pe3check - stock.adobe.com
Schritt für Schritt: Die EU-DSGVO ist machbar
Bis Ende Mai 2018 müssen Unternehmen die Richtlinien der EU-DSGVO umgesetzt haben. Mit folgenden Schritten können Verantwortliche beginnen, die Vorschriften pragmatisch anzuwenden.
Eine aktuelle Studie zeigt, dass 60 Prozent aller Unternehmen nicht glauben, dass sie nicht ausreichend auf die Datenschutz-Grundverordnung (DSGVO) der EU vorbereitet sind, obwohl diese ab 25. Mai 2018 gültig wird.
Zudem geben 88 Prozent an, dass sie deutliche Umstellung ihrer Sicherheitsrichtlinien erwarten, speziell beim Thema Cloud.
Im Rahmen der internationalen Umfrage wurden über 3.600 IT-Fachkräfte und IT-Entscheider nach ihrer Meinung befragt. Dass die DSGVO kommt, steht bereits seit Mai 2016 fest und trotzdem haben einige Unternehmen noch nicht einmal begonnen, sich auf die bevorstehenden Änderungen vorzubereiten.
Von Null auf Hundert
Man kann nicht behaupten, dass es neben den politischen Entscheidungen keine Signale in der öffentlichen Debatte gab. Tatsächlich vergeht kaum ein Tag, an dem man nicht von Cyberattacken liest – von drei Milliarden kompromittierten Accounts bei Yahoo bis zu Hunderten von Millionen bei Equifax. Zwar möchte kein Unternehmen das nächste in den Schlagzeilen sein, doch geht es bei DSGVO um viel mehr als das.
Die neue Verordnung soll die Daten von EU-Bürgern schützen, um sicherzustellen, dass Unternehmen ihren Kunden gegenüber zur Verantwortung gezogen werden. Anders als ihre US-amerikanischen Pendants müssen Firmen in der EU und solche, die Geschäfte mit EU-Bürgern tätigen, nicht zugeben, wenn sie Opfer eines Angriffs geworden sind. Aber das wird sich ändern. Zwar gab es vor der DSGVO bereits eine EU-Richtlinie zur Vereinheitlichung des Datenschutzes im europäischen Binnenmarkt, das neue Gesetz auf EU-Ebene geht aber in der Praxis weit über diese hinaus.
Es mangelt nicht nur bei der Vorbereitung, sondern auch beim Verständnis. Hier werden oftmals an erster Stelle die Bußgelder genannt. In der Tat kann eine Folge eine Geldstrafe von 2 Prozent bis 4 Prozent des Umsatzes sein, je nachdem, wie weit sie sich Organisationen selbst geschützt haben. Doch geht es nicht nur um die finanziellen Auswirkungen, sondern auch um den Reputationsschaden, durch den Unternehmen Gefahr laufen, Kunden zu verlieren, die nicht mit einem kompromittierten Unternehmen in Verbindung gebracht werden möchten.
Falls man ins Grübeln kommt, wo man selber steht, gibt es eine Reihe von Maßnahmen, die eine praktische Anleitung zu Anpassung der eigenen Compliance Policies geben:
Schritt eins – Sich mit den rechtlichen Rahmenbedingungen der GDPR vertraut machen
Wenn es um Compliance geht, kann es entscheidend sein, die kleinsten Details einer Vorschrift zu kennen. Da bei der DSGVO so viel auf dem Spiel steht, müssen Unternehmen mit mehr als zehn beziehungsweise 20 Mitarbeitern (je nachdem, ob persönliche Daten automatisch verarbeitet werden oder nicht) einen Data Protection Officer (DPO) einstellen – jemanden, der sich sowohl mit dem Gesetz (wegen der regulatorischen Anforderungen) als auch mit der Technologie (wegen der technischen Spezifikationen) auskennt. Doch trotz der wachsenden Bedeutung dieser Rolle haben über die Hälfte (51 Prozent) noch keinen DPO. Aber so, wie keine Reise der anderen gleicht, hat auch jedes Unternehmen andere Anforderungen und muss seine Mitarbeiter dahingehend schulen.
Schritt zwei – Aufbau eines Datenregisters
Laut der DSGVO müssen Unternehmen der Datenschutzbehörde (Data Protection Agency) nachweisen, dass sie die das Gesetz ernst nehmen. Zu diesem Zweck müssen sie ein Datenregister anlegen und die Maßnahmen hervorheben, die sie zum Zweck der Compliance ergreifen.
Die DPA wird dieses Register heranziehen, um zu bestimmen, wie gut ein Unternehmen seine Daten geschützt hat, und dann die erforderlichen Strafen festlegen. In Deutschland fällt diese Aufgabe Bundesbeauftragter für den Datenschutz und die Informationsfreiheit und den Datenschutzbeauftragten der Länder zu.
Schritt drei – Datenklassifizierung
Da die täglich erzeugte Datenmenge sprunghaft ansteigt und personenbezogene Informationen für Hacker von hohem Wert sind, steht den Firmen die schwere Aufgabe bevor. Sie müssen sowohl verstehen, welche Daten sie besitzen und zudem wissen, wo sich diese befinden.
Sobald dies geklärt ist, stellt sich die Frage, wer auf sie zugreifen kann und mit wem sie geteilt wurden. Darüber hinaus ist es wichtig zu klären, wer für die Verarbeitung und Steuerung der Daten verantwortlich ist und sicherstellt, dass alle richtigen Verträge bestehen.
Schritt vier – Auswahl von Top-Prioritäten
Der nächste Punkt ist die Frage nach Erstellung und Schutz der Daten. Dabei muss der Schutz der Privatsphäre des Nutzers höchste Priorität haben. Also müssen Firmen sich fragen, wie sensibel die Daten sind, die sie besitzen. Kriminelle werden diese Informationen ins Visier nehmen: Lohnt es sich also, sie zu halten? Unternehmen sollten ein Privacy Impact Assessment und ein Data Protection Impact Assessment aller Sicherheitsrichtlinien erstellen. Dabei sollten Sie die Rechte der EU-Bürger berücksichtigen, also auch die Verarbeitungsbeschränkungen und die Datenübertragbarkeit.
Schritt fünf – Protokollierung und Bewertung aller anderen Risiken und Prozesse
Abgesehen von sensiblen Daten müssen Unternehmen auch alle anderen Risiken oder gefährdeten Prozesse bewerten. Das Datenregister auf dem neuesten Stand zu halten, ist hierbei von entscheidender Bedeutung, denn es zeigt der DPA, dass man auch zusätzliche Bedrohungen berücksichtigt.
„Wichtig ist, niemals zu unterstellen, dass die Compliance abgeschlossen ist, da es sich um einen sich ständig weiterentwickelnden Prozess handelt – die Bedrohungen da draußen entwickeln sich nämlich auch ständig weiter.“
Thorsten Krüger, Gemalto
Schritt sechs – Überprüfen und wiederholen
Beim letzten Schritt geht es lediglich darum, dass eine Organisation seine Prozesse und die vorhergehenden Schritte kontinuierlich überprüfen muss, um zu gewährleisten, dass Sicherheit und Compliance auf dem neuesten Stand sind. Man muss die jeweils nächsten Prioritäten festsetzen und den Prozess ab Schritt vier wiederholen. Wichtig ist, niemals zu unterstellen, dass die Compliance abgeschlossen ist, da es sich um einen sich ständig weiterentwickelnden Prozess handelt – die Bedrohungen da draußen entwickeln sich nämlich auch ständig weiter.
Die gute Nachricht lautet, dass die meisten Unternehmen zuversichtlich sind, dieses Stadium bis Mai erreicht zu haben, wobei fast die Hälfte (46 Prozent) prognostiziert, bei Schritt sechs (überprüfen und wiederholen) angekommen zu sein, und der Rest sich auf dem besten Weg sieht, das Compliance-Ziel zu erreichen.
Fazit
Keine Panik! Es bleiben nur noch wenig Zeit, um das eigene Haus in Ordnung zu bringen, aber es ist immer noch früh genug, damit zu beginnen, diese Schritte pragmatisch umzusetzen – Eile führt nur zu Fehlern!
Selbst falls die Deadline nur schwer zu halten ist, sollte man die Ruhe bewahren. Es gibt kein Entrinnen vor der DSGVO und viele Unternehmen kämpfen mit der Umsetzung. Positiver Teil dieses Ringens um Compliance ist wachsende Erfahrung. Daher ergeben sich erste Best-Practices, die besonders IT-Entscheider beachten sollten. Hier lohnt sich der Dialog mit Sicherheitsexperten und Datenschutzspezialisten.
Über den Autor:
Thorsten Krüger ist Director Regional Sales IDP DACH & CEE bei Gemalto.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!