Fit für die EU-DSGVO

Fahrplan zur Datenschutz-Grundverordnung

| Autor / Redakteur: Tim Grieveson* / Peter Schmitz

Die Datenschutz-Grundverordnung (EU-DSGVO) wird im Mai 2018 europaweit zur Pflicht. Ohne klaren Plan schaffen es deutsche Unternehmen nicht, rechtzeitig bereit zu sein.
Die Datenschutz-Grundverordnung (EU-DSGVO) wird im Mai 2018 europaweit zur Pflicht. Ohne klaren Plan schaffen es deutsche Unternehmen nicht, rechtzeitig bereit zu sein. (Bild: Pexels / CC0)

Bis Mai 2018 haben Unternehmen noch Zeit, dann sind sie der EU-Datenschutz-Grundverordnung verpflichtet, die europaweit für viele neue Auflagen und Sanktionen verantwortlich ist. Unternehmen sind gut beraten, sich ab sofort um die Aufstellung ihrer IT-Sicherheit und ihrer Information-Management-Prozesse zu kümmern, um sich auf die neuen Regelungen vorzubereiten. Tim Grieveson, Chief Cyber and Security Strategist bei Hewlett Packard Enterprise hat einen Fahrplan zusammengestellt, wie Unternehmen sich im Jahr 2017 für die neuen Regeln fitmachen können.

Für Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, archivieren oder nutzen sind mit der Datenschutz-Grundverordnung, die Datenschutz-Regularien der 28 EU-Staaten modernisiert und vereinheitlicht, zahlreiche Auflagen und auch Sanktionen verknüpft. Unternehmen müssen dann beispielsweise Datendiebstahl innerhalb von 72 Stunden den Behörden melden. Außerdem können Datenschutzverstöße mit Geldstrafen von bis zu vier Prozent des Jahresumsatzes des Mutterunternehmens geahndet werden.

Unternehmen sind gut beraten, sich ab sofort um die Aufstellung ihrer IT-Sicherheit und ihrer Information-Management-Prozesse zu kümmern, um sich auf die neuen Regelungen vorzubereiten. Die neue EU-Datenschutz-Grundverordnung sollte als Chance begriffen werden, den Umgang des Unternehmens mit geschäftskritischen Unternehmens- und Nutzerdaten auf den Prüfstand zu stellen. Damit schaffen Firmen ein Bewusstsein für den Wert und die Wichtigkeit der vorhandenen und genutzten Daten und können Wege entwickeln, die existierenden Daten anders zu nutzen, um Wettbewerbsvorteile zu generieren – und gleichzeitig die Vorschriften einzuhalten. 2017 sollte das Jahr sein, in dem sich Unternehmen in Sachen IT-Sicherheit neu positionieren. Security treibt Geschäft und ist keine „Policy-Polizei“, die immer nein sagt!

Schritt 1: Definieren Sie einen umfangreichen Rahmen und eine Strategie für digitale Sicherheit

Unternehmen sollten die Daten priorisieren, die sie sichern müssen, und sie sollten Informationssicherheit an die Geschäftsziele knüpfen.

Schritt 2: Stellen Sie Ihre Daten in den Fokus – Registrierung, Klassifizierung, Verschlüsselung, Speicherung

Ein wichtiger Schritt zur Erfüllung der neuen EU-Datenschutz-Grundverordnung ist die Identifizierung, Klassifizierung und der Umgang mit Kundendaten. Ein Nebenaspekt dieser genauen Einordnung ist, dass auch Daten, die gegebenenfalls gemäß der neuen Regelung des „Rechts auf Vergessenwerden“ gelöscht werden müssen, schneller identifiziert werden können.

Nur Unternehmen, die den Wert der Daten verstehen, können angemessene Schutzmaßnahmen ergreifen, um diese zu schützen. Versuchen Sie nicht, alles zu schützen, sondern konzentrieren Sie sich auf die kritischen Daten. Das reduziert nicht nur deutlich den Zeitaufwand für die Implementierung der richtigen Technologie und die Personalschulung, sondern ermöglicht außerdem eine zusätzliche Wertschöpfung. Denn je mehr Sie über Ihre Daten wissen, beispielsweise wo sie liegen, umso eher lassen sich neue Nutzungsszenarien überlegen und daraus neue Umsatzmodelle entwickeln.

Schritt 3: Führen Sie ein komplettes Audit der gegenwärtigen und wahrscheinlichen Risiken durch, um Risiken zu reduzieren

Unternehmen sollten zunächst identifizieren, welche Daten geschäftskritisch sind, wo diese liegen und wer darauf Zugriff hat. Die detaillierte Klassifizierung der Daten nach Typ, Inhalt und Nutzung bestimmt dann die passenden Technologien, Systeme und Prozesse, die für den wirkungsvollen Schutz und die Verwaltung der jeweiligen Daten angewendet werden müssen. Wichtig ist, dass Unternehmen einen zentralen Regelsatz für Sicherheit, Compliance und Verhaltensregeln etablieren, der über den gesamten Lebenszyklus der Information hinweg angewendet wird. Darüber hinaus sollten Unternehmen dafür sorgen, dass Informationen regelmäßig durch ein Backup gesichert werden.

Schritt 4: Bauen Sie Security von Beginn an in alle Prozesse ein (Security by Design)

IT-Sicherheit sollte ein integraler Bestandteil eines jeden Unternehmens sein, ebenso wie Gesundheit und Arbeitssicherheit. Mitarbeiter sollten im Bereich Security und Datenschutz umfassend geschult werden, denn eines der größten Risiken für die Sicherheit der Daten geht von innen aus. Dabei handelt es sich meistens nicht um eine mutwillige Gefährdung oder Entwendung der Daten, sondern um fahrlässige Handlungsweisen, die die Unternehmenssicherheit in Gefahr bringen. Unternehmen, die diese Punkte nachhaltig erfolgreich umsetzen und sich auf ihre Daten konzentrieren, sind bestens gerüstet für die neuen Regelungen, die ab Mai 2018 gelten werden. Wichtig ist, dass sie mit diesen Maßnahmen frühzeitig beginnen und sie kontinuierlich umsetzen. Sicherheit und Schutz der Daten sind kein einmaliges Projekt, sondern ein fortlaufender Prozess, um Unternehmenswerte zu schützen.

Schritt 5: Bereiten Sie sich auf den unvermeidlichen Ernstfall vor

Auch wenn alle Sicherheitsmaßnahmen vorbildlich umgesetzt werden, empfiehlt es sich, den Ernstfall zu proben und sich auch gegebenenfalls auf gerichtliche Anweisungen vorzubereiten. Dazu gehören beispielsweise auch Lösungen zur eDiscovery, um im Rechtsstreit Informationen schnell beschaffen zu können. Kein Unternehmen ist heute hundertprozentig sicher, und wenn ein Angriff Erfolg hat, ist es wichtig, darauf vorbereitet zu sein. Dazu gehören Maßnahmen zur

  • Reaktion – um den Schaden einzudämmen
  • Kommunikation – Kunden und die Öffentlichkeit müssen über Datenvorfälle informiert werden. Hier kommt es auf eine akkurate und schnelle Kommunikation an. Wenn ein Datenvorfall stattgefunden hat, sollten Informationen zu dem Ausmaß des Vorfalls, den Daten, die es betrifft und welche Schutzmaßnahmen implementiert wurden (z.B. waren die Daten möglicherweise verschlüsselt und sind so weniger wert für den Angreifer?) während und nach dem Vorfall in Echtzeit kommuniziert werden.
  • Wiederherstellung – wie können verlorengegangene Daten wiederhergestellt werden, und wie kann während und nach dem Vorfall der Betrieb aufrechterhalten werden, um widerstandsfähig gegen Cyberattacken zu bleiben.

* Tim Grieveson ist Chief Cyber and Security Strategist bei Hewlett Packard Enterprise.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44673243 / Compliance und Datenschutz )