EU-Datenschutz-Grundverordnung

Fünf Schritte zur Einhaltung der EU-DSGVO-Gesetzesvorgaben

| Autor / Redakteur: Andreas Sturm * / Florian Karlstetter

Vor dem Hintergrund der EU-DSGVO-Gesetzesvorhaben sind Unternehmen angehalten, eine klare Strategie für Daten und Datenschutz zu definieren.
Vor dem Hintergrund der EU-DSGVO-Gesetzesvorhaben sind Unternehmen angehalten, eine klare Strategie für Daten und Datenschutz zu definieren. (Bild: © leowolfert - Fotolia.com)

Die EU-Datenschutz-Grundverordnung ist beschlossen und erstmals drohen empfindliche Geldstrafen bei Nichtbeachtung. Mit den folgenden Empfehlungen bereiten sich Organisationen auf die Neuerungen 2018 vor.

Am 25. Mai 2016 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten und anwendbar ab dem 25. Mai 2018. Bei der DSGVO geht es im Wesentlichen um die Regeln, die Unternehmen befolgen müssen, um sicherzustellen, dass persönlich identifizierbare Informationen (PII) geschützt werden. Besonders schwierig in einer Umgebung, die zunehmend mobil und Cloud-basiert ist, denn schützenswerte Daten sind immer schwerer zu verfolgen. Da viele Daten nicht mehr hinter einer Firewall geschützt werden, steigt das Risiko, dass sie gefährdet sind und kompromittiert werden.

Die jetzt im Gesetz festgeschriebenen Regeln warten mit grundlegenden Veränderungen auf, um den Schutz personenbezogener Daten auf ein EU-einheitliches Niveau zu bringen. Datenschutz als Grundrecht wirkt sich dabei auch auf die Unternehmensstrategie aus, weil nun Compliance-Vorgaben einzuhalten sind. Erstmals kann ein Verstoß gegen die Bestimmungen durch ein Unternehmen zu Geldstrafen und strafrechtlicher Verfolgung führen.

Datensicherungsanbieter wie Druva haben ihre Backuplösungen auf die Einhaltung der erweiterten Datenschutz- und Backup-Anforderungen vorbereitet. So können Unternehmen beispielsweise Datenbestände auf den Geräten und in der Cloud (Office 365, Salesforce, Google-Works, Box) von zentraler Stelle aus einsehen. Mögliche Datenlecks lassen sich so schneller identifizieren und nachverfolgen, Daten auf Mobilgeräten verschlüsseln oder ganz löschen.

Mit den folgenden Schritten können sich Organisationen auf die regulatorischen Anforderungen vorbereiten:

1. Datenverwaltung und Datenschutzprozesse überprüfen

Jetzt ist die Zeit für Unternehmen, ihre aktuelle Position und Prozesse rund um den Datenschutz kritisch zu überprüfen. Eine Prüfung aller Kundendatensätze im gesamten Unternehmen hilft dabei, die eigenen Geschäftsprozesse besser zu verstehen, die Kundendaten erzeugen oder verwenden. Die Einführung neuer Prozesse oder die Stärkung des bestehenden Verfahrens ist nur dann möglich, wenn alle PII-Instanzen bekannt sind. Auf diese Weise wird auch sichtbar, welche Kundendaten gegenwärtig nicht ausreichend geschützt oder verwaltet werden, beispielsweise bei einzelnen IT-Assets der Mitarbeiter.

2. Führungskräfte für Einhaltung des Datenschutzes

Unternehmen sollten Verantwortliche für Datenschutz und Sicherheit benennen, welche die Zusammenarbeit zwischen IT-Gruppen innerhalb der IT-Abteilung sowie anderen Business-Teams und Geschäftseinheiten koordinieren. Ihre Aufgabe wäre es, die Einhaltung von Richtlinien zu überwachen und die Umsetzung von Backup-, Disaster-Recovery-und Archivierungsprozessen sicherzustellen. Auf der technischen Seite empfiehlt sich dabei der Einsatz einer Gesamtlösung, die einen zentralen Blick auf alle Datenquellen ermöglicht und an verschiedenen Standorten gespeicherte Daten synchronisiert.

3. Unternehmensleitfaden veröffentlichen

Damit interne Teams gleichermaßen ihre Verantwortung wahrnehmen können, müssen die bestehenden Business-Continuity-Richtlinien DSGVO-konform aktualisiert werden. Dieses Richtliniendokument richtet sich natürlich auch an den Rest des Unternehmens, um das Bewusstsein und die Akzeptanz für neue (technologische) Prozesse zu verbessern. Insbesondere geht es um die Erfüllung der DSGVO-Vorgabe, dass Nutzer das Recht haben, „vergessen zu werden“. Auf Kundenwunsch müssen Daten gelöscht, bei Umzug oder Nichtnutzung gesetzeskonform aufbewahrt werden. In regulierten Branchen ist es Vorschrift, dass Nutzerdaten zum Teil jahrelang verwahrt werden, auch wenn der Kunde keine Waren mehr gekauft oder Dienstleistungen nicht mehr in Anspruch genommen hat.

4. Konsolidierung zur Vereinfachung des Schutzes

Viele Daten gehen über die geschäftlichen Aktivitäten hinaus und sind teilweise nur über bestimmte IT-Ressourcen abrufbar. Rund 40 Prozent der Unternehmensdaten befinden sich gar nicht auf den zentralen IT-Plattformen. Die DSGVO-Anforderungen schreiben indes vor, wie diese Informationen zu verwalten sind, sofern sie Kundendaten beinhalten. Auf mobilen Endgeräten und in dezentralen Büros gespeicherte Daten müssen also in der gleichen Weise geschützt werden wie zentral aufbewahrte Informationen. Wichtig ist beispielsweise die Verschlüsselung von Daten auf mobilen Geräten. Gehen Geräte verloren oder werden sie gestohlen, sollten die Datenbestände sich auch über einen Remote-Befehl löschen lassen. Bei der Speicherung von Daten in der Cloud darf nur das Unternehmen die relevanten Dateien entschlüsseln können. Durch eine Zentralisierung der Verwaltung wird dabei gewährleistet, dass alle einzuhaltenden Schritte automatisch befolgt werden.

5. Plan für regelmäßige Kommunikation

Ab 2018 ist die Einhaltung der DSGVO verbindlich. Dann muss die Kommunikation stimmen zwischen der für Datenschutz und Sicherheit verantwortlichen IT-Abteilung und anderen Teams, die geschäftliche Aufgaben wie Compliance, Rechtsfragen und Auditierung verantworten. Nicht nur Fachexperten, sondern die Mitarbeiter im gesamten Unternehmen müssen ihre Aufgaben und Verantwortlichkeiten beim Umgang mit Kundendaten kennen. Organisationen sollten deshalb eine Kommunikationsstrategie für Daten und den Datenschutz definieren, der Mitarbeiter von Anfang an über ihre Verantwortlichkeiten informiert und auf dem aktuellen Stand hält. Auch für den Fall von Datenmissbrauch oder Datenverlust sollte ein Kommunikationsplan vorbereitet sein, um die lokale Datenschutzbehörde über den Verstoß schnellstmöglich zu informieren und gegenüber Kunden sowie Öffentlichkeit aktiv zu werden.

* Andreas Sturm, Regional Sales Director CE der Druva GmbH

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44239780 / Recht und Datenschutz)