Gastbeitrag von Noa Katz, Product Marketing, SaaS Security bei Check Point Software Technologies, Ltd.
Gut gemeint, aber sicherlich nicht einfach umzusetzen. Mit der Etablierung von Datenschutz als Bürgerrecht, gibt die DSGVO nur eingeschränkt technische Einzelheiten darüber preis, wie personenbezogene Daten geschützt werden sollen. Aus diesem Grund wurden hier die fünf wichtigsten Ausgangspunkte für einen richtigen DSGVO-Ansatz zusammengestellt.
Die DSGVO ruft in verschiedenen Regionen, Branchen und Organisationen ein und dasselbe ungute Gefühl hervor: Unsicherheit – verständlicherweise. Über die Verordnung soll ein Wandel im Umgang und der Wahrnehmung von Daten herbeigeführt werden. Wie das allerdings zu funktionieren hat, wird nicht ganz deutlich – es gibt keine eindeutigen Anweisungen für Unternehmen und deren Mitarbeiter.
Paradebeispiel Artikel 32: „…der Verantwortliche und der Auftragsverarbeiter treffen geeignete … technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich…die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.“
Die Definition von „geeignet“ wird je nach Unternehmen und in Abhängigkeit der Art der Geschäftstätigkeit, des Standorts, des Sektors, in dem sie angesiedelt sind und der Daten, die sie speichern, variieren. Das bedeutet, die Art und Weise, wie mit der DSGVO umgegangen wird, ist sehr subjektiv – es kommt ganz auf das Unternehmen und den Umgang mit den Daten an.
Errichten Sie Ihr DSGVO-orientiertes Netzwerk
Unsicherheit besteht und ist auch berechtigt. Best Practices für Datensicherheit können bei der Erfüllung der DSGVO-Anforderungen hilfreich sein. Folgende fünf Punkte dienen als Orientierung für die Umsetzung der Verordnung. Isoliert betrachtet, ist dieses Rahmenwerk nicht ausreichend, wird es allerdings mit einer vollständigen Datensicherheitsplattform verbunden, ist es möglich eine umfassende Sicherheitsarchitektur zu generieren und eine Security-by-Design und -by-Default, die die DSGVO fordert, zu generieren.
- Personalausstattung
Wie erfolgreich die interne Umsetzung der DSGVO sein wird, hängt von den Mitarbeitern und der Akzeptanz bezüglich neuer Arbeitsabläufe ab. Wichtig ist also, das Personal in Bezug auf die Verordnung umfassend zu informieren und ausreichend zu schulen: Was hat es damit auf sich, auf was muss geachtet werden, welche Risiken bestehen und welche Strafen drohen bei fehlender Compliance? Mitarbeiter müssen über die DSGVO nachdenken, das heißt sich nicht nur informieren, sondern sich auch im Klaren darüber sein, welchen Nutzen die Verordnung für Unternehmen haben kann und wie dieser erreicht werden kann. Darüber hinaus sollten sich Firmen auch über Neueinstellungen und Investitionen für Schulungsprogramme Gedanken machen. Das kann bedeuten, dass Personal, wie beispielsweise Datenschutzbeauftragte, speziell für Belange der DSGVO eingestellt oder juristische, Finanz- und Marketingpositionen in Bezug auf die DSGVO neu besetzt werden müssen, um sich mit Marketing-Automatisierung und -prozessen zu befassen.
- Datenprüfung und -klassifizierung
Es muss Klarheit darüber herrschen, was es bedeutet Informationen DSGVO-konform zu bearbeiten. Das heißt, dass erkannt werden muss, welche genutzten Anwendungen die Daten auf welchem Wege verarbeiten und ob dies den Vorschriften entspricht. Ist das nicht der Fall müssen die Anwendungen den Richtlinien entsprechend angepasst werden.
Nach Abbildung der Datenflüsse – über Dritt- und Backupsysteme hinweg – ist es wichtig sich mit der Datenklassifikation zu beschäftigen, um nachvollziehen zu können, wie personenbezogene Daten angeordnet sind, wer sie einsehen kann und unter welchen Bedingungen das geschieht. Liegen diese Informationen vor, ist es möglich abzuschätzen, welche IT-Systeme innerhalb des Anwendungsbestands relevante, personenbezogene Daten verarbeiten. Lösungen für die Prozessautomatisierung vereinfachen diese Aufgabe.
- Risikoanalyse
Außerdem sollten sich Unternehmen darüber im Klaren sein, dass ein Verstoß der DSGVO hohe finanzielle Folgen haben kann. Deshalb ist die Frage, inwieweit Datenverstößen vorgebeugt werden kann und was dafür investiert und implementiert werden sollte durchaus berechtigt. Bei der Aussicht auf eine 20-Millionen-Euro-Strafe, ist die Antwort auf die Frage, wie viel in ein umfassendes Datenschutzprogramm investiert wird, klar. Organisationen müssen nach Möglichkeiten suchen, bestehende Kontrollen zu nutzen, aber auch verstehen, wo das Risiko liegt (und somit zusätzliche Investitionen gerechtfertigt sein können), je nach Datentyp, Umfang und System.
- Protokollierung von Aktivitäten
Im Zentrum der DSGVO steht die Transparenz, insbesondere in Bezug auf die Protokollierung und Meldung von Datenverstößen. Die DSGVO fordert einen unverzügliche Meldung von Verstößen. Organisationen müssen einen Datenverstoß innerhalb von 72 Stunden melden.
Protokollierung ist ein Standardbaustein eines jeden Compliance-Programms. Im Falle der DSGVO ist wichtig, dass sie sich auch auf automatisierte und manuelle Protokollprüfungen erstreckt, um nichtautorisierte oder böswillige Aktivitäten zu erkennen. Es gab viele Beispiele mangelhafter Protokollierung und Meldung von Datenverstößen, die deutlich machen, warum Transparenz im Zeitalter der DSGVO unabdingbar ist. Eine robuste und dennoch intuitive Protokollierlösung hilft nicht nur, die Anforderungen der DSGVO zu erfüllen, sondern auch insgesamt die Effizienz der Sicherheit zu maximieren.
- Kontrollen
Bei den Kontrollen ist es wichtig, ein elementares Schema zu errichten, dessen Fokus sich auf relevante Daten und Systeme richtet, um anschließend die Implementierungsverfahren zu definieren. Im Wesentlichen verlangt die DSGVO Kontrollen, um die Verschlüsselung personenbezogener Daten (wodurch sichergestellt wird, dass diese nur von Personen eingesehen werden können, die rechtmäßigen Zugang zu diesen Daten haben) sowie die Integrität von Verarbeitungssystemen, eine schnelle Wiederherstellung des Zugriffs und eine regelmäßige Bewertung, wie in Artikel 32 dargelegt, zu gewährleisten. Diese Kontrollen sollten in das System und die Anwendungen integriert sein und zwar bereits ab dem Moment ihrer Erstellung (vorzugsweise im Rahmen einer einheitlichen Lösung).
Allumfassende Datensicherheit
Mit weitreichenden Auswirkungen auf die gesamte Organisation hat die DSGVO einen enormen Einfluss auf alle Systeme und Arbeitsabläufe, insbesondere in der IT-Abteilung. Die Kunst bei der Anpassung ist es, mehr Wert aus weniger Plattformen zu ziehen. Eine konsolidierte Sicherheitsarchitektur, die das gesamtes IT-Netzwerk umfasst, sorgt für eine konsistente, aber dennoch dynamische und letztlich bessere Datensicherheit. Das ist gut für die DSGVO und gut für das Geschäft.