Security

Ist Ihr Unternehmen auf die neue Datenschutz-Grundverordnung vorbereitet?

In 8 Monaten, am 25. Mai 2018 wird die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft treten und die alte EU Datenschutzrichtlinie aus dem Jahre 1995, die längst überholt ist, ersetzen. Die EU Bezeichnung zum gleichen Thema lautet General Data Protection Regulation (GDPR).

Viele Unternehmen haben sich mit dem Thema noch nicht oder wenig befasst. Es wird höchste Zeit das Thema aufzugreifen und die Schwachstellen im Unternehmen ausfindig zu machen und mit geeigneten Mitteln zu beseitigen. Wenn die Daten beispielsweise in Cloud basierten Diensten gespeichert sind wie Drop Box, Google Drive, Microsoft OneDrive, die nicht konform sind zu den Unternehmens- Richtlinien, so sind diese in abgesicherten Umgebungen abzulegen.

Die DSGVO umfasst 99 Artikel, die die Rechte von europäischen Personen und Anforderungen an die Unternehmen sowie Strafen festhalten und gilt in allen 28 EU Mitgliedsstaaten. Es wird festgelegt wie persönliche Daten von EU Bürgern erfasst, gespeichert, verarbeitet, gelöscht und verwendet werden. Die Regelung betrifft alle nationalen und internationalen Unternehmen die im EU Raum tätig sind. Das Datum des Inkrafttretens ist ein fixer Termin der keinerlei Karenzzeit erlaubt. Die Verordnung gilt für alle Unternehmensgrößen vom Kleinstunternehmen bis zum Großunternehmen die persönliche Fremddaten gespeichert haben, egal ob on premise oder in Cloud Umgebungen. Aufsichtsbehörden überwachen ob die Richtlinien eingehalten werden.

Wenn nicht nachgewiesen werden kann, dass die Sicherheitsmaßnahmen umfassend sind, können Geldbußen bis zu 4% vom internationalen Vorjahresumsatze bzw. bis zu 20 Millionen € (je nachdem welche Beträge die höheren sind) verhängt werden. Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde und die betroffenen Personen gemeldet werden. Aus der Meldung muss hervorgehen welchen Schaden die Verletzung verursachen kann und welche Maßnahmen zu ergreifen sind, damit sich der Vorfall nicht wiederholt. Für die Überwachung ist ein Datenschutzbeauftragter zu installieren, der die Einhaltung der DSGVO überwacht und Mitarbeiter entsprechend sensibilisiert.

Bevor Maßnahmen ergriffen werden, wie das Risiko die Datenschutzrichtlinie zu verletzen verhindert werden kann, muss eine umfangreiche Analyse vorgenommen werden, wie die Sicherheit bereits heute gewährleistet ist. Folgende Fragen müssen u.a. gestellt werden:

  • Wie und wo sind die personenbezogenen Daten gespeichert?
  • Wer hat eine Zugriffs-berechtigung darauf?
  • Wie ist der Zugriff organisiert?
  • Werden die Zugriffe fälschungssicher protokolliert?
  • Sind die Daten verschlüsselt abgelegt?
  • Welcher Sicherheitsschutz ist bereits installiert?

Wenn das Analyseergebnis Schwachstellen aufweist, müssen Maßnahmen dringend getroffen werden um die Lücken zu schließen. Die Absicherung kann nur mit entsprechenden Technologien realisiert werden, die in der Lage sind, Datenschutz-verletzungen zeitnah zu erkennen, zu alarmieren, Probleme automatisch zu beheben, und Untersuchungsmöglichkeiten bieten (Fallmanagement und Forensik). Ein Cyber Angreifer der die Hürden überwunden und Daten gestohlen hat, wird das Unternehmen vor große finanzielle Probleme stellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.