Der Weg zur Erfüllung der DSGVO-Anforderungen lässt sich in vier Etappen unterteilen. [...]
Am 25. Mai kommenden Jahres wird die DSGVO in der gesamten EU in Kraft treten. Viele österreichische Unternehmen blicken dem Stichtag mit Unbehagen entgegen, denn sie werden mit einer Vielzahl neuer Pflichten konfrontiert. Obwohl das Hauptaugenmerk der DSGVO auf der Verarbeitung von personenbezogenen Daten liegt, schreibt sie nämlich auch technische Lösungen vor, um die Datensicherheit zu verbessern und Datenlecks zu vermeiden. Diese müssen Unternehmen nun rechtzeitig umsetzen, denn die Strafen für Verstöße gegen die Verordnung sind empfindlich: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Bei internationalen Unternehmen basiert die Höhe der Strafe auf dem Umsatz der gesamten Unternehmensgruppe. Für manches Unternehmen könnte so eine Strafe das Ende der unternehmerischen Tätigkeit bedeuten.
Jedes Unternehmen muss seine Risiken abwägen und den Umfang der von ihm verarbeiteten physischen Daten analysieren. Es ist nicht nur wichtig, die Daten richtig zu speichern, sondern auch festzulegen, für wen sie zugänglich sind.
Analysephase
Der Implementierungsprozess der DSGVO lässt sich in mehrere Etappen unterteilen. Zu Beginn erfolgt die Kategorisierung der Daten. Um die Daten von natürlichen Personen zu verwalten und zu schützen, muss man verstehen, wo und zu welchen Zwecken die Daten gespeichert werden. Zur Unterstützung dabei haben Software-Entwickler zum Beispiel das neue Tool »eDiscovery« geschaffen, um die vorhandenen strukturierten (Datenbanken) und unstrukturierten Daten (PDF-, Word-, Excel-Dokumente, E-Mails etc.) effektiv und schnell zu analysieren und zu verwalten.
Für die Verwendung dieser Lösungen sind natürlich größere Server-Kapazitäten erforderlich. Kleine und mittlere Unternehmen können diese Funktionalität daher nur durch Speicherung der Daten auf Cloud-Servern erreichen, in denen auch die E-Discovery-Funktionalität integriert ist. Schon heute arbeiten große Anbieter wie Microsoft und Google an der Implementierung dieser Funktionalität in ihren Cloud-Lösungen.
Verwaltungsphase
In dieser Phase muss die Art und Weise der Speicherung der Daten von natürlichen Personen und das Vergeben von Nutzungsrechten zu diesen Daten ausgearbeitet werden. Oft fehlt kleinen und mittleren Unternehmen eine zentralisierte Nutzerverwaltung und alle Mitarbeiter des Unternehmens haben den gleichen Zugang zu den personenbezogenen Daten. Das bedeutet, dass eine große Gefahr für Datenlecks im Unternehmen besteht. Den Mitarbeitern müssen nach der DSGVO je nach Rollen und Kompetenzen angepasste Zugangsrechte zugeteilt werden. Die Nutzerverwaltung hilft auch dabei, die Ursachen im Falle eines Datenlecks zu verfolgen und zu dokumentieren. Darüber hinaus müssen mobile Geräte verwaltet werden. Egal ob ein Gerät im Besitz des Unternehmens oder eines Mitarbeiters ist, befinden sich darauf normalerweise auch das E-Mail-Konto des Unternehmens sowie Arbeitsdokumente. Diese können im Falle eines Diebstahls oder Verlust des Geräts in die Hände von Dritten geraten. Sollten diese Daten nicht geschützt und dieses Gerät nicht zentral überwacht sein, wird man möglicherweise den Verlust sogar an die Datenschutzbehörde melden müssen, da es sich um ein Datenleck handelt.
Schutzphase
Sobald die Geräte und Technologien zur Speicherung von Daten natürlicher Personen bestimmt wurden und die Nutzerverwaltung eingerichtet wurde, kann mit dem eigentlichen Datenschutz begonnen werden. Die passende technische Lösung wird abhängig von Speicherort und Speichertechnologie gewählt. Erster Grundstein für die Sicherheit ist die Verschlüsselung der Daten auf Festplattenebene auf allen Geräten der Endbenutzer (Rechner, Mobiltelefone, Tablets). Wenn das Gerät eines Endbenutzers verloren geht oder gestohlen wird, kann man auf die Daten, die sich auf diesen Geräten befinden, nicht mehr zugreifen.
Leider reicht es nicht, die Daten nur auf Festplattenebene zu sichern. Denn falls die Daten bewusst oder unbewusst während einer Kommunikation (per E-Mail, WhatsApp, DropBox etc.) weitergegeben wurden, wird auch die Verschlüsselung auf Festplattenebene nichts nützen. Deshalb sollte man die Nutzung von Verschlüsselungstools auf Dateiebene erwägen. Diese gewährleisten, dass das Dokument geschützt ist und nicht geöffnet werden kann, selbst wenn es in die Hände von unbefugten Dritten gelangt. Für Unternehmen jedoch, die mit strukturierten Daten und umfangreichen Informationssystemen arbeiten – beispielsweise Lotterie-Anbieter – ist es essentiell, die Verschlüsselung auf Datenbankebene sowie gesicherte Datenkanäle mittels SSL-Zertifikaten einzurichten und den Zugang zum internen System nur über eine VPN-Verbindung zuzulassen.
Genauso wichtig ist es für das Unternehmen, für kompetentes IT-Personal zu sorgen und zu analysieren, ob dieses auf alle IT-Systeme, inklusive die Daten natürlicher Personen, Zugang haben soll. Im Falle eines Datenlecks muss das Unternehmen nachweisen können, alles getan zu haben, um die Daten natürlicher Personen zu schützen. Für diese Zwecke sind IT-Lösungen notwendig, die die Zugangszeiten, Tätigkeiten der Mitarbeiter und von ihnen vorgenommene Änderungen dokumentieren.
Berichtsphase
In der Schlussphase gilt es, die eingerichteten Prozesse und die festgelegte Unternehmenspolitik zu überwachen. Ebenso muss ein Monitoring-System in der IT-Infrastruktur des Unternehmens eingerichtet werden, das die Netzwerke und untypische Handlungen der autorisierten Personen überwacht. Damit wird gewährleistet, dass die zuständigen Mitarbeiter im Falle eines unbefugten Zugriffs auf die Daten und Infrastruktur des Unternehmens rechtzeitig informiert werden.
*Justs Cielens | Squalio Austria
Be the first to comment