EU-Datenschutz-Grundverordnung

Personenbezogene Daten schützen: 5 Tipps

Die EU-Datenschutz-Grundverordnung, auch unter den Namen EU-DS-GVO und General Data Protection Regulation (GDPR) bekannt, tritt spätestens in 24 Monaten in Kraft. Was das für Unternehmen und Organisationen, die Daten sammeln, speichern und verarbeiten, bedeutet, welche Gefahren lauern und wie sich Unternehmer darauf vorbereiten können, erklärt Fabian Sander, Director CEUR bei Netskope.

Fabian Sander, Netskope

„Für Unternehmen und Organisationen, die Daten on premise oder in der Cloud sammeln, speichern und verarbeiten, bedeutet die Verordnung, dass sie sich im Umgang mit personenbezogenen Daten an wesentlich striktere Regelungen halten müssen.“ Fabian Sander, Netskope

ITM: Herr Sander, wie wird Datenschutz in Europa derzeit gehandhabt?
Fabian Sander:
Die aktuell geltende EU-Datenschutzrichtlinie (95/46/EG) dient als Basis für unterschiedliche Regelungen in den einzelnen EU-Mitgliedsstaaten. Diese nationalen Regelungen widersprechen sich teilweise. Zudem berücksichtigen viele weder die Globalisierung noch technologische Entwicklungen, wie beispielsweise soziale Netzwerke, Big Data und Cloud Computing, ausreichend.

ITM: Wie unterscheidet sich die neue EU-Datenschutz-Grundverordnung von der alten und was bedeutet die Verordnung für Unternehmen?
Sander:
Die geplante Verordnung ist ein vollkommen neues, einheitliches Datenschutzgesetz, das bindend ist für alle 28 EU-Mitgliedsstaaten und zum Ziel hat, die personenbezogenen Daten aller EU-Bürger zu schützen. Bei Verstoß gegen das Gesetz werden ernstzunehmende Strafen fällig.

Für Unternehmen und Organisationen, die Daten on premise oder in der Cloud sammeln, speichern und verarbeiten, bedeutet die Verordnung, dass sie sich im Umgang mit personenbezogenen Daten an wesentlich striktere Regelungen halten müssen. Das Sammeln ist dann nur noch für einen legitimierten Zweck erlaubt. Unternehmen sind zudem in der Pflicht nachzuweisen, dass sie die Anforderungen der Verordnung erfüllen.

ITM: Was sind im Rahmen der Verordnung die größten Hindernisse für Unternehmen?
Sander:
Viele personenbezogene Daten, für die Unternehmen verantwortlich sind, werden unstrukturiert abgelegt. Das heißt, dass die Daten nicht in Datensystemen oder Cloud-Services gespeichert sind, die die gesetzlichen Anforderungen erfüllen und als Teil eines Management-Systems regelmäßig aktualisiert und überprüft werden. Diese unstrukturierten Daten können außerdem auf mobilen Geräten gespeichert und über nicht autorisierte Anwendungen und Cloud-Speicherplätze ausgetauscht werden. Der „Bring-your-own-Device-Trend“ hat dieses Problem noch verstärkt.

In diesem unkontrollierten Datenaustausch liegt meiner Meinung nach die größte Gefahr, denn dieser kann ernsthafte rechtliche Risiken für Unternehmen nach sich ziehen. Wird der Schutz personenbezogener Daten nicht eingehalten, besteht eine Meldepflicht. Als Strafe drohen dann bis zu vier Prozent des Jahresumsatzes als Abgaben und eine strenge Kontrolle der Erhebung, Speicherung, Sicherung und Anwendung der Daten.

Fünf Tipps für Unternehmen, die sich jetzt schon entsprechend vorbereiten wollen:

1. Erkennen, welche Cloud-Anwendungen zum Einsatz kommen und wo Daten gespeichert werden
Sämtliche Cloud-Anwendungen, die im Unternehmen eingesetzt werden, sollten im ersten Schritt aufgelistet werden. Dann sollte man sich ansehen, wo das Hosting der Daten erfolgt. Besonders zu beachten ist dabei, dass der Hauptsitz des Anbieters in der Regel nicht der Ort ist, an dem die Daten gespeichert sind.

2. Sicherheitsmaßnahmen ergreifen, um persönliche Daten vor Verlust, Veränderung oder unbefugter Verarbeitung zu schützen
Hierzu muss zunächst geklärt werden, welche Anwendungen den Sicherheitsstandards entsprechen. Alle anderen sollten blockiert bzw. ausgleichende Kontrollen implementiert werden. Eine Hilfe bietet hier der Netskope Cloud Confidence Index, der Cloud-Apps automatisch anhand von über 45 Parametern bewertet. So lassen sich mangelhafte Apps schnell erkennen und mit ähnlichen Diensten vergleichen.

3. Datenverarbeitungs­vereinbarung abschließen und Weitergabe personen­bezogener Daten für andere Zwecke unterbinden
Sobald alle im Unternehmen genutzten Dienste erfasst sind, sollten zunächst jene mit vergleichbaren Funktionen konsolidiert werden. Dann kann eine Auswahl genehmigter Applikationen getroffen und eine Datenverarbeitungsvereinbarung mit den Anbietern geschlossen werden. So wird sichergestellt, dass die Applikationen den Anforderungen der neuen Datenschutz-Grundverordnung entsprechen. Außerdem sollte in der Datenverarbeitungsvereinbarung auch gleich festgehalten werden – und aus der Due-Diligence-Prüfung hervorgehen –, dass der Kunde Eigentümer der Daten ist und die Daten nicht an Dritte weitergegeben werden.

4. Nur notwendige Daten sammeln und Verarbeitung von Sonder­daten einschränken
In der Datenverarbeitungsvereinbarung (und der DLP-Richt­linie) sollte festgehalten werden, dass ausschließlich personenbezogene Daten gesammelt werden, die für den Betrieb erforderlich sind. Die Erfassung von Sonderdaten – solche, die z.B. Aufschluss über ethnische Herkunft, politische Überzeugung, Religion etc. geben – sollte eingeschränkt werden.

5. Sicherstellen, dass Daten nach Ende der Nutzung gelöscht werden
In den Nutzungsbedingungen sollte klar festgelegt sein, dass eigene Daten unmittelbar nach Ende der Nutzung heruntergeladen werden können und aufseiten der Applikation gelöscht werden. Wenn möglich, sollte in Erfahrung gebracht werden, wie lange das dauert: Je schneller (kürzer als eine Woche), desto besser, da mit der Verweildauer auf dem Server auch das Risiko einer Offenlegung der Daten steigt.

 

 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok