DSGVO: EU-Datenschutzverordnung mit verstärktem Schutz der Privatsphäre
Diese Risiken werden die Spitze der Geschäftsrisikoskala in der nächsten Zukunft nicht verlassen. Also gilt es zu klären, welche Schritte ein Unternehmen gehen sollte, um die ständigen Änderungen in den Gesetzen und Vorschriften berücksichtigen zu können? Werfen wir einen Blick auf die DSGVO und die neuesten EU-weiten Änderungen der Datenschutzbestimmungen.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist die letzte Aktualisierung der EU-Datenschutzbestimmungen, die im April 2016 verabschiedet wurden. Die DSGVO verschärft erheblich die Anforderungen an den Schutz personenbezogener Daten. Einige Analytiker haben festgestellt, dass das neue Gesetz die heikle Frage aufwirft, ob Unternehmen einer solchen Herausforderung überhaupt standhalten können. Gleichzeitig gelten neue Regelungen als ein wichtiger Meilenstein auf der weltweiten Roadmap des Datenschutzes. Die DSGVO beeinflusst alle Wirtschaftsektoren und bringt tatsächlich spürbare Veränderungen mit sich, nämlich:
- Erweiterte Definition der persönlichen Daten
- Rigoroseres Berichtswesen zu Datenschutzverletzungen und personenbezogenen Datendiebstählen (z. B. “Recht auf Vergessen”)
- Hohe Geldstrafen für Missbrauch persönlicher Daten oder Nichteinhaltung der Compliance.
Die Gesetzgebung widmet der Informationssicherheit (der Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten) mehr Aufmerksamkeit und fordert alle EU-Unternehmen auf, zu überprüfen, wie ihre Informationen (z. B. persönliche Daten ihrer Kunden und Mitarbeiter) behandelt und geschützt werden.
DSGVO – das Gute, das Böse oder das Hässliche?
Die DSGVO hat einen Sturm kritischer Diskussionen im Internet und in den Massenmedien ausgelöst. Wir bei Infopulse erwarten, dass viele Unternehmen neue oder bestehende technische und administrative Maßnahmen zum Schutz der Informationen einführen oder intensivieren müssen. Die ersten Sicherheitskontrollen, die bei einem Update durchgeführt werden sollen, sind die Benutzerzugangskontrolle sowie die Wirksamkeitsprüfung im Passwortmanagement und bei der Datenverschlüsselung. Darüber hinaus müssen die Unternehmen Ihre Hausaufgaben bei der Datenminimierung, -anonymisierung oder -pseudonymisierung gewissenhaft erledigen. Die DSGVO zwingt die Organisationen, ein Managementsystem zur kontinuierlichen Verbesserung der Sicherheit zu zeigen, das auf ISO/IEC 27001 oder einem anderen Äquivalent basieren kann.
In weniger als 1 Jahr tritt die DSGVO in Kraft. Analysen zufolge ist die freie Wirtschaft nicht ausreichend darauf vorbereitet und einige Unternehmen werden nicht in der Lage sein, alle erforderlichen Änderungen bis Mai 2018 umzusetzen. So stellt die Umfrage von Symantec zum Stand des Europäischen Datenschutzes zum Beispiel fest, “91 Prozent der Befragten haben Bedenken zu der Fähigkeit ihrer Organisation, der DSGVO aufgrund der Faktoren wie die Komplexität der korrekten, fristgerechten und kosteneffektiver Datenverarbeitung zu entsprechen”.
Wenn Sie nicht darunter sein wollen, berücksichtigen Sie Folgendes: Die Zeit vergeht schnell und die ersten Schritte müssen dringend unternommen werden.
Was ist zu tun und wie fängt man an?
Einige der grundlegenden Aktivitäten für jedes Unternehmen wären in diesem Zusammenhang, eine kompetente Person damit zu beauftragen, sich über neue Vorschriften und Gesetze zu informieren und die Bestände persönlicher Daten zu erstellen oder zu aktualisieren. Allein diese Aktivitäten können 1 oder 2 Monate bei mittelkleinen bis mittelgroßen Unternehmen in Anspruch nehmen, vor allem, wenn sich die Unternehmen noch nie mit derartigen Projekten beschäftigt haben.
Für die Unternehmen, die nach ISO/IEC 27001 zertifiziert sind, sieht die Lage viel besser aus. Experten für die Informationssicherheit sind sich einig, dass diese Unternehmen fast am Ziel sind: Bestände personenbezogener Daten sind identifiziert, deren Handhabung ist beschrieben, die Informationssicherheit ist gewährleistet und entsprechende Audits sind gut etabliert. Ein wichtiger Schritt ist außerdem, ein ausgereiftes Informationssicherheits-Managementsystem (ISMS) zu haben, das gut beschrieben ist, vermessen und kontinuierlich verbessert wird. In dieser Hinsicht müssen die Unternehmen einen systematischen Ansatz verfolgen und das oben genannte oder vergleichbare ISMS implementieren. Wir bei Infopulse empfehlen den ISF Standard der Guten Praktik (SoGP). Der ISF SoGP ist weiter verbreitet als ISO/IEC 27001 und umfasst andere gängige, für die Informationssicherheit relevante Standards und Best Practices (z. B. NIST Cybersecurity Framework, Cloud Security Alliance Standards und PCI DSS).
Die besten Praktiken für die Compliance
Die Umsetzung eines Systems für den Schutz personenbezogener Daten kann Zeit und Ressourcen kosten, aber im Endeffekt profitieren Sie von der Einhaltung der neuesten Vorschriften.
Hier ist ein Fall aus der eigenen Praxis von Infopulse. Der Schutz von Informationen und die Compliance waren für das Management des Unternehmens immer eine hohe Priorität. 2010 haben wir unsere Geschäftsprozesse auf die Übereinstimmung mit den lokalen Datenschutzbestimmungen erfolgreich umgestellt. Das entsprechende Gesetz wurde erstmals im Juni 2010 verabschiedet und ist im Januar 2011 in Kraft getreten, wobei es seitdem unter Berüchsichtigung der aktuellen Fassung der EU-Richtlinien überarbeitet wurde. Zuerst hatten wir nur noch 7 Monate Zeit, um die erforderlichen Änderungen vorzunehmen. Da Infopulse aber eine gute Basis für die jeweiligen Prozesse und keine Probleme mit den Ressourcen hat, konnten wir sofort ein internes Projekt starten und den gewünschten Compliance-Status reibungslos erreichen.
Infopulse arbeitet konsequent an der Aktualisierung der Compliance in Bezug auf die Anforderungen unserer Kunden. Unsere professionellen Dienstleistungen erfüllen die Qualitäts- und Sicherheitsanforderungen der Kunden, die in den meisten Fällen Aussagen zum Schutz personenbezogener Daten beinhalten. Gemeinsam mit EVRY beteiligt sich Infopulse am internen DSGVO-Compliance-Projekt. Unsere Mitarbeiter besuchen Webinare und Präsenzveranstaltungen, um unseren Kunden zu helfen, die Sicherheits-Praktiken zu meistern. All dies ist notwendig, um die Einhaltung der Vorschriften und den effizienten Schutz der vertraulichen Informationen unserer Kunden zu gewährleisten.
Über den Autor
Oleg Diachuk ist der Sicherheitsexperte bei Infopulse – ein erfahrener Profi mit 20 Jahren Erfahrung in der Informationssicherheit, nach CISSP, CRISC, CISA, MBCI und CISM zertifiziert. Herr Diachuk spezialisiert sich auf das Risikomanagement, das Betriebskontinuitäts- und Incident-Management, die Sicherheitsmanagement-Systemarchitektur und trägt mit seinem Talent zur Entwicklung eines effizienten ganzheitlichen Sicherheitsmanagement-Systems bei.
Interessieren Sie sich für die Diskussion über die DSGVO-Änderungen, die Sicherheitsprüfung Ihrer Unternehmensdaten oder den Start eines Compliance-Projekts?
Wir sind bereit, Ihnen zu helfen – kontaktieren Sie uns und wir besprechen alles!