Aktueller Channel Fokus:

Business Continuity

Ein Jahr Datenschutz-Grundverordnung

Das hat die DSGVO verändert

| Autor / Redakteur: Thomas Boele* / Dr. Jürgen Ehneß

Ein Jahr DSGVO – eine Bestandsaufnahme.
Ein Jahr DSGVO – eine Bestandsaufnahme. (Bild: ©M.Rode-Foto - stock.adobe.com)

Vor einem Jahr wurde die DSGVO eingeführt. Was hat sich seitdem verändert, und konnte sie tatsächlich den Datenschutz in der EU verbessern? Hier finden Sie nicht nur die Antworten auf diese Fragen, sondern auch zehn Tipps für eine bessere Compliance.

Sie wurde mit dem Millennium-Bug verglichen, als neue Möglichkeit für Abmahn-Erpressungen bezeichnet und hat IT-Abteilungen in den vergangenen zwölf Monaten wie kaum ein anderes Thema beschäftigt. In der Woche vor dem Inkrafttreten im vergangenen Mai wurde sie als Suchbegriff bei Google häufiger aufgerufen als Beyonce. Es handelt sich natürlich um die DSGVO (Datenschutz-Grundverordnung), das von der EU ins Leben gerufene Rahmenwerk für Datensicherheit und -schutz. Ein Jahr nach ihrer Einführung ist es Zeit für eine Bestandsaufnahme.

Populäre Anfrage: DSGVO vor Beyonce (Mai 2018).
Populäre Anfrage: DSGVO vor Beyonce (Mai 2018). (Bild: Cohesity/Google)

Da Datendiebstahl und -missbrauch inzwischen zum Alltag gehören und Sicherheitsverstöße, Phishing-Betrug und Cyberangriffe die Regel sind, kam die DSGVO zum richtigen Zeitpunkt: Unternehmen benötigten eine Anleitung und Verbraucher einen besseren Schutz.

Tatsächlich hatten viele IT-Abteilungen bis vor einem Jahr wenig oder gar keinen Einblick in den Umgang mit Daten. Durch die Einführung der DSGVO mussten sie jedoch prüfen, wer tatsächlich Zugriff auf welche Dateien hat, welche Schwachstellen sie haben und wie sie sich im Falle eines Angriffs verhalten. Sie begannen auch damit, schwierige Fragen zur Compliance-Bereitschaft zu stellen und Software von Drittanbietern zu bewerten.

Mehr Aufwand für besseren Datenschutz

Für viele Unternehmen beinhaltete der Weg zur Einhaltung der DSGVO die Schaffung einer neuen Rolle oder eines neuen Teams, das sich auf die Risikominderung und Einhaltung der Vorgaben konzentriert. Je nach Branche, Unternehmensgröße und Umfang der datenbezogenen Prozesse kann dies von einer Person bis zu einem Team von zwölf oder mehr Personen reichen.

Ein Ergebnis der DSGVO ist, dass die Meldung von Verstößen gegen personenbezogene Daten seit Mai 2018 weltweit deutlich zugenommen hat. Laut einer Studie von DLA Piper wurden in den ersten acht Monaten nach ihrem Inkrafttreten europaweit fast 60.000 Verstöße gemeldet. Dies wiederum führte dazu, dass Verstöße bei personenbezogenen Daten stärker zu einem öffentlichen Thema geworden sind. Dies ist eine sehr gute Sache und unterstützt das Ziel der DSGVO: die Stärkung des Datenschutzes für EU-Bürger.

Einige Marktbeobachter sagen zwar, dass nicht genügend Bußgelder verhängt wurden, aber immerhin gab es seit Mai 2018 etwa 90 Geldbußen. Die größte und bedeutendste Strafe wurde in Frankreich gegen Google ausgesprochen – in einer Höhe von 57 Millionen US-Dollar.

10 Tipps für eine bessere Compliance

Wer die eigenen Prozesse zur Einhaltung der DSGVO verbessern möchte, sollte folgende Schritte durchführen:

  1. Wiederholen Sie eine gründliche Folgenabschätzung zum Datenschutz. Stellen Sie deutlich dar, wo personenbezogene Daten gespeichert sind und wer Zugriff darauf hat. Zudem sollten Sie gewährleisten, dass diese Daten wiederhergestellt werden können.
  2. Weniger ist mehr. Reduzieren Sie die Menge der personenbezogenen Daten, die Ihr Unternehmen speichert. Gleichzeitig ist zu prüfen, ob die Gründe, aus denen die personenbezogenen Daten verarbeitet werden, rechtmäßig sind.
  3. Ist Ihr Datenschutzbeauftragter auf Kurs? Wenn nicht: Ernennen Sie einen neuen Datenschutzbeauftragten, der dafür sorgt, dass die Einhaltung der Vorschriften für Ihr Unternehmen hohe Priorität genießt.
  4. Aktualisieren Sie Ihr Data-Governance-Framework. Möglicherweise haben Sie im vergangenen Jahr Änderungen vorgenommen und planen darüber hinaus, neue Dienste, Anwendungen und Technologien einzuführen. Das Data-Governance-Framework steuert, wie Ihr Unternehmen das Datenmanagement durchführt.
  5. Implementieren Sie neue Compliance-Systeme. Die DSGVO ist zwar keine technologische Herausforderung, aber Software kann bei der Verwaltung der Compliance helfen. Zudem ermitteln Sie damit, was noch benötigt wird, um Ihre Ziele zu erreichen – seien es Training, Risikomanagement oder Reporting.
  6. Überprüfen Sie Ihre Lieferantenverträge und SLAs auf DSGVO-Konformität. Dies gilt insbesondere für die Verpflichtungen bei gemeinsamer Datenverarbeitung.
  7. Prüfen Sie Ihre Richtlinien für Lieferanten im Hinblick auf den Umgang mit persönlichen Daten der Kunden. Müssen Sie neue Verträge abschließen, um Kunden vor rechtswidriger Verwendung ihrer personenbezogenen Daten zu schützen?
  8. Überprüfen Sie einerseits den Inhalt aller Dokumente, die nach außen gehen, und andererseits Ihre Prozesse zur Erfassung personenbezogener Daten. Arbeiten Sie dabei mit der Marketingleitung zusammen. Denn sowohl die von Ihnen produzierten Materialien als auch die Daten, die Sie von außen erhalten, müssen konform sein.
  9. Bewerten Sie Ihre internationalen Datenübertragungen und überprüfen Sie die Compliance anhand der aktualisierten Leitlinien, die von der ICO Ende vergangenen Jahres veröffentlicht wurden.
  10. Im Zweifelsfall konsultieren Sie Rechtsexperten mit Erfahrung bei internationalen Themen der Datensicherheit und des Datenschutzes. Holen Sie sich dabei den besten Rat, den Sie sich leisten können.

Das Problem: Mass-Data-Fragmentation

Eine große Herausforderung bei der DSGVO-Compliance entsteht durch die so genannte Mass-Data-Fragmentation. Darunter versteht man die zunehmende Verbreitung von Daten über eine Vielzahl von verschiedenen Standorten, Infrastruktursilos und Managementsystemen. Das hindert Unternehmen nicht nur daran, den Wert dieser Daten voll auszuschöpfen. Im Kontext der DSGVO bedeutet dies auch Komplikationen bei der Lokalisierung, Verarbeitung, Zugriffskontrolle und Gewährleistung der Sicherheit ihrer Daten.

Untersuchungen von Vanson Bourne im Auftrag von Cohesity zeigen eine Reihe von Faktoren, die dieses Problem verstärken.

  • Es gibt eine Fragmentierung der Daten sowohl in mehrere als auch innerhalb von Silos. Dieses Problem wird noch verschärft durch die Vielzahl an Einzelprodukten, die zur Verwaltung von nicht geschäftskritischen Workloads wie Backups, Fileshares, Object-Stores, Test und Entwicklung sowie Analysen verwendet werden.
  • Einzelprodukte erhöhen die Komplexität. 35 Prozent der Befragten nutzen sechs oder mehr verschiedene Lösungen zur Verwaltung aller nicht geschäftskritischen Prozesse. Über zehn Prozent der Unternehmen verwenden sogar elf oder mehr Lösungen.
  • Es gibt überall Kopien der gleichen Daten, da Einzelprodukte den Austausch oder die Wiederverwendung nicht zulassen. 63 Prozent der Unternehmen besitzen vier bis 15 Kopien der gleichen Daten.
  • Die Daten sind über mehrere Standorte verteilt. 85 Prozent der Befragten speichern Daten in zwei bis fünf Public-Clouds. Davon erstellen 74 Prozent eine alternative oder redundante Kopie und speichern sie entweder in derselben oder einer anderen Public-Cloud. Eine einheitliche Verwaltung dieser Daten oder eine Entfernung personenbezogener Daten aus all diesen Kopien lassen sich kaum sicherstellen.
eco Verband: 42 Prozent der Deutschen haben bereits Daten verloren

Im Fokus: Backup – Datensicherung für jeden Bedarf

eco Verband: 42 Prozent der Deutschen haben bereits Daten verloren

03.04.19 - Am 31. März war „World Backup Day“ – ein willkommener Anlass, sich die Bedeutung des gern verdrängten Themas Datensicherung einmal mehr vor Augen zu führen. In den kommenden Wochen finden Sie regelmäßig neue Artikel in unserem Schwerpunkt Im Fokus: Backup – Datensicherung für jeden Bedarf. lesen

Genug getan?

Die meisten Unternehmen haben trotzdem das Gefühl, dass sie „genug“ für die DSGVO getan haben. Allerdings sind sich einige nicht sicher, was „genug“ wirklich bedeutet. Dies liegt zum Teil daran, dass sich die Bestimmungen der DSGVO in gewisser Hinsicht offen auslegen lassen. Das beunruhigt Unternehmen, die es vorgezogen hätten, wenn die Vorgaben detaillierter festgelegt worden wären. Dies hätte aber wiederum eine gewisse Besorgnis darüber ausgelöst, ob ein Unternehmen trotz aller Bemühungen tatsächlich vollständig konform wäre oder nicht.

Thomas Boele, Senior Director Systems Engineering EMEA bei Cohesity.
Thomas Boele, Senior Director Systems Engineering EMEA bei Cohesity. (Bild: Cohesity)

Insgesamt gilt: Wer Schritte unternommen hat, um den Schutz personenbezogener Daten wirklich sicherzustellen, befindet sich auf einem guten Weg. Aber das ist noch nicht alles. Unternehmen müssen weiterhin gewährleisten, dass sie die DSGVO-Anforderungen einhalten und regelmäßig Datenberichte und Reaktionszeiten bewerten, hinterfragen und verbessern. Es gibt zwar Lösungen und Anwendungen, welche die Compliance optimieren können, doch auch in Zukunft müssen Menschen sicherstellen, dass die richtigen Prozesse genutzt und die richtigen Fragen gestellt werden.

*Der Autor: Thomas Boele, Senior Director Systems Engineering EMEA bei Cohesity.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45950490 / Recht)