EU-Datenschutz-Grundverordnung – Fünf-Punkte-Plan für die Datensicherung

Mit der neuen EU-Datenschutz-Grundverordnung drohen ab 2018 empfindliche Geldstrafen, aber mit den folgenden Empfehlungen sehen Organisationen dem nächsten Jahr gelassen entgegen.

Aus Sicht des Gesetzgebers ist alles geregelt. Am 25. Mai 2016 trat die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, und nach Ablauf einer zweijährigen Übergangsfrist ist sie ab dem 25. Mai 2018 anwendbar. Aus Sicht der Wirtschaft stellt sich die Situation schon komplexer dar. Die gesetzlichen Vorschriften sind das eine, aber wie lassen sie sich möglichst sinnvoll und kosteneffizient umsetzen?

Realitätsschock für den Datenschutz. Diese Aufgabenstellung ist nicht ohne, denn die neue Datenschutz-Grundverordnung der EU legt gleich eine Reihe von Regeln fest, die Unternehmen befolgen müssen. Organisationen sollen nachweisbar sicherstellen, dass persönlich identifizierbare Informationen geschützt werden. Besonders schwierig wird das, wenn die im Gesetzestext unter dem Kürzel »PII« zusammengefassten Daten immer häufiger mobil abgerufen und auf verteilten Cloud-Plattformen ausgelagert werden.

Im modernen IT-Umfeld ist es deshalb immer schwerer, geschäftskritische Daten nachzuverfolgen. Da ein Großteil dieser Daten nicht mehr innerhalb eines geschützten Firmennetzwerks lagert, sondern etwa auf Endgeräten der mobilen User, wird der Zugriff potenziellen Angreifern leichter gemacht. Insofern ist es folgerichtig, dass die im Gesetz festgeschriebenen Regeln den Schutz personenbezogener Daten auf ein EU-einheitliches Niveau bringen sollen.

Folgen für die Firmenstrategie. Datenschutz als Grundrecht wirkt sich direkt auf die Unternehmensstrategie aus, denn nun müssen weitere Compliance-Vorgaben penibel dokumentiert und eingehalten werden. Mehr noch: Zum ersten Mal verhängt die europäische Staatengemeinschaft empfindliche Geldstrafen, wenn ein Unternehmen gegen die Bestimmungen verstößt. Die strafrechtliche Umsetzung inklusive der Höhe dieser Bußgelder fällt indes den nationalen Datenschutzaufsichtsbehörden zu.

Bislang waren Bußgelder in Millionenhöhe die Ausnahme in der aufsichtsbehördlichen Praxis, aber mit den EU-DSGVO-Bestimmungen könnten Bußgelder in solcher Höhe häufiger werden. In Deutschland sind demnach Strafgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vorgesehen. Der Bußgeldrahmen für einfache Ordnungswidrigkeiten liegt zwischen 50.000 und 300.000 Euro.

Datenschutz bei Backup-Lösungen. Höchste Zeit also, dass deutsche Unternehmen ihre eigenen Systeme darauf vorbereiten, um die neuen Anforderungen der DSGVO-Datenschutzbestimmungen bereits vor 2018 zu erfüllen. Beispiel Backup-Systeme: Datensicherungsanbieter wie Druva haben ihre Backup-Lösungen auf die Einhaltung der erweiterten Datenschutz- und Backup-Anforderungen vorbereitet. So können Unternehmen die Datensicherungen aller Geräte (Laptops, Smartphones, Tablets, Desktops, Server) und Cloud-Applikationen ihrer Anwender (wie Office 365, Salesforce, Google-Works, Box) von zentraler Stelle aus einsehen und verwalten. Mögliche Datenlecks lassen sich so schneller identifizieren und nachverfolgen, Daten auf Mobilgeräten verschlüsseln oder ganz löschen.

Mit Blick auf das kommende Jahr befolgen Unternehmen am besten den Fünf-Punkte-Plan (siehe Kasten), um ihre eigenen Systeme auf die neuen Anforderungen vorzubereiten. Als erstes sollten sie alle Kundendatensätze im gesamten Unternehmen prüfen. Denn die Einführung neuer Prozesse oder die Stärkung des bestehenden Verfahrens ist nur dann möglich, wenn alle PII-Instanzen bekannt sind. So verstehen sie die eigenen Geschäftsprozesse besser, die Kundendaten erzeugen oder verwenden. Auf diese Weise wird auch sichtbar, welche Kundendaten gegenwärtig nicht ausreichend geschützt oder verwaltet werden, beispielsweise bei einzelnen IT-Assets der Mitarbeiter.

Wer ist zuständig? Im zweiten Schritt sollten Unternehmen die zuständigen Verantwortlichen für Datenschutz und Sicherheit benennen. In ihren Aufgabenbereich fällt die funktionierende Zusammenarbeit zwischen IT-Gruppen innerhalb der IT-Abteilung sowie anderen Business-Teams und Geschäftseinheiten. Auf diese Weise sorgen sie dafür, dass die Einhaltung von Richtlinien überwacht und die Umsetzung von Backup-, Disaster-Recovery- und Archivierungsprozessen sichergestellt werden. Aus technischer Sicht empfiehlt sich dabei der Einsatz einer Gesamtlösung, die einen zentralen Blick auf alle Datenquellen ermöglicht und an verschiedenen Standorten gespeicherte Daten synchronisiert.

Business-Continuity-Richtlinien. Unternehmen müssen sicherstellen, dass ihre internen Teams sich gleichermaßen ihrer Verantwortung bewusst sind. Schritt Nummer drei ist daher, die bestehenden Business-Continuity-Richtlinien zu aktualisieren, so dass sie der EU-DSGVO entsprechen. Zugleich wendet sich dieses Richtliniendokument an alle Mitarbeiter und Abteilungen im Unternehmen, um das Bewusstsein und die Akzeptanz für die neu geordneten Technikprozesse zu stärken. Ganz entscheidend ist hier die Erfüllung der DSGVO-Vorgabe, dass Nutzer das Recht haben, »vergessen zu werden«. Auf Kundenwunsch müssen Daten gelöscht, bei Umzug oder Nichtnutzung gesetzeskonform aufbewahrt werden. Datenarchivierungsprozesse müssen auch an die Vorschrift angepasst werden, dass Nutzerdaten zum Teil jahrelang zu verwahren sind, selbst wenn ein Kunde keine Waren mehr kauft oder Dienstleistungen nicht mehr in Anspruch nimmt.

40 Prozent der Daten sind extern gespeichert. Der vierte Punkt ist, die Verwaltung von Kundendaten zu vereinfachen und die eingesetzten Backup-Lösungen zu konsolidieren. Viele geschäftskritische Daten lagern auf externen IT-Ressourcen – circa 40 Prozent der Unternehmensdaten befinden sich gar nicht bei der unternehmenseigenen IT. Allerdings schreiben die DSGVO-Bestimmungen vor, wie diese Informationen zu verwalten sind, wenn sie Kundendaten betreffen. Auch für Daten, die auf mobilen Endgeräten oder in dezentralen Büros gespeichert sind, müssen die gleichen Sicherheitsvorkehrungen eingehalten werden wie bei zentral gelagerten Informationen. Das betrifft zum Beispiel die Verschlüsselung von Daten auf mobilen Geräten. Gehen Geräte verloren oder werden sie gestohlen, sollten die Datenbestände sich auch über einen Remote-Befehl löschen lassen. Und bei der Speicherung von Daten in der Cloud darf nur das Unternehmen die relevanten Dateien entschlüsseln können. Durch eine Zentralisierung der Verwaltung lässt sich gewährleisten, dass alle einzuhaltenden Schritte automatisch ausgeführt werden.

Kommunikationsstrategie für Daten und den Datenschutz. Fünfter Punkt: Die Kommunikation zwischen der für Datenschutz und Sicherheit verantwortlichen IT-Abteilung und anderen Teams muss in diesem Jahr schon funktionieren – nicht erst 2018, wenn die Einhaltung der EU-DSGVO verbindlich wird. Geschäftsfunktionen wie Compliance, Rechtsfragen und Auditierung betreffen nicht nur Fachexperten, sondern auch die Mitarbeiter im gesamten Unternehmen, die ihre Aufgaben und Verantwortlichkeiten beim Umgang mit Kundendaten kennen müssen. Organisationen sollten deshalb eine Kommunikationsstrategie für Daten und den Datenschutz definieren, um die Mitarbeiter von Anfang an über ihre Verantwortlichkeiten zu informieren und auf dem aktuellen Stand zu halten. Auch für den Fall von Datenmissbrauch oder Datenverlust sollte ein Kommunikationsplan vorbereitet sein, der die lokale Datenschutzbehörde über den Verstoß schnellstmöglich in Kenntnis setzt und Kunden sowie Öffentlichkeit aktiv informiert.

Richtlinien befolgen. Mit der Novellierung der EU-Datenschutzgesetze stehen Unternehmen ab Mai 2018 viel stärker in der Verantwortung. Sie müssen die Speicherung und Verarbeitung personenbezogener Daten nach deutlich schärferen Sicherheitskriterien verantworten. Anhand des Fünf-Punkte-Plans überprüfen sie, ob sie hinsichtlich der regulatorischen Anforderungen auf der sicheren Seite sind.

 

Fünf-Punkte-Plan zur Einhaltung der EU-DSGVO

  • Aktuelles Konzept zur Datenverwaltung überprüfen, um eigene
    Position und Prozesse rund um den Datenschutz festzulegen
  • Führungskräfte im Unternehmen auf Einhaltung des
    Datenschutzes vorbereiten
  • Leitfaden für das Unternehmen veröffentlichen
  • Datenbestände konsolidieren
  • Anforderungen und Änderungen regelmäßig kommunizieren

 


Andreas Sturm,
Regional Sales Director DACH
von Druva

 

 

 

Illustration: © Archiwiz /shutterstock.com 

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

EU-DSGVO: Vom neuen EU-Datenschutz nicht verängstigen lassen

DSGVO: Unternehmen mühen sich mit Datenverfremdung ab

Offenen Auges in die Falle: Unternehmen sind unzureichend auf EU-Datenschutz-Grundverordnung vorbereitet

Schutz von Kundendaten mit Layered Security

Suche nach Fachkräften für Cybersicherheit erfordert Blick über den Tellerrand

Internationaler Datenschutztag: Kunden setzen auf »Datenschutz Made in Germany«

Geburtstag eines Klassikers: Zehn Jahre Europäischer Datenschutztag

Mehr als die Hälfte der Unternehmen ist nicht auf die Datenschutz-Grundverordnung vorbereitet

Der Datenschutz muss in digitale Produkte eingebaut sein

Datenstrategie: Top 5 Data-Trends für 2017

Best Practices, die helfen, die Anforderungen der GDPR zu erfüllen

Cybersicherheit: Interne Kommunikation erweist sich oft als große Hürde