pe3check - stock.adobe.com

Schritt für Schritt zur DSGVO-Konformität

Seit Ende Mai 2018 ist die EU-DSGVO wirksam. Die Anpassungen an die neuen Regeln sind vielerorts noch längst nicht abgeschlossen. Eine schrittweise Vorgehensweise hilft da.

Im Frühjahr 2016 ist die EU-Datenschutz-Grundverordnung in Kraft getreten, seit dem 25. Mai 2018 ist sie nach einer zweijährigen Übergangsfrist unmittelbar wirksam. Dieses Datum ist nun schon seit geraumer Zeit verstrichen – die Anpassungen an die neuen Regeln sind aber noch längst nicht abgeschlossen. Vor allem vor dem Hintergrund der empfindlichen Strafen müssen Unternehmen auf eine einhundertprozentige Compliance hinarbeiten.

Als Konsequenz des Cambridge-Analytica-Skandals wurde Facebook Anfang Juli zu einer Geldstrafe von 500.000 britischen Pfund verurteilt. Dabei hatte das Unternehmen noch Glück. Da der eigentliche Skandal vor dem 25. Mai stattgefunden hatte, kamen die strengen Strafandrohungen der DSGVO noch nicht zur Anwendung. Die höchste darin vorgesehene Strafe bemisst sich auf 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag größer ausfällt. Bei Facebook wären das natürlich die vier Prozent des Umsatzes, was fast zwei Milliarden US-Dollar entspricht.

In Deutschland wurde im Vorfeld der DSGVO-Einführung vor allem eine großangelegte Abmahnwelle befürchtet. Die ist zwar bisher ausgeblieben, doch auch hierzulande werden früher oder später Datenpannen eintreten, die Unternehmen teuer zu stehen kommen können – wenn niemand gegensteuert.

Auch ganz abgesehen von den finanziellen Folgen, können Datenlecks Unternehmen über Jahre destabilisieren und ihren Ruf schädigen. Auf dem, zugegebenermaßen nicht einfachen, Weg zur DSGVO-Compliance können sich Unternehmen an den folgenden vier Schritten orientieren:

Schritt 1: Softwarebestand erfassen

Unternehmen sollten einen Gesamtüberblick über ihr Software-Portfolio erstellen und dabei besonders auch auf SaaS- und mobile Anwendungen achten – diese werden nämlich gerne übersehen. Es geht darum, herauszufinden, welche Mitarbeiter welche Anwendungen nutzen und welche persönlichen Daten diese Applikationen verarbeiten. Sind das nur Namen und Adressen oder gehören dazu auch Finanz- oder Medizindaten?

Mit diesen Informationen sind IT-Verantwortliche in der Lage, Prioritäten zu setzen und den Datenzugriff der einzelnen Anwendungen zu prüfen. Ist dieser Zugriff notwendig, so muss er im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert werden. Datenzugriffe, die nicht notwendig sind, sollten natürlich unterbunden werden. Regelmäßige interne Audits stellen sicher, dass die Erfassung des Softwarebestandes immer aktuell ist.

Schritt 2: Dokumentieren, wie Daten verarbeitet werden

Ähnlich wie Anwendungen sollte auch die Datenverarbeitung genau erfasst werden. Wie die Prozessdokumentation im Detail (zum Beispiel: graphisch oder in Listenform) aussieht, kann sich an den jeweiligen Gepflogenheiten im Unternehmen orientieren. Auf jeden Fall muss sie Namen und Kontaktmöglichkeiten aller am Datenverarbeitungsprozess beteiligten Mitarbeiter beinhalten. Außerdem müssen alle Drittnutzer von Firmendaten, auch aus Nicht-EU-Ländern, aufgelistet werden. Denn europäische Unternehmen sind dafür verantwortlich, dass auch ihre ausländischen Partner verantwortungsvoll mit den geteilten Daten umgehen.

Schritt 3: Besonders gefährdete Software identifizieren

In dieser Phase geht es darum, alte Software und solche, der relevante Patches fehlen, aufzuspüren. Auch hier gilt es, alle Gerätearten von Smartphone bis Server zu berücksichtigen. Unternehmen sollten im Besonderen prüfen, ob es Software in ihren Ökosystemen gibt, die ihr End of Life (EOL) bereits erreicht hat. Viele Unternehmen nutzen alte Legacy Software, da sie noch problemlos läuft.

Benedict Geissler, Snow Software

„Es ist kompliziert, zeitintensiv und teuer, alle Regularien der DSGVO einzuhalten. Man sollte sich aber vor Augen führen, dass die DSGVO-Compliance ein Prozess ist, der mit der Zeit immer weiter verfeinert und verbessert werden kann.“

Benedict Geissler, Snow Software 

Allerdings kann es sein, dass die Anbieter schon lange keine Updates mehr für diese Anwendungen bereitstellen. Dadurch ist auch die Sicherheit nicht mehr auf dem aktuellsten Stand, was schnell zu einem enormen Risiko werden kann. Solche alten, abgelaufenen Versionen müssen so schnell wie möglich upgegradet oder ersetzt werden.

Schritt 4: Mitarbeiter auf den neusten Stand bringen

Unternehmen müssen dafür sorgen, dass ihre Mitarbeiter die Regelungen der DSGVO kennen und verstehen, auch wenn neue Kollegen an Bord kommen. Die Verantwortung für Datenschutzangelegenheiten muss klar definiert werden. Wenn sich die Mitarbeiter dessen bewusst sind, was im Falle eines Datenlecks droht und wie sie durch eigenes Verhalten dazu beitragen könnten, werden sie viel effektiver bei der Risikovermeidung mitarbeiten.

Fazit

Alle Regularien der DSGVO/GDPR einzuhalten ist kompliziert, zeitintensiv und teuer. Man sollte sich aber vor Augen führen, dass die DSGVO-Compliance ein Prozess ist, der mit der Zeit immer weiter verfeinert und verbessert werden kann.

Schließlich kann sich die DSGVO-Konformität von einem störenden Kostenfaktor sogar zu einem geschäftsfördernden Aspekt entwickeln. Denn durch die Einhaltung aller Vorschriften wird sichergestellt, dass sich in Unternehmensdatenbanken nur Daten von Personen befinden, die dem auch ausdrücklich zugestimmt haben. Diese Menschen sind dann auch empfänglicher für Kontakt seitens eines Unternehmens.

Über den Autor:
Benedict Geissler ist seit Januar 2014 Geschäftsführer und Regional Business Manager Central, Eastern & Southern Europe bei Snow Software. Der diplomierte Volkswirtschaftler verfügt über 19 Jahre Erfahrung im IT-Bereich und war in der Vergangenheit unter anderem für FileNet sowie für IBM tätig.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Das müssen Firmen zur DSGVO wissen

Kostenloses E-Handbook: Daten DSGVO-konform speichern

Die Datenschutz-Grundverordnung und die Verschlüsselung von E-Mails

Erfahren Sie mehr über Cloud-Sicherheit