Sie sind hier: HomeTelekommunikation

Hilfestellung für den CISO: Fünf Fragen zur Europäischen Datenschutz-Grundverordnung

Die neue Grundverordnung tritt im Mai 2018 in Kraft. Sie wird sich immens darauf auswirken, wie Unternehmen personenbezogene Daten von EU-Bürgern speichern und sammeln. Unabhängig von ihrem Standort betrifft die Verordnung alle Unternehmen, die in der EU erfasste Daten speichern und verarbeiten.

Fragen Bildquelle: © Andriy Popov - 123RF

Vor der DSGVO galt in der EU die Datenschutzrichtlinie von 1995. Die Datenschutzrichtlinie war schwer durchzusetzen und die Vorschriften wurden EU-weit in unterschiedlichem Maße eingehalten. Während Länder wie Deutschland und die Niederlande strenge Kontrollen umsetzten, gab es auch Länder, in denen praktisch überhaupt nicht kontrolliert wurde. Die DSGVO wird dieses Problem beheben und sicherstellen, dass alle Länder umfassende Kontrollen zum Schutz der Daten aller EU-Bürger umsetzen.

Die neuen Regeln der DSGVO haben die Form einer Verordnung – sie erzwingen Datenschutzstandards, die – theoretisch – in allen 28 EU-Mitgliedstaaten gleich sind. Jedes Unternehmen, das die Verordnung nicht einhält, kann mit einer Geldbuße von bis zu 4 Prozent seines Jahresumsatzes oder 20 Millionen Euro belegt werden. Je nachdem, welcher Wert höher ist. Geldbußen dieser Größenordnung können für Unternehmen das Ende ihrer Geschäftstätigkeit bedeuten. Die Hausaufgaben müssen nun gemacht werden. Dies ist aber nicht einfach. Viele Unternehmen werden technologische Lösungen entwickeln müssen, die bei der Einhaltung der Verordnung behilflich sind.

Um Unternehmen dabei zu helfen, zu verstehen, in welcher Weise die Bestimmungen der DSGVO sie betreffen, sollten IT-Teams ihrem CISO diese fünf wichtige Fragen stellen, um ihn bei seinen Aufgaben zu unterstützen:

1. Wissen wir genau, was für Daten wir speichern und wo sie gespeichert sind?

Zunächst müssen IT-Teams einen Datenbewertungsbericht erstellen. Dieser verlangt von Unternehmen, dass sie sensible personenbezogene gespeicherte Daten lokalisieren. Zudem ist eine Dokumentation verpflichtend, die aufzeigt, auf welche Weise diese Daten erfasst wurden. Diese detaillierte Bewertung muss für behördliche Prüfungen oder Compliance-Audits bereitgehalten werden.

Eine der wichtigsten Herausforderungen liegt allerdings darin, diese Daten zu finden. Bei einem großen Unternehmen reicht ein Anruf bei der IT-Abteilung nicht aus. Dies ist eine der großen Herausforderungen der DSGVO und ein Problem, das alle Unternehmen lösen müssen.

2. Wer hat Zugriffsrechte auf die privaten Daten, wer greift darauf zu und aus welchen Gründen tut er oder sie das?

Eine der klaren Anforderungen der DSGVO liegt darin, den Zugriff auf bestimmte Informationen begrenzen und sicherstellen zu können, dass der Zugriff autorisiert ist und alle Änderungen innerhalb des Unternehmens reflektiert. Es ist wichtig, Richtlinien zur Handhabung von Daten zu analysieren, etwa zur Nutzung von Testdaten, Datenaufbewahrung und Datenvernichtung.

Es ist zudem sehr wichtig, dass Unternehmen wissen, warum jemand auf personenbezogene Daten zugreift. Nur weil eine Person eine bestimmte Position in einem Unternehmen inne hat, hat er nicht automatisch das Recht, auf alle Datenquellen zuzugreifen.