EU-Datenschutz-Grundverordnung: Unbefugte werden zum teuren Risiko

  • Geldbuße: Bis zu vier Prozent des Jahresumsatzes.
  • Access Rights Management wesentlicher Bestandteil der DS-GVO.

foto cc0 pixabay pdp private keep outDie digitale Transformation basiert auf Daten – nicht nur über Maschinen, Produkte, Fertigungsprozesse, sondern auch über Personen, Unternehmen und Netzwerke. Die EU-Datenschutz-Grundverordnung DS-GVO ist nun endgültig verabschiedet, das teuerste Problem der Wirtschaft ist der »Unbefugte« geworden.

»Ein Mitarbeiter, der in Daten Einblick hat, obwohl er diese spezifischen Informationen für seine Tätigkeit nicht benötigt, kann mit dem DS-GVO zum teuren Krisenfall werden. Die Bußgelder betragen bis zu vier Prozent vom weltweit erwirtschafteten Jahresumsatz«, warnt Matthias Schulte-Huxel, CSO bei 8MAN. Bei einem Konzern wie Siemens könnte ein ernsthafter Datenskandal also eine Strafzahlung von mehr als drei Milliarden Euro nach sich ziehen.

Als ernsthafter Verstoß gilt dabei die Nichteinhaltung der Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) sowie der Bestimmungen zur Einwilligung betroffener Personen (Artikel 7). »Es ist wichtiger denn je, im Unternehmen genau zu prüfen und festzulegen, welche Person in welcher Funktion Zugriff auf welche Daten und Informationen hat«, sagt Matthias Schulte-Huxel.

Access Rights Management wesentlicher Bestandteil

Unbefugte Zugriffe auf Daten sind damit dringlich zu verhindern, schaffbar ist das nur mit einer firmeninternen Lösung für das Access Rights Management. Schließlich geht es nicht nur um den Schutz vor Zugriffen, sondern auch um den Nachweis, dass ein Zugriff nicht möglich war.

»Wir haben unsere Lösung bereits lange vor der DS-GVO so entwickelt, dass auf Knopfdruck ersichtlich ist, wer welche Berechtigungen im Unternehmen hat. Anpassungen der Zugriffsrechte sind dabei ebenso leicht möglich, jeder Eingriff wird dabei protokolliert und ist revisionssicher verwahrt«, sagt Schulte-Huxel von 8MAN. Über einfache Nutzerschnittstellen können auch Fachabteilungen die Rechtevergabe umsetzen – jederzeit durch ein Vieraugen-Prinzip abgesichert. »Die wesentlichen Forderungen der DS-GVO sind damit erfüllt, um unbefugte Zugriffe auszuschließen«, so der Chief Security Officer.

72 Stunden Meldefrist

In Artikel 31 der DS-GVO ist geregelt, dass eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden ist, unter der Bedingung, dass die Verletzung zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen führen kann. Allerdings müssen auch kleinere Verletzungen intern dokumentiert werden und jederzeit nachvollziehbar sein. »Auch hier bietet wir aktive Hilfe, denn auch die Zugriffe werden protokolliert. Selbst wenn der CIO sich selber alle nötigen Rechte verleiht, Daten kopiert und nachher die Berechtigungen wieder löscht: 8MAN weiß das«, sagt Matthias Schulte-Huxel.

Weitere Artikel zu