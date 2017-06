Wenn am 25. Mai 2018 die Datenschutzgrundverordnung (DSGVO) offiziell in Kraft tritt, sind alle EU-Mitgliedsstaaten dazu verpflichtet, neue Vorgaben umzusetzen. Diese stellen weltweit Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten oder speichern, vor große Herausforderungen.

Kurz nach der Vorstellung der neuen Regularien der neuen EU-Datenschutzgrundverordnung entbrannte in der Geschäftswelt eine große Diskussion, die von den wahrgenommenen negativen Auswirkungen der Verordnung geprägt war. Hohe Kosten durch die Implementierung neuer Prozesse und drohende Bußgelder bei Datenverlust standen dabei im Vordergrund. Die positiven Aspekte wie die zunehmende Bedeutung der Privatsphäre von Einzelpersonen und der Schutz der Daten rückten erst im Verlauf der Diskussion in den Fokus. Letztlich können in Unternehmen alle beteiligten Parteien durch die größere Bedeutung einer verbesserten Datenorganisation bzw. einer „Datenhygiene“ gewinnen.

Entwicklung einer Compliance-Strategie

Die Einführung und Einhaltung des neuen Datenschutzregelwerks erfordert eine tiefgehende Abstimmung zwischen den beteiligten Abteilungen, die sich um die Planung und Ausführung der notwendigen Prozesse und Technologien kümmern. In einigen Fällen stellt bereits die Definition der konkreten Anforderungen eine erste Hürde dar. So besagt beispielsweise Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“, dass bei der Planung einzelner Schritte für eine Umsetzung der Stand der Technik der Datenverarbeitung berücksichtigt werden muss. Der Begriff „Stand der Technik“ wird in der Grundverordnung allerdings nicht weiter definiert. Solche vage gehaltenen Begriffe werfen viele Fragen auf.



Der generelle Umgang mit personenbezogenen Daten stellt die nächste Herausforderung dar. Heute sammeln Unternehmen mehr Kundendaten als jemals zuvor, da diese auch einfacher zu erhalten sind. Daten werden in so großen Mengen erhoben, dass leicht der Überblick über deren Vorhaltung und die Speicherung verloren gehen kann. Nicht umsonst verschärft die DSGVO die Sicherheitsregularien angesichts eines solch sorglosen Umgangs, um die Rechte der Kunden zu stärken. Unternehmen sind demnach verpflichtet, nicht nur die gesammelten personenbezogenen Daten sicher unter Verschluss zu halten. Sie müssen auch Informationen vorhalten, woher die Daten stammen, weshalb sie erhoben wurden und wo sie gespeichert liegen.



Berücksichtigt man nur die aktuelle Sammelpraxis und die Speichersituation, werden Organisationen signifikant mehr investieren müssen, um den neuen Anforderungen an den Datenschutz gerecht zu werden. Bußgelder für Datenschutzverletzungen, die bis zu vier Prozent des jährlichen weltweiten Umsatzes oder 20 Millionen Euro ausmachen können, haben es in sich. Die logische Konsequenz daraus: Der Schutz personenbezogener Daten ist nicht länger die alleinige Aufgabe der IT-Verantwortlichen. Weitreichende Entscheidungen für zukünftige Prozesse gehören auf der Vorstandsebene gefällt.



Denn um der, in der DSGVO festgelegten Meldungspflicht von Datenschutzverstößen innerhalb von 72 Stunden nachkommen zu können, müssen Unternehmen ihre Datenflüsse besser verstehen und sich einen Überblick über die aktuelle Bedrohungslage verschaffen. Dazu sind strukturierte Notfallpläne erforderlich, um Angriffe abzuwehren, Verantwortlichkeiten nachvollziehbar zu machen und Informationslecks gegebenenfalls schnell zu erkennen, um Datenverluste aufzuspüren. Auch wenn solche Pläne komplex und kompliziert in der Umsetzung sind, müssen sie bis Mai 2018 in die Tat umgesetzt sein.

Die Profiteure der DSGVO

Die Modernisierung der Gesetzeslage war längst überfällig, um die Balance zwischen Privatsphäre und Datenschutz herzustellen. Laut der Europäischen Kommission wird die DSGVO der Bevölkerung mehr Kontrolle darüber geben, wie persönliche Daten definiert werden. Einzelpersonen haben das Recht, zu wissen, wofür und von wem ihre Daten genutzt werden sowie zu erfahren, wenn es zu einem Datenschutzverstoß gekommen sein sollte. Anstatt diese Entwicklungen anzufechten, tun Unternehmen gut daran, die Implementierung geeigneter Strategien und Tools auf den Weg zu bringen, um die Grundlage für besseren Datenschutz und -pflege zu schaffen und gleichzeitig die Sicherheit ihrer IT-Infrastruktur zu erhöhen.



Um die Möglichkeiten einer besseren Pflege der Datenbestände voll auszuschöpfen, müssen Organisationen den Schutz digitaler Daten und deren Verwaltung aktiv angehen. Dazu gehört die Implementierung von Technologien, um digitale Ressourcen zu kontrollieren und zu schützen. Ebenso notwendig ist die Kommunikation zwischen einzelnen Abteilungen, damit alle Beteiligten den nötigen Einblick erhalten, der für eine umfassende Sicherheitsstrategie im Unternehmen erforderlich ist. Dabei gilt es, folgende Punkte zu berücksichtigen:

Unternehmen müssen ihren Sicherheitsstandard überprüfen und eruieren, ob ein ausreichender Schutz der sensiblen Daten angesichts der aktuellen Bedrohungslage und moderner Malware-Techniken gewährleistet ist. Sie sollten sich dabei folgende Fragen stellen: „Woher wissen wir, dass unsere Daten gefährdet sind?“ und „Sind wir in der Lage, von Malware befallene Geräte zu identifizieren?“ Falls nicht bereits vorhanden, sollte ein mehrstufiger Defense-in-Depth-Ansatz implementiert werden, der die modernen, schwer zu identifizierenden Angriffe erkennen und blockieren kann. SSL-Untersuchung sowie Verhaltensanalysen (Sandboxing) stellen einen essentiellen Bestandteil eines solchen Ansatzes dar. Gerade im Zeitalter hybrider Infrastrukturen mit Cloud- und On-Premise-Speicheroptionen stellt sich die Frage, wo personenbezogene Daten vorgehalten werden. Immer mehr Daten entziehen sich der Kontrolle der Unternehmens-IT, da viele Mitarbeiter „Schatten-IT“-Anwendungen nutzen, um produktiver arbeiten zu können. Schnell wandern Daten auf Cloud-Speicher ab. Problematisch dabei ist, dass diese externen Anwendungen die firmeneigenen Sicherheitsvorkehrungen umgehen und somit eine Gefahr darstellen – sowohl für den Nutzer als auch für die Sicherheit des Unternehmens und dessen Engagement, die Bestimmungen der DSGVO zu erfüllen. Um die Kontrolle zurückzuerlangen, müssen sich Unternehmen über die Bedürfnisse der Anwender im Klaren sein und neue Technologien implementieren, die Prozesse vereinfachen und eine höhere Produktivität ermöglichen. Andernfalls setzen Mitarbeiter auch weiterhin auf Schatten-IT, die außerhalb der Reichweite der Sicherheitsbestimmungen des Unternehmensnetzwerks liegt. Ein erster Schritt ist, sich einen Überblick über alle cloud-basierten Anwendungen zu verschaffen, die im Unternehmen genutzt werden. Konzepte mit Cloud-Access-Security-Broker-Funktion – wie zum Beispiel von dem Sicherheitsanbieter Zscaler angeboten – können helfen, diese Sicherheitslücke zu schließen. Anschließend sollten Unternehmen sicherstellen, dass die schützenswerten Informationen sicher vorgehalten werden und nicht aus dem Cloud-Speicher, von File-Sharing-Seiten, über Webmail und soziale Netzwerke (z.B. Instant-Messaging-Diensten) abfließen. Die meisten Unternehmen haben in ihren Schutz am Perimeter des Firmennetzes investiert, doch das bietet nur einen lückenhaften Schutz vor aktuellen Bedrohungen und mobilen Arbeitsweisen. Einige setzen wiederum auf Datenkontrollen innerhalb des Netzwerks, während andere Data-Loss-Prevention-Lösungen (DLP) implementiert haben, um unautorisiertem Datenabfluss vorzubeugen. Diese Sicherheitsmaßnahmen sind jedoch nicht immer in der Lage, den Verlust sensibler Daten aus dem Netzwerk zu verhindern. Das gilt vor allem, wenn einerseits unbeabsichtigtes Handeln der Nutzer, böswillige Aktivitäten und das fehlende Bewusstsein für Datensicherheit aufeinanderprallen. Durch die Implementierung von DLP-Systemen, die Datenströme ins Internet beobachten und somit Daten in Bewegung kontrollieren, können Risiken weiter minimiert und die Datenpflege im Unternehmen verbessert werden.

