Security

DSGVO: Jetzt wird es höchste Zeit, Ihr Unternehmen vorzubereiten

Nur noch drei Monate – oder ab heute 16. Februar, 14 Wochen oder 98 Tage: Am 25. Mai 2018 tritt die neue Datenschutz Grundverordnung (DSGVO) der Europäischen Union in Kraft und löst die alte EU-Datenschutzrichtlinie aus dem Jahre 1995 ab. Die englische Bezeichnung zum gleichen Thema lautet General Data Protection Regulation (GDPR). Diese Grundverordnung ist bereits am 25. Mai 2016 in Kraft getreten. Anzuwenden ist sie ab dem 25. Mai 2018. Unternehmen, die mit der Umsetzung noch nicht begonnen haben, steht nicht mehr viel Zeit zur Verfügung, und es wird dringend empfohlen, externe Berater zu beauftragen, um die Schwachstellen im Unternehmen ausfindig zu machen und mit geeigneten Mitteln zu beseitigen. Der Artikel 32 in der DSGVO verpflichtet die Unternehmen, die personenbezogenen Daten „dem Stand der Technik“ entsprechend zu schützen. Wenn die Daten beispielsweise in cloud-basierten Diensten gespeichert sind wie Dropbox, Google Drive, Microsoft OneDrive, die nicht konform sind zu den Unternehmensrichtlinien, so sind diese in abgesicherten Umgebungen abzulegen.

Was regelt die DSGVO?

Die DSGVO umfasst 99 Artikel, die die Rechte von europäischen Personen und Anforderungen an die Unternehmen sowie Strafen festhalten und gilt in allen EU-Mitgliedsstaaten. Es wird festgelegt, wie persönliche Daten von EU-Bürgern erfasst, gespeichert, verarbeitet, gelöscht und verwendet werden dürfen. Die Regelung betrifft alle nationalen und internationalen Unternehmen, die im EU-Raum tätig sind. Das Datum des Inkrafttretens ist ein fixer Termin, der keinerlei Karenzzeit erlaubt. Die Verordnung gilt für alle Unternehmensgrößen vom Kleinstunternehmen bis zum Großunternehmen, die persönliche Fremddaten gespeichert haben, egal ob on-premise oder in Cloud-Umgebungen. Wenn nicht nachgewiesen werden kann, dass die Sicherheitsmaßnahmen umfassend sind, können Geldbußen bis zu vier Prozent vom internationalen Vorjahresumsatz bzw. bis zu 20 Millionen Euro (abhängig davon, welcher Betrag der höhere ist) verhängt werden. Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde und die betroffenen Personen gemeldet werden. Aus der Meldung muss hervorgehen, welchen Schaden die Verletzung verursachen kann und welche Maßnahmen zu ergreifen sind, damit sich der Vorfall nicht wiederholt. Für die Überwachung ist ein Datenschutzbeauftragter zu bestimmen, der die Einhaltung der DSGVO überwacht und Mitarbeiter entsprechend sensibilisiert.

Die Voraussetzungen für die Umsetzung im Unternehmen

Bevor Maßnahmen ergriffen werden können, um das Risiko, die Datenschutzrichtlinie zu verletzen, zu verringern, muss eine umfangreiche Analyse vorgenommen werden, wie die Sicherheit bereits heute gewährleistet ist. Es müssen Fragen gestellt werden, beispielsweise wie und wo sind die personenbezogenen Daten gespeichert, wer hat eine Zugriffs-berechtigung darauf, wie ist der Zugriff organisiert, werden die Zugriffe fälschungssicher protokolliert, sind die Daten verschlüsselt abgelegt, welcher Sicherheitsschutz ist bereits installiert. Wenn das Analyseergebnis Schwachstellen aufweist, müssen Maßnahmen dringend getroffen werden, um die Lücken zu schließen. Die Absicherung kann nur mit entsprechenden Technologien realisiert werden, die in der Lage sind, Datenschutz-verletzungen zeitnah zu erkennen, zu alarmieren, Probleme automatisch zu beheben, und Untersuchungsmöglichkeiten bieten (Fallmanagement und Forensik).

Bei Fragen können Sie uns gern ansprechen. Bitte schreiben Sie an wolfgang.heinhaus@isg-one.com.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.