren und zum anderen den Datenfluss steuern, analysieren, kontextualisieren und überwachen. Allerdings wird es angesichts der Vielzahl an unterschiedlichen Geräten und der mobilen Nutzung immer schwieriger, die Daten, die ein Unternehmen schützen soll, zu überwachen und nachzuverfolgen. Daher muss ein Unternehmen seine Infrastruktur und seinen operativen Betrieb skalieren und absichern, damit keine Daten kompromittiert werden und es nicht gegen die Regelungen verstößt. 
Auch Kundendaten, auf die von mobilen Geräten aus zugegriffen wird, sind zwingend zu schützen. Das gilt insbesondere, wenn es zu Datendiebstahl kommt und die Löschung der Daten von einem Remote-Gerät aus durchgeführt wird. Ebenso müssen Unternehmen, die Daten in der Cloud speichern, sicherstellen, dass sie die Kontrolle und Eigentümerschaft über diese zentralisierten Daten behalten. Zudem müssen sie sich um das Policy-Management kümmern und Verschlüsselungslösungen einführen, damit nur sie Zugang zu den relevanten Dateien haben.
Wer im Unternehmen für den Datenschutz verantwortlich ist
Die GDPR fordert, dass praktisch alle Unternehmen über einen Chief Data Protection Officer, also einen Hauptverantwortlichen für Datenschutz, verfügen. In vielen Fällen müssen Unternehmen erst einen Spezialisten einstellen, der diesen wichtigen Geschäftsbereich übernimmt. Entscheider, die für Cloud und IT verantwortlich sind, können dafür zuverlässige und erfahrene Partner einbinden, die Transparenz in ihren Datenfluss, Skalierbarkeit und Rundum-Sicherheit bringen. Solch ein Partner muss Identitätsbedrohungen erkennen sowie Steuerelemente bereitstellen, die zur Reduzierung von Risiken notwendig sind. Außerdem sollte er Lösungen bieten, die Anwendungssicherheit für jede Infrastruktur gewährleisten – von herkömmlichen Rechenzentren bis zu Cloud-Umgebungen. Autorisierte Nutzer erhalten dann einen sicheren und zuverlässigen Zugang zu einem kontrollierten Bestand an Daten – und zwar auf jedem beliebigen Gerät, in jeder beliebigen Umgebung und jederzeit.
Wie GDPR zum Wettbewerbsvorteil wird
Verletzungen der Datensicherheit können schon heute das Geschäftsergebnis und den Ruf einer Marke erheblich beschädigen. Doch welche Daten befinden sich überhaupt in den Netzwerken der Unternehmen? Gerade die Daten, von deren Existenz Unternehmen nichts wissen, könnten Angriffen ausgesetzt sein. Die künftige Datenschutz-Grundverordnung der EU wird daher einen Meilenstein in der Datenverarbeitungspraxis darstellen. Sie ist nicht als teure und zeitverschlingende Praxis, sondern als Business-Enabler zu sehen, der den Unternehmen die Möglichkeit eröffnet, Geschäfte in neuen Märkten zu machen und sich durch Compliance und starke Sicherheitskontrollen von den Mitbewerbern abzuheben.
Wie ein risikobasierter Ansatz sensible Informationen schützt
Vertrauen war schon immer die Grundlage von Handelsbeziehungen, doch im Internet ist es besonders wichtig, da die Parteien möglicherweise nie direkten Kontakt miteinander haben. Die Einstellung „wenn der heutige Betrieb für mich sicher ist, ist er das auch für alle anderen“ greift heute nicht mehr. Denn Online-Aktivitäten, die von Cyberkriminellen ausgespäht werden, haben potenziell negative Auswirkungen auf andere Nutzer. 
Die GDPR fordert daher einen risikobasierten Ansatz mit sicheren Prozessen und Kontrollen, um sensible Informationen zu schützen. Die Kompromittierung von Kundendaten hat Konsequenzen und die Nichteinhaltung der Regelungen führt zu schmerzhaften Strafzahlungen. Die Datenschutz-Verordnung sieht unter anderem vor, dass Unternehmen die Regulierungsbehörden über Datensicherheitsverletzungen informieren, und zwar innerhalb von 72 Stunden, nachdem ihnen die Verletzung bekannt wurde. Dies ist unabhängig davon, ob die Verletzung nur Mitarbeiter oder auch Kunden betrifft. Die Meldung muss außerdem umfassend sein und die Art der Datensicherheitsverletzung, die Anzahl der kompromittierten Datensätze, die Kontaktdaten des für die Daten verantwortlichen Leiters sowie die Maßnahmen umfassen, die das Unternehmen zum Beheben des Schadens plant.
GDPR als Chance begreifen
Manche Unternehmen fürchten, dass solche weiteren Regulierungen dem Geschäft schaden. Doch die GDPR gilt weithin als positiver Paradigmenwechsel beim Schutz kritischer Daten im EU-weiten Handel. Die Idee eines gemeinsamen europäischen Marktes für Cybersicherheit ist gut, denn damit sollen die bestehenden Lücken in den digitalen Geschäftsbereichen geschlossen werden. Innovative Sicherheitslösungen und Dienstleistungen können eine große Hilfe beim Schutz der Daten sein, die in geschäftskritischen Anwendungen stecken. Der Cybersicherheitsmarkt ist einer der am schnellsten wachsenden Bereiche in der Wirtschaft weltweit. Die EU geht hier voran und ist dabei, eine starke Kultur der Datensicherheit zu entwickeln und robuste Maßnahmen für Unternehmen zu implementieren, die die Regelungen nicht einhalten. Damit ist es für Unternehmen jetzt an der Zeit, ihre Daten in Ordnung zu bringen, nicht nur um die Anforderungen der GDPR zu erfüllen, sondern auch durch Vertrauen ihren künftigen Geschäftserfolg zu sichern.
*Die Autorin Lizzie Cohen-Laloum ist Senior Vice President EMEA Sales bei F5 Networks.

Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*