Von regulatorischer Auflage zum Wettbewerbsvorteil

Business-Lösungen

Von regulatorischer Auflage zum Wettbewerbsvorteil

Meistern Sie die Datenschutzherausforderung dauerhaft

Am 25. Mai 2018 tritt für Unternehmen, die in der Europäischen Union tätig sind, die wichtigste Datenschutzänderung seit zwei Jahrzehnten in Kraft. Längst ist es an der Zeit, sich auf die General Data Protection Regulation (GDPR) vorzubereiten. Die GDPR wird die Art und Weise, wie Organisationen in der EU ihre Geschäfte abwickeln, grundlegend verändern. 

Wenn Sie Produkte an EU-Datensubjekte verkaufen oder ihre Informationen verarbeiten, müssen Sie in Erfahrung bringen, wie die wichtigen Datenschutzanforderungen in Angriff genommen werden und wie Sie von vordefinierten GDPR-Funktionen und automatisierten Compliance-Workflows profitieren.

Die GDPR vereinheitlicht die Datenschutzanforderungen aller 28 EU-Mitgliedsstaaten. Kunden und Mitarbeiter haben das Recht, Ansprüche geltend zu machen, wenn ihre Daten nicht gemäß den GDPR-Vorgaben geschützt werden. Gleichzeitig haben die EU-Regulierungsbehörden das Recht, bei Verletzungen umfangreiche Geldstrafen zu verhängen. 

Unternehmen rund um den Globus erhöhen seit Monaten massiv ihre Anstrengungen, um sich auf die neuen EU-Datenschutzvorschriften vorzubereiten. Die Vorbereitung auf die GDPR beginnt mit einem Verständnis der Sicherheitsverantwortlichen, wo sich im Unternehmen personenbezogene Daten befinden, wer darauf zugreift und wo es dabei Schwachstellen geben könnte.

Das Thema umfasst die Identifizierung und den Schutz der persönlichen Daten der Einwohner in der EU. Die GDPR wirkt sich auf jede Organisation aus, die sich mit den Informationen von aktuellen, vergangenen oder potenziellen Kunden (Datenfächern) in der EU befasst.

Die GDPR ersetzt die bisherige EU-Datenschutzrichtlinie. Die Regelung wurde dazu entworfen, die Datenschutzanforderungen in allen 28 EU-Mitgliedsstaaten zu vereinheitlichen. Nach der GDPR sind die Betroffenen – darunter Endkunden, Kunden und Mitarbeiter – berechtigt, Klage zu erheben, wenn ihre Daten nicht nach den GDPR-Vorschriften geschützt sind. Darüber hinaus haben die EU-Regulierungsbehörden das Recht, für Verstöße sehr große Geldstrafen zu verhängen.

Der Datenschutz ist daher ein wichtiges Thema für Unternehmen. Die GDPR schafft mehr Verpflichtungen und Haftungsrisiken für diejenigen, die Daten verarbeiten und verwalten, da die Datenhoheit jedes Individuums gestärkt wird. Wie bereits berichtet, wird die GDPR strengere Richtlinien für die Einverständniserklärung für die Datenerhebung, die individuelle Profilerstellung und umfassendere Definitionen von Daten erlassen. 

Alles deutet auf einen neuen Imperativ hin, um Daten auf einer granularen Datenebene zu verwalten, indem man versteht, wo sich die Daten befinden, wo sie fließen, mit wem sie geteilt werden, welche Zustimmung gegeben wurde und wann Daten gelöscht werden müssen, um das Recht auf Vergessen vollständig zu unterstützen. Darüber hinaus sind Unternehmen verpflichtet, Kunden innerhalb von 72 Stunden nach einer Datenschutzverletzung zu benachrichtigen.

Um GDPR-Bereitschaft zu erreichen, müssen Sie einige kritische Fragen bezüglich persönlicher Daten beantworten:

  • Wo sind alle personenbezogenen Daten gespeichert?
  • Wie sehen die personenbezogenen Daten aus?
  • Wie viel ist gefährdet, wenn Daten gestohlen oder veröffentlicht werden?
  • Wer greift auf personenbezogene Daten zu oder versucht, darauf zuzugreifen? Versuchen Angreifer, diese zu löschen oder zu stehlen?
  • Wann versuchen sie, diese zu stehlen oder auszusetzen?
  • Kann ich auch das Löschen von Daten konsequent sicherstellen?
  • Wie ist mein Notfallplan?

IT-Teams benötigen Security- wie Data-Governance-seitig die richtigen Werkzeuge, um ihnen zu helfen, diese kritischen Fragen zu beantworten. Dieser Prozess hat an vielen Stellen bereits begonnen, an anderen muß er noch systematisiert werden. 

Verantwortliche können ihren Erfolg beschleunigen, indem sie nach Werkzeugen suchen, die ihre GDPR-Bedürfnisse unterstützen. Zuerst können sie erwägen, eine selbstgesteuerte GDPR-Bewertung zu erzielen, um die eigene Position zu verstehen. Als nächstes stellt sich die Frage, welche personenbezogenen Daten unter die GDPR fallen. 

Unternehmen können sich in die richtige Richtung begeben, indem sie ein Werkzeug mit automatisierter Datenaufdeckung und vorgefertigten Klassifikationsmustern einsetzen, die relevante Daten identifizieren können.

Sobald Projektverantwortliche wissen, was sie suchen, sollten sie ermitteln, wo die Daten gespeichert sind. Dafür empfiehlt sich am besten ein Produkt, das GDPR-spezifische Verwundbarkeitsabschätzungs- und Risikobewertungsfähigkeiten hat. Diese Werkzeuge können nach Datenquellen suchen, die GDPR-spezifische persönliche Daten enthalten.

Nachdem klar geworden ist, welche personenbezogenen Daten existieren und wo sie sich befinden, können Verantwortliche sich mit der Frage beschäftigen, wer auf sie zugreift. Dazu benötigen sie eine Lösung, welche vordefinierte Richtlinienregeln und Gruppen bietet, die Monitoring, Audit, Aufzeichnung und Bereitstellung von Warnungen für alle nicht autorisierten Aktivitäten im Zusammenhang mit diesen persönlichen Daten unterstützen. Eine Echtzeit-Aktivitätsüberwachung kann diesen Einblick vertiefen.

Schließlich ist es wichtig, zu verfolgen, was mit all diesen persönlichen Daten in Echtzeit passiert, und nach den GDPR-Anforderungen zu reagieren. Für dieses Projekt sollten Verantwortliche am besten eine Lösung wählen, die vorkonfigurierte GDPR-zentrische Berichte bereitstellt. Diese identifizieren, wer auf personenbezogene Daten zugegriffen hat, wo und wann darauf zugegriffen wurde und wie auf sie zugegriffen wurde. Sie können diese Informationen dann verwenden, um Benachrichtigungen an Auditoren, Controller und Datenschutzbeauftragte zu senden, die auf einem Data-Security-Compliance-Review-Prozess aufsetzen.

Schließlich können Projektverantwortliche mit dem Schutz der persönlichen Daten, die sie lokalisiert , klassifiziert und überwacht haben, beginnen. Verschlüsselung, Redaktion und Maskierung können dafür eingesetzt werden, um die entsprechenden Ebenen der Pseudonymisierung zu unterstützen, die ihre Organisation und ihre Daten benötigen.

Wichtig dabei ist: Gibt es einen Notfallplan zur Meldepflicht innerhalb 72 Stunden? Und kann ich identifizieren, wer zu informieren ist und in welchem Umfang? Hilft mir die konsequente Verschlüsselung der Daten zur Abmilderung dieser Meldepflicht?

Die Mission zum Schutz personenbezogener Daten und die Einhaltung der GDPR ist für Unternehmen wirklich kritisch. Mai 2018 ist dafür nur das Datum der „Scharfschaltung“ – die Herausforderung bleibt. Unternehmen sollten sich daher mit den Werkzeugen und Fähigkeiten ausstatten, um das höhere Maß an Datenverantwortung in einen Wettbewerbsvorteil zu verwandeln, und das dauerhaft. IBM kann hier mit Wissen und Werkzeug ein starker Partner sein. 

Christian Nern,
Head of Security Software DACH
bei IBM Deutschland


Ihr Ansprechpartner bei der PROFI AG:
Andreas Rühl, Consultant Strategie und Architekturberatung Informationssicherheit