NTT Security (Germany), Teil der NTT Group (NYSE: NTT) und Spezialist für Informationssicherheit und Risikomanagement, sieht bei vielen Unternehmen eine große Unsicherheit in Bezug auf die konkreten Anforderungen der neuen EU-Datenschutz-Grundverordnung. Mit einem neuen umfassenden Service-Angebot unterstützt NTT Security Unternehmen auf dem Weg zur Erfüllung aller Vorgaben.
Die ab Mai 2018 in allen EU-Mitgliedsstaaten geltende neue Datenschutz-Grundverordnung bringt zahlreiche Neuerungen mit sich. Sie erfordern auf Unternehmensseite vielfach auch eine Anpassung von IT-Infrastrukturen, Geschäftsprozessen und Compliance-Richtlinien.
„Bei etlichen Unternehmen herrscht Unsicherheit hinsichtlich der konkreten Auswirkungen der neuen Verordnung. Noch beunruhigender ist allerdings, dass viele Unternehmen die Meinung vertreten, sie seien bestens gerüstet für die EU-Vorgaben, allein schon aufgrund der hiesigen strikten Datenschutzrichtlinien. Das ist allerdings eine gravierende Fehleinschätzung“, erklärt Patrick Schraut, Director Consulting & GRC von NTT Security. „Mit unseren neuen Services wollen wir Unternehmen helfen, Sicherheitslücken zu erkennen und Maßnahmen zu ergreifen, um Compliance-Konformität herzustellen.“
Nach wie vor dominieren zahlreiche falsche Auffassungen in Bezug auf die Anforderungen der Datenschutz-Grundverordnung. Unternehmen wiegen sich vielfach schon in Sicherheit, wenn sie etwa die ISO 27001 beachten, die PCI-DSS-Vorgaben umgesetzt haben oder BSI-IT-Grundschutz-gemäß arbeiten. „Damit sind zwar bereits sehr gute Voraussetzungen geschaffen, aber eine automatische Konformität mit der EU-Datenschutz-Grundverordnung ist so nicht gegeben. Hierzu ist es zwingend erforderlich, alle Strukturen und Prozesse rund um personenbezogene Daten auf den Prüfstand zu stellen, von der Verarbeitung über Zugriffsmöglichkeiten bis zur Behandlung von Sicherheitsvorfällen“, so Schraut weiter.
NTT Security bietet ab sofort neue Services zur Erfüllung der EU-Vorgaben an. Das konkrete Leistungsspektrum von NTT Security im Umfeld der Datenschutz-Grundverordnung im Überblick:
- Gap-Analysen: Identifizierung von Sicherheitslücken und Konzeption von Lösungen zur Einhaltung der Vorgaben
- Identifizierung personenbezogener Daten und Datenmapping: Ermittlung von Datenquellen und -fluss in Geschäfts- und IT-Prozessen sowie Aufdeckung potenzieller Compliance-Lücken
- Überprüfung des Incident-Management-Prozesses: Untersuchung der Prozesse rund um die Identifizierung von Sicherheitsvorfällen im Hinblick auf die Einhaltung der in der Datenschutz-Grundverordnung geforderten Melde- und Dokumentationspflichten
- Security Health Check und Maturity Assessment: Beurteilung der Sicherheitsarchitektur hinsichtlich der Umsetzung von Standards wie ISO 27001 oder des COBIT-5-Frameworks
- Dienstleister-Überprüfung: Konzeption und Implementierung von Prozessen zur Evaluierung der Sicherheitskontrollen von externen Dienstleistern, die personenbezogene Daten verarbeiten
- Datenschutz-Folgenabschätzung (DSFA): Definition und Implementierung eines DSFA-Prozesses oder Bereitstellung eines „DSFA as a Service“
- Consulting zur Sicherheitsarchitektur: Beratung zu technischen Lösungen für die Vorgaben-Erfüllung und für Datenschutzkontrollen in der Entwicklungsphase von Applikationen und Systemen
- Datenschutz „by design“: Definition und Implementierung von Prozessen zur Sicherstellung der Vorgaben-Compliance
- Beratung des Datenschutzbeauftragten: Unterstützung des internen Datenschutzbeauftragten durch Experten von NTT Security
- Überprüfung der Sicherheitsrichtlinien: Definition und Etablierung von Richtlinien, Standards und Verfahren zur Unterstützung der spezifischen Geschäftsprozesse und regulatorischen Anforderungen eines Unternehmens.
Die neue Datenschutz-Grundverordnung gilt ab 25. Mai 2018 in allen EU-Mitgliedsstaaten. Sie ist von allen Unternehmen anzuwenden, die personenbezogene Daten verarbeiten, und beinhaltet unter anderem strengere Informationspflichten sowie stärkere Nutzerrechte mit einem „Recht auf Datenübertragbarkeit“ und einem „Recht auf Vergessenwerden“. Eine Nichtbeachtung der Vorgaben kann für ein Unternehmen Geldbußen von bis zu 20 Millionen Euro beziehungsweise vier Prozent des global erzielten Umsatzes nach sich ziehen.