Effektive Umsetzung der EU-Datenschutz-Grundverordnung – worauf Unternehmen achten sollten

Wie in unserem letzten Blog „Ignorieren die Unternehmen die GDPR“ berichtet, stellen die  umfangreichen Vorschriften der Datenschutzgrundverordnung (DSGVO, engl. GDPR) immer noch viele Unternehmen vor große Herausforderungen. Wo fängt man am besten mit der Umsetzung an, welche Prozesse muss man im Unternehmen in Gang setzen und wie sieht ein DSGVO-konformes Datenschutzmanagement letztendlich aus? Das sind nur einige Fragen, die vielen IT-Verantwortlichen derzeit Kopfzerbrechen bereiten, doch trotz vieler Fragezeichen ist dennoch keine Panik angesagt.  Viele der datenschutzrechtlichen Konzepte und Prinzipien der neuen Datenschutz-Grundverordnung sind im Großen und Ganzen nicht viel anders als die, die bislang schon mit dem in Deutschland gültigen Bundesdatenschutzgesetz (BDSG) umgesetzt wurden.

Dennoch ist es unumgänglich, dass Unternehmen ihre Datenschutzpraxis überprüfen und das Datenschutzmanagement bis zum 25. Mai 2018 nach den Vorgaben der DSGVO anpassen und weiterentwickeln. Unternehmen sollten hierfür einen systematischen Fahrplan zur Umsetzung  entwickeln. Wie ist der Stand der Technik? Wie verschaffen wir uns einen Überblick über sämtliche IT-Assets? Das sind Fragen, die es am Anfang zu beantworten gilt. Unternehmen die bereits  über ein Informationssicherheits-Management System (ISMS) beispielsweise nach der internationalen Norm ISO/IEC 27001 verfügen, können  bei den Vorbereitungen auf den EU-gerechten Datenschutz den Aufwand erheblich reduzieren. Doch auch hier gilt es zu prüfen, welche Anforderungen bereits durch ein zertifiziertes ISMS im Unternehmen erfüllt werden und welche Lücken im Kontext der neuen DSGVO bestehen. Wichtig zu verstehen ist, dass Unternehmen, die eine ISO-Zertifizierung besitzen, nicht automatisch nach der Datenschutzgrundverordnung zertifiziert sind. Denn bei einer ISO-Zertifizierung kann der Rahmen der Zertifizierung frei gewählt werden, so dass nicht zwangsläufig das gesamte Unternehmen oder gar personenbezogene Daten von der Zertifizierung erfasst werden. Es gilt also zu analysieren, welche Vorgaben aus der DSGVO von einer ISO-Zertifizierung erfasst werden und welche zusätzlich hinzuzuziehen sind.

EU-DSGVO ohne komplettes ISMS möglich
Da die Einführung eines ISMS immer mit Aufwand und Kosten verbunden ist, stellt sich insbesondere bei kleineren und mittleren Unternehmen die Frage, ob  die Einführung eines solchen Systems mit entsprechender Zertifizierung für die rechtskonforme Umsetzung der Anforderungen der DSGVO zwangsläufig  notwendig ist. Die Antwort lautet hier ganz eindeutig: Nein!

Anstatt  direkt ein vollständiges und dadurch recht komplexes ISMS-Projekt zu realisieren ist es auch möglich, sich zunächst einmal nur auf die  seitens der DSGVO erforderlichen Komponenten zu beschränken. Eine Musterlösung  hierfür existiert dabei leider nicht, denn verschiedene Geschäftsmodelle erfordern unterschiedliche Datenverarbeitungsvorgänge. Jedoch gibt es Handlungsempfehlungen und Tipps, wie Sie die neuen An- und Herausforderungen sicher angehen. Drei Tipps, um sich für die neue Datenschutzverordnung zu rüsten:

1) Bringen Sie Ordnung in unstrukturierte DATEN
Die DSGVO fordert, dass Unternehmen auf Verlangen der betroffenen Person deren personenbezogene Daten löschen. Dies kann auch Dokumente betreffen – etwa PDF oder Office-Dateien – die unter Umständen schon seit Jahren auf dem Laptop eines Vertriebsmitarbeiters oder irgendwo auf den Fileservern des Unternehmens liegen – man spricht hier von unstrukturierten Daten. Die Menge der unstrukturierten Daten in Unternehmen ist bereits Heute gigantisch und das Wachstum weiter exponentiell – unmöglich hier noch den Überblick zu behalten. Eine wesentliche Ursache für diesen „Wildwuchs“ ist dabei die unkontrollierte Verbreitung und Duplizierung von Daten, die sich oftmals über E-Mail Anhänge dem Berechtigungsystem der Dateistruktur entziehen und den Weg auf eine Vielzahl von lokalen Datenspeichern finden. Enterprise File Sharing Lösungen ermöglichen Unternehmen kontrollierte Prozesse für den sicheren Austausch unstrukturierter Daten zu etablieren und sind der richtige Weg um diese „Datenflut“ einzudämmen.

2) Vermeiden Sie laxe Zugriffsrechte – bereiten Sie dem Wildwuchs im Berechtigungsmanagement ein Ende
Laut DSGVO muss sichergestellt werden, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten. Ferner sind die Daten vor unbeabsichtigtem Verlust, versehentlicher Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen.

Dabei geht es nicht nur um den Schutz vor unerlaubten Zugriffen, sondern auch um den revisionssicheren Nachweis, dass ein Zugriff nicht möglich war. Es ist also sicherzustellen, dass die Berechtigungen mit den Job-Beschreibungen übereinstimmen und nicht die Datensicherheit gefährden. Die Automation der Berechtigungsvergabe durch Identity Management Lösungen ist Teil der Lösung und bei vielen Unternehmen bereits im Einsatz – der Fokus liegt hier aber auf der Automation und weniger auf der revisionssicheren Überprüfung, zumal: was ist mit den Systemen die nicht in das Identity Management integriert wurden – sei es aus wirtschaftlichen Überlegungen, aus technischen Gründen oder weil sie nicht der eigenen Kontrolle unterliegen? Identity Governance-Lösungen sind darauf ausgerichtet auch in komplexen, nicht automatisierten Umgebungen eine richtlinien-konforme Berechtigungsstruktur zu gewährleisten und nachzuweisen. Im Fokus stehen hierbei in erster Linie Sicherheitsrichtlinien, wie zum Beispiel eine restriktive Berechtigungsvergabe – auch als „Need-to-Know“ oder „Least Privilege“ Prinzip bekannt.  Gerade hier herrscht starker Handlungsbedarf, wie eine 2016 veröffentliche Studie des Ponemon Instituts zeigt.

3)  Verkürzen Sie die Reaktionszeit auf Sicherheitsvorfälle
Datenschutzverletzungen müssen unverzüglich, möglichst innerhalb von 72 Stunden, nach Bekanntwerden eines solchen Angriffs der Aufsichtsbehörde gemeldet werden. Gegebenenfalls sind auch die betroffenen Personen hierüber zu informieren. Zur schnellen Erkennung von Bedrohungen, noch bevor sie Schaden anrichten, benötigt man Echtzeitinformationen und Analysen der aktuell auftretenden Sicherheitsereignisse. SIEM-Lösungen ermöglichen die Korrelation und umfassende Auswertung von Sicherheitsinformationen und können auch automatisiert Gegenmaßnahmen einleiten. Doch in vielen Fällen bieten bereits deutlich einfachere Change Monitoring Lösungen eine spürbare Verbesserung der Reaktionszeiten auf Sicherheitsvorfälle.

Christoph Stoica
Share this post:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.