Noch nicht bereit für die EU-DSGVO? In 7 Schritten startklar

Die EU-Datenschutzgrundverordnung (EU-DSGVO) tritt im Mai dieses Jahres in Kraft. Die neuen Regeln stellen eine große Herausforderung für Unternehmen sowie ihre Anwendungen, Daten, Plattformen und Sicherheitsprozesse dar.

Obwohl das Datum immer näher rückt, haben einige Unternehmen noch nicht einmal mit der Vorbereitung begonnen. Spätestens jetzt sollten sie folgende Schritte durchführen:

  1. Rechtslage prüfen
    Bei der DSGVO geht es nicht nur um IT. Unternehmen sollten auch aus rechtlicher Perspektive Informationen zu den gespeicherten und genutzten Daten einholen. Zum Beispiel: Wie lange werden sie aufbewahrt, wo befinden sie sich und wie und warum werden sie verwendet?
  2. Definieren der »Persönlich Identifizierbaren Informationen« (PII)
    Auf konzeptioneller Ebene ist zu definieren, welche personenbezogenen Daten verwendet werden. Dazu dient das Erstellen eines PII-Datenmodells für das gesamte Unternehmen. Dies bildet die Grundlage für die weiteren Schritte.
  3. Daten auf Geschäftsfunktionen abbilden
    Unternehmen müssen erfassen, welche Daten von welchen Teams zu welchem Zweck verwendet werden. Zudem ist zu prüfen, ob jeder Unternehmensbereich nur die für ihn erforderlichen Daten verwendet.
  4. Daten den Anwendungen zuordnen
    Der nächste Schritt besteht in der genauen Lokalisierung der Daten, also wo sie tatsächlich gespeichert sind. Dazu dient zum Beispiel eine Matrix von Datenmodell-Entitäten für die Anwendungen. Dabei sollte jeder Matrix-Eintrag zeigen, ob die Anwendung die Daten erstellt, liest, aktualisiert oder löscht. Zusätzlich ist die »Reise« der Daten durch Anwendungen und Systeme sowie Kopien dieser Daten nachzuvollziehen.
  5. Bewertung von Anwendungsfällen der EU-DSGVO
    Unternehmen sollten nun mögliche Anwendungsfälle der DSGVO identifizieren, die mit personenbezogenen Daten zusammenhängen, und deren Auswirkungen bewerten. So sind Fragen von Betroffenen zu beantworten, wie: »Wozu verwenden Sie meine Daten?«. Eine weitere Anforderung ist das »Recht, vergessen zu werden«, das meist Änderungen bei Anwendungen und Datenbanken erfordert.
  6. Minimierung von Sicherheitsrisiken
    Der nächste Schritt ist die Bewertung der Sicherheitsrisiken beim Zugriff auf die Daten. Dies muss die Geschäfts-, IT- und Betriebssicht abdecken. Damit lassen sich zahlreiche notwendige Maßnahmen erkennen, zum Beispiel Beschränkung des Datenzugriffs, Änderung der Bereitstellungsarchitektur mit Zonen erhöhter Sicherheit oder technische Schutzmaßnahmen wie Verschlüsselung.
  7. Erkennung von Sicherheitsvorfällen
    Dieser Schritt ergänzt die Sicherheitsmaßnahmen durch Intrusion Detection und Benachrichtigungen. Im Falle eines Verstoßes ist eine Folgenabschätzung nötig, die auf Beweisen basieren muss. Welche Informationen sind dazu nötig und wie lassen sie sich proaktiv erfassen? Laut DSGVO müssen die zuständigen Behörden innerhalb von 72 Stunden nach einem Vorfall benachrichtigt werden. Zur Erfüllung dieser Anforderung sind die entsprechenden Prozesse zu überprüfen.

Eine vollständige Vorbereitung auf die EU-DSGVO umfasst natürlich mehr als diese Punkte. Aber sie stellen die grundlegenden Schritte dar. Zudem bilden sie die Basis für eine gut organisierte und geschäftsorientierte IT. So ermöglichen sie zum Beispiel eine Rückverfolgbarkeit der Prozesse. Dies beantwortet nicht nur Fragen im Rahmen der DSGVO, sondern auch zur Unterstützung der Geschäftsziele.

Weiterführende Informationen zum Thema DSGVO finden Sie hier: 
Ist Ihr Unternehmen bereit für die neue Datenschutzgrundverordnung? 
Unternehmen im Spagat zwischen DSGVO und Cloud-Diensten 

 


Ist Ihr Unternehmen bereit für die neue Datenschutzgrundverordnung?

 

Der Fahrplan der im Mai 2016 in Kraft getretenen EU-Datenschutzgrundverordnung ist, dass sie ab Mai 2018 für alle EU-Mitgliedsstaaten als verbindliches Recht anzuwenden ist. Wer bisher die Vorschriften des Deutschen Bundesdatenschutzgesetzes (BDSG) erfüllt hat, ist aber längst nicht automatisch für die neue Verordnung gerüstet.

 

Die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union ist beschlossene Sache und Unternehmen haben nur noch bis zum Mai 2018 Zeit, bis die Verordnung in allen EU-Mitgliedsstaaten in Kraft tritt. Ziel der Verordnung ist, für Unternehmen in der EU Klarheit beim Umgang mit personenbezogenen Daten zu schaffen.

 

Die neue DSGVO ist keine Revolution, sondern eher eine Evolution. Doch auch wenn viele Unternehmen bereits umfangreiche Datenschutzkonzepte umgesetzt haben, sollten sie die DSGVO nicht auf die leichte Schulter nehmen. Vielmehr ist es wichtig, den Inhalt genau zu kennen und zu wissen, welche Teile der Verordnung im Unternehmen zeitnah umzusetzen sind.

 

Personenbezogene Daten

Die Definition des Ausdrucks „personenbezogene Daten“ ist in der DSGVO im „Artikel 4 – Begriffsbestimmungen“ zu finden. Demnach fallen darunter „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen.“

 

Der Begriff „identifizierbar“ ist dabei besonders zu beachten. Denn personenbezogene Daten zu einer Person lassen sich aus vielen Informationen ableiten, etwa aus einer IP-Adresse, einer Kennnummer, aus Standortdaten oder der Angabe besonderer Merkmale. Werden also solche Daten gespeichert, ist die DSGVO anzuwenden.

 

Nationale Anpassungen

Wie bei fast allen Verordnungen der EU-Kommission bietet auch die Datenschutzgrundverordnung eine Reihe von Freiheiten für nationale Anpassungen. Das ist auch der Grund, warum die DSGVO nicht in allen EU-Ländern einheitlich ist. Die dafür in Frage kommenden Punkte werden als „Öffnungsklauseln“ bezeichnet und bieten den Ländern Spielraum für eigene Vorschriften.

 

In Deutschland verabschiedete der Bundestag am 27. April 2017 dazu ein ergänzendes Gesetz zur Anpassung des Datenschutzes: das „Datenschutz-Anpassungs- und Umsetzungsgesetz“, kurz EU DSAnpUG-EU. Die Zustimmung des Bundesrates erfolgte kurze Zeit später, am 12. Mai 2017.

 

Dieses Gesetz hat in der breiten Bevölkerung für jede Menge Kontroversen gesorgt. Viele Unternehmen befürchten dadurch bei der Umsetzung der Verordnung eine erhöhte Rechtsunsicherheit. Die Praxis wird zeigen, ob sich das bewahrheitet.

 

Pflicht zur Dokumentation

Die DSGVO schreibt vor, dass die Menge und Art der gespeicherten personenbezogenen Daten dem Zweck angemessen sein müssen. Demnach dürfen nur solche Daten gespeichert werden, die für eine Verarbeitung relevant sind. Sobald diese Daten für den ursprünglichen Verarbeitungszweck nicht mehr erforderlich sind, müssen sie gelöscht werden.

 

Das Koppelungsverbot ist ein weiterer wichtiger Punkt. Zwar gab es das bereits im alten Bundesdatenschutzgesetz (BDSG), aber in der neuen DSGVO wurde das Verbot weiter verschärft. Zusatzleistungen dürfen nun nicht mehr an eine Einwilligung zur Verarbeitung der personenbezogenen Daten gebunden werden. Es ist also unzulässig, für die Bereitstellung einer bestimmten Leistung eine Zustimmung für eine weitere Leistung (wie etwa ein Newsletter-Abo) zu erzwingen.

 

Unternehmen sind darüber hinaus verpflichtet, die Verarbeitung und Verwendung der personenbezogenen Daten zu dokumentieren. Zudem müssen sie in der Lage sein, jederzeit die Einhaltung der Datenschutzgrundsätze nachzuweisen. Das erfordert beispielsweise regelmäßige Kontrollen der Einhaltung des Datenschutzes und die Dokumentierung der Ergebnisse. Hinzu kommt eine Meldepflicht bei Datenschutzverletzungen. Diese müssen innerhalb von 72 Stunden der zuständigen Behörde mitgeteilt werden. Zusätzlich sind alle betroffenen Personen immer dann zu informieren, wenn so ein Vorfall ein Risiko für ihre persönlichen Rechte bedeutet.

 

Das Recht auf Datenlöschung

Ein weiterer wichtiger Punkt der DSGVO ist das „Recht auf Löschung“. Somit hat eine betroffene Person das Recht, dass ihre personenbezogenen Daten auf Verlangen vom zuständigen Verantwortlichen gelöscht werden. Die Voraussetzung dafür ist mindestens einer der folgenden Gründe:

 

  • die personenbezogenen Daten werden für den ursprünglich erhobenen Zweck nicht mehr benötig;
  • die betroffene Person widerruft ihre ursprüngliche Einwilligung zur Datenspeicherung;
  • die betroffene Person legt Widerspruch gegen die Verarbeitung ihrer persönlichen Daten ein.

 

Die Löschpflicht beinhaltet zugleich, eventuelle Datenkopien, Backups und Links auf Daten und Kopien ebenfalls zu löschen. Sie schließt darüber hinaus auch andere Datenspeicher ein. Das können beispielsweise Papierakten, Mikrofilme und Fotos sein.

 

Anforderungen an die Technik

Um die neuen Vorschriften im geschäftlichen Alltag umzusetzen und einzuhalten, sind neben den organisatorischen Maßnahmen außerdem entsprechende Anforderungen bezüglich der IT-Strukturen zu erfüllen. Das gilt umso mehr, wenn für das Speichern der personenbezogenen Daten Cloud-Strukturen zum Einsatz kommen. So müssen sich auch Cloud-Anbieter auf die DSGVO vorbereiten und das Thema Datenschutz und Informationssicherheit noch stärker in den Fokus rücken.

 

Für Cloud-Anbieter wie Rackspace  ist der gesetzeskonforme Umgang mit personenbezogenen Daten Alltag. Dazu gehört beispielsweise ein rund um die Uhr verfügbares Customer Security Center, das mit erfahrenen GCIA- und GCIH-zertifizierten Sicherheitsanalysten besetzt ist. Diese Zertifizierungen gehören zu den „Global Information Assurance Certifications“ (GIAC). Dabei steht GCIA für „Certified Intrusion Analyst Certified Professionals“ und GCIH für „Certified Incident Handler Certified Professionals“.

 

Die Sicherheitsanalysten bei Rackspace verwenden Bedrohungsintelligenz und fortgeschrittene Analysen, um den unberechtigten Zugriff auf personenbezogene Daten abzuwehren. Auf Basis von vorab genehmigten Aktionen können rund um die Uhr Bedrohungen erkannt und beseitigt werden. Zudem kommen führende Sicherheitstechnologien für die Sicherheitsdienste zum Einsatz, inklusive Host- und Netzwerksicherheit. Damit ist sichergestellt, dass sich Dritte keinen Zugang zu personenbezogenen Daten verschaffen können.

 

Fazit zur Datenschutzgrundverordnung

Die Uhr tickt und für Unternehmen ist es höchste Zeit, sich intensiv mit der neuen EU Datenschutzgrundverordnung und dem ergänzenden Datenschutz-Anpassungs- und Umsetzungsgesetz auseinanderzusetzen. Dabei ist zu beachten, dass es Unterschiede zum alten Bundesdatenschutzgesetz gibt. Das heißt, dass Unternehmen, die das alte Gesetz bereits umgesetzt haben, nicht automatisch davon ausgehen dürfen, die Anforderungen des neuen Gesetzes zu erfüllen. Das ist sehr ernst zu nehmen, denn die Strafen bei Verstößen sind empfindlich hoch.

 

Unternehmen werden in Zukunft noch mehr auf eine hochsichere Konfiguration ihrer gesamten IT achten müssen. Auch Anbieter von IT-Strukturen haben sich den Herausforderungen der DSGVO zu stellen. Sie sind gefordert, einen großen Teil des Datenschutzes durch modernste am Markt verfügbare Technik aktiv zu unterstützen. Rackspace bietet deshalb den neuen Cyber-Security-Service »Privacy and Data Protection (PDP)« an, der Unternehmen einen vollständig verwalteten Datenschutzservice für personenbezogene Daten bereitstellt.

Haben Sie Fragen rund um das Thema dann stehen Ihnen unsere RMS Experten jederzeit zur Verfügung.

Textquelle: https://blog.rackspace.com/de/neue-eu-datenschutzgrundverordnung

Catharina Krebs

 


 

Leitfaden zum User- & Rechte-Management im Kontext der EU-DSGVO

Weniger als 100 Tage bis zur EU-DSGVO: wie sich Unternehmen jetzt noch wappnen können

3 von 4 Unternehmen nicht EU-DSGVO-ready

EU-DSGVO: Sprungbrett zum Patientenservice der Zukunft

Die EU-DSGVO als Chance nutzen

Die EU-DSGVO als Herausforderung für Data Management – vier zentrale Eigenschaften geeigneter Lösungen