Erste Schritte auf dem Weg zur DSGVO

Erste Schritte auf dem Weg zur DSGVO

Die neue EU-Datenschutzgrundverordnung tritt am 25. Mai des nächsten Jahres in Kraft. Um davon nicht auf dem falschen Fuß erwischt zu werden, müssen sich Unternehmen in verschiedener Weise vorbereiten, wie Joe Garber von Micro Focus im Folgenden zeigt.

Datenschutz als gesetzliche Pflicht für Unternehmen – was als Vorstellung in unseren Köpfen schon seit längerer Zeit existieren mag, wird mit der Verabschiedung der neuen Datenschutzgrundverordnung (DSGVO) der Europäischen Union nun auch auf dem Papier Realität. Bis zu ihrer Einführung am 25. Mai 2018 haben Unternehmen noch Zeit, den neuen Anforderungen gerecht zu werden. Was nach einem ausreichend langen Zeitraum klingen mag, könnte sich angesichts der mangelnden Aufmerksamkeit für die Thematik für so manch deutsches Unternehmen als zu knapp erweisen.

Während nach einer Umfrage der Bitkom Ende 2016 die kommende DSGVO nur bei der Hälfte der befragten Unternehmen überhaupt bekannt war, fühlen sich nach einer jüngst von Citrix durchgeführten Studie die meisten Unternehmen des deutschen Mittelstandes gut auf die Einführung vorbereitet. Doch diese Selbstwahrnehmung stimmt bei einer genauen Betrachtung der Ergebnisse nicht unbedingt mit der Wirklichkeit überein. Die allgemeine Datenschutzlage in den befragten Unternehmen hätte zwar schlechter ausfallen können, dennoch bedarf sie einer Besserung, um den kommenden Anforderungen zu entsprechen.

Im Kern mag kein großer Unterschied zwischen den datenschutzrechtlichen Prinzipien der DSGVO und denen, die bereits im bisherigen Bundesdatenschutzgesetz verankert sind, bestehen. Unternehmen, die bereits über Informationssicherheits-Management-System (ISMS) verfügen, welche der ISO/IEC-Norm 27001 entsprechen, werden es mit der Vorbereitung auf einen EU-gerechten Datenschutz am einfachsten haben. Doch sollte eine bereits erfolgte ISO-Zertifizierung nicht den trügerischen Eindruck einer automatischen Compliance mit der DSGVO entstehen lassen. Andererseits erfordert letzteres auch nicht zwangsläufig die Einführung eines ISMS. Vielmehr können als Vorbereitung auf Konformität folgende drei Schritte von Unternehmen unternommen werden.

 

1. Datenstrukturierung

Unternehmen werden in der DSGVO dazu verpflichtet, auf Verlangen personenbezogene Daten zu löschen. Vor der Analyse und Klassifizierung aller zu einer Person gehörenden Daten steht in vielen Fällen erstmal deren Lokalisierung an. Die Speicherung, Duplikation und durch Versand/Ablage stattgefundene Streuung erschwert das Erlangen einer Übersicht über die heute anfallenden Datenmengen. Die Einführung neuer Enterprise File Sharing Lösungen, ob als Hybrid- oder Cloud-basierte Lösung, wäre ein erster Schritt zur Schaffung eines Governance-Lösungen stützenden Fundamentes.

 

2. Berechtigungsmanagement

Eine weitere Vorschrift aus der DSGVO reguliert den Zugang zu ebenjenen heute noch verstreuten personenbezogenen Daten. Der Schutz vor unberechtigtem Zugriff, Veränderung oder einer Weitergabe muss gewährleistet und revisionssicher nachzuweisen sein. Letzteres ist eines der für IT-Abteilungen am schwersten zu lösenden Probleme, da die automatisierte Berechtigungsvergabe durch weitgenutzte Identity Management Lösungen, diese Möglichkeit der Überprüfung selten bietet. Die Lösung dafür lautet Identity-Governance, welche eine Erfüllung der Anforderungen ohne zusätzliche Belastung sicherstellen können.

 

3. Schnellere Reaktion auf Datenschutzverletzungen

Die unverzügliche – also innerhalb von 72 Stunden erfolgende – Meldung von Datenschutzverletzungen an die Aufsichtsbehörde ist ebenfalls Teil der DSGVO. Dazu ist jedoch ein ständiger Überblick über steigt an Komplexität gewinnende Prozess- und Systemlandschaft notwendig. Dieser kann durch technische Lösungen aus dem Bereich Security and Event Management (SIEM) erlangt werden. Diese speichern und analysieren Sicherheitsinformationen fast in Echtzeit und verfügen über die Möglichkeit automatisierter Gegenmaßnahmen.

 

Governance-Lösungen auf dem Vormarsch

Der Wert personenbezogener Daten scheint nicht zu sinken, gleich im welchem Umfang sie zirkulieren, wie nach dem Hack von Yahoo! erkennbar ist. Daher bleibt die Verhinderung von Datenschutzverletzungen ein Thema hoher Priorität, welches durch die Einführung der DSVGO noch stärker von allen Seiten beachtet und angegangen wird.

 

Dieser Kommentar wurde uns mit freundlicher Genehmigung zur Vergügung gestellt von Joe Garber, Global Head, Product Marketing Micro Focus. 

Datum: 3 May 2018, 11:05 am
Das könnte Sie ebenfalls interessieren: