Security

DSGVO: Digitale Persönlichkeitsrechte – neu definiert

Am 25. Mai 2018 ist es soweit: die von der EU verabschiedete neue Datenschutz-Grundverordnung (DSGVO) tritt in Kraft. Mit diesen neuen, strikteren Vorschriften sollen die Datenschutzregeln in allen 28 EU-Mitgliedsstaaten möglichst weitgehend harmonisiert werden. Sie soll, vereinfacht ausgedrückt, die Persönlichkeitsrechte und die Sicherheit der EU-Bürger im Umgang mit ihren Daten stärken. Die Missachtung dieser neuen Vorschriften kann teuer werden – für jeden, der mit und in der EU Geschäfte machen will und dafür mit persönlichen Daten arbeitet. Unternehmen und Organisationen, die sich nicht daran halten, müssen mit Bußgeldern von bis zu 20 Millionen Euro oder bis zu vier Prozent ihres jährlichen Umsatzes rechnen. Darüber hinaus können Aufsichtsbehörden das laufende Geschäft unterbrechen, wenn sie den Verdacht haben, dass ein Unternehmen gegen die Datenschutz-Grundverordnung verstößt. Im Mittelpunkt steht die Nachweisführung, was genau an welcher Stelle im Unternehmen mit den persönlichen Daten geschieht. Ein weiteres zentrales Thema ist der Anspruch auf die komplette Löschung persönlicher Daten. Dieses „Right to be forgotten“ ist elementar – und die Beweislast für dessen Einhaltung liegt, anders als in der Vergangenheit, bei den Unternehmen. Das können übrigens auch Fingerprints, ein persönliches Zitat oder ein Foto sein.

Die Zeit drängt also. Und es ist kaum damit zu rechnen, dass der Gesetzgeber eine Schonfrist gewährt. Doch viele Unternehmen sind noch nicht so weit: Laut einer Ende 2017  veröffentlichten Umfrage von IDC  fühlen sich gerade einmal 15 Prozent der befragten Unternehmen DSGVO-compliant, 44 Prozent sind eigenen Angaben zufolge „noch weit davon entfernt“ vorbereitet zu sein. Über 30 Prozent gaben zudem an, dass sie frühestens in zwölf Monaten in der Lage sein werden, personenbezogene Daten zu verschlüsseln.

Was also ist zu tun? Panik ist trotz des sich schließenden Zeitfensters sicherlich der falsche Ratgeber. Zudem hatte Deutschland auch schon bisher eine der strengsten Datenschutzverordnungen weltweit – das Rad muss in den Unternehmen also nicht komplett neu erfunden werden. Tatsache ist aber auch, dass sich die durch die DSGV induzierten notwendigen Veränderungen praktisch durch das ganze Unternehmen ziehen: Personen, Prozesse und IT-Systeme sind gleichermaßen betroffen. Es bleibt also immer noch viel zu tun.

Im Einzelnen sollten Unternehmen folgende fünf Domänen genauer unter die Lupe genommen:

  • Governance: Hier geht es unter anderem um das Management der persönlichen Daten, um Daten-Ownership, Klassifikation, Datenablage und -archivierung.
  • Kommunikation und Mitarbeiter: Im Mittelpunkt stehen Fragen der internen und externen Kommunikation, das Training und die Information von Mitarbeitern sowie notwendige organisatorische Veränderungen.
  • Prozesse: Durchleuchtet werden müssen sämtliche Prozesse, bei denen die Verarbeitung persönlicher Daten eine Rolle spielt. Ebenfalls überlegt und geplant werden muss die Implementierung neuer Prozesse, damit den Richtlinien der DSGVO entsprochen wird.
  • Daten-Verarbeitung: Evaluiert werden müssen zudem alle IT-Systeme und Technologien, die für die Verarbeitung der Personendaten genutzt werden, wie sie gemanagt und supportet werden. So hat beispielsweise jeder Kunde ab dem 25. Mai das Recht, innerhalb von 30 Tagen Zugang zu allen persönlichen Daten zu erhalten, die ein Unternehmen von ihm gespeichert hat. Und er hat das Recht, sie jederzeit löschen oder aktualisieren zu lassen.
  • Sicherheit: Ein wirksamer Schutz vor Datenmissbrauch und Cyberattacken ist ebenfalls zu gewährleisten. Dazu gehört auch die rechtzeitige Anzeige von erfolgtem Datenmissbrauch oder -klau gegenüber dem Betroffenen und den Behörden.

Verfahrensverzeichnisse, Consent Management und Datensicherheits-Monitoring             

Die DSGVO umfasst genau 99 Artikel. Für jeden dieser Artikel muss ein Unternehmen theoretisch den Nachweis erbringen können, dass es die Vorgaben erfüllt. Ein besonderes Augenmerk liegt dabei auf der Erstellung von Verfahrensverzeichnissen, auf den Themen Consent Management sowie dem Monitoring von Daten-Sicherheitsvorfällen (Breach Monitoring).

timon-studler-63413

Mit der DSGVO werden die Persönlichkeitsrechte ein Stück weit neu definiert.

Was steckt dahinter? Verfahrensverzeichnisse, oder genauer das „Verzeichnis von Verarbeitungstätigkeiten“ (Artikel 30) ist die Basis für das gesamte „Lifecycle-Management“ der personenbezogenen Daten. In diesem Verzeichnis muss genau dokumentiert werden, was mit diesen Informationen im Unternehmen geschieht: Welchen Weg sie nehmen, wo sie abgelegt werden, ob und an welcher Stelle die an Dritte weitergegeben werden. Schließlich muss auch sichergestellt und nachweisbar dokumentiert werden, dass sie unwiderruflich gelöscht werden können, wenn dies gefordert wird.

Consent Management (Artikel 7 und 8) betrifft das Thema Einwilligung. Ein gegenwärtig heiß diskutiertes Thema, denn es geht um die oft intransparente Nutzung persönlicher Daten, etwa für Werbezwecke oder das automatisierte Profiling. Die EU hat der Verwendung von personenbezogenen Daten hier enge Grenzen gesetzt. Ab Mai muss unter anderem nachgewiesen werden, wie diese Einwilligungen erhoben, verwaltet und dokumentiert werden. Auch, wie Widerrufe prozessiert werden und die Verfahren für die Einwilligung, etwa auch bei Jugendlichen – Stichwort Altersnachweis – aussehen. Zudem müssen die Unternehmen sicherstellen, dass eine differenzierte, explizite Zustimmung der Nutzung persönlicher Daten auch für einzelne Datenkategorien möglich ist und zuverlässig berücksichtigt wird. Also etwa: „ja“ ich möchte den Newsletter einmal im Monat bekommen, aber „nein“, ich möchte keine täglichen Benachrichtigungen zu Rabattaktionen.

Beim sogenannten Breach Monitoring (Artikel 33 und 34) geht es um die engmaschige Überwachung von Sicherheitsvorfällen. Ab dem 25. Mai muss der Datenklau und
-missbrauch personenbezogener Daten innerhalb von 72 Stunden bei den Aufsichtsbehörden gemeldet werden. Darüber hinaus müssen die betroffenen Personen unverzüglich informiert werden. Eine echte Herausforderung. Denn immer noch haben sehr viele Unternehmen Probleme damit, Datenmissbrauch zeitnah zu erkennen. Nicht selten dauert es mehrere Tage bis ein „Breach“ als solcher tatsächlich identifiziert ist.

Fazit: Die Umsetzung der DSGVO macht zweifellos eine Menge Arbeit. Dabei liegt die Nachweis- und Dokumentationspflicht eindeutig bei den Unternehmen. Sie muss im Einzelfall tatsächlich jederzeit erbracht werden können.

Doch die gute Botschaft ist: es ist immer noch nicht zu spät, damit anzufangen. Und sie kann durchaus auch als Chance begriffen werden. Denn der nachweisbare, sorgfältige Umgang mit persönlichen Daten schafft zusätzliches Vertrauen bei den Kunden. Zudem kann, angesichts der allgemein steigenden Wachsamkeit im Hinblick auf den intransparenten Umgang mit persönlichen Daten und Datenmissbrauch, eine korrekte Umsetzung durchaus positive Effekte auf das Image und die Wettbewerbsfähigkeit eines Unternehmens haben. Verbesserte Datenqualität bedeutet auch eine bessere Kundenkenntnis und die Möglichkeit rascher und individueller Marktbearbeitung, ein Wettbewerbsvorteil der auch quantitativ darstellbar ist.

DSGVO: ein Framework zur Umsetzung

IBM hat mit ihrem IBM Framework zur Datenschutz-Grundverordnung ein umfassendes und ineinandergreifendes Instrumentarium geschaffen, um Unternehmen DSGVO-fit zu machen. Es reicht von der Bewertung des Ist-Zustandes und Planung der notwendigen Schritte über die Gestaltung und Integration datenkonformer Prozesse bis hin zum Betrieb und der kontinuierlichen Überwachung und Berichterstellung, ob die technischen und organisatorischen Maßnahmen auch eingehalten oder gegebenenfalls angepasst werden müssen.

Das Team von IBM steht bereit, Unternehmen in allen Fragen der Umstellung zu helfen. Es kann dabei auch auf Erfahrungen zurückgreifen, die es in den vergangenen Monaten in vielen großen und kleinen Projekten gesammelt hat. Unter anderem bei einem bedeutenden Automobilhersteller, im Banken- und Versicherungssektor, bei Medien- und Telekommunikations-Unternehmen. IBM verfügt darüber hinaus über eine Vielzahl von teilweise speziell entwickelten Produkten, unter anderem für die Verarbeitungstätigkeiten, das Consent Management und das Breach Monitoring.

Weitere Informationen hier.

Add Comment
No Comments

Leave a Reply

Your email address will not be published.Required fields are marked *

More Security Stories

Diebe auf den zweiten Blick: Die größten Cyber-Gefahren 2015

Der X-Force Report Q4/15 Jahresrückblick zeigt die größten Cybergefahren 2015 auf: Dazu zählt zum Beispiel der Trend zu mehrstufigen IT-Sicherheitsvorfällen („Onion-layered Security Incidents“). Bei diesen werden professionelle Datendiebe oft erst entdeckt, während die IT-Abteilungen anderen, weniger gut getarnten Attacken von Amateurhackern nachgehen. Weitere Trends sind die hohe Zahl an Angriffen mit Erpresser-Trojanern, von Insidern in […]

Hacker-Angriffe im Finanzsektor: Investitionen in Schutzmaßnahmen zahlen sich aus

IBM Sicherheitsforscher haben aktuell die Ergebnisse ihres X-Force Financial Services Report 2017 vorgestellt. Demnach wurde der Finanzsektor im vergangenen Jahr häufiger als jede andere Branche angegriffen – die Rate lag um 65 Prozent höher als der Durchschnitt über alle Sektoren hinweg. Das Resultat bricht sämtliche Rekorde: Die Sicherheitsverletzungen haben einen neuen Höhepunkt erreicht und sind […]

Datenorientiertes Risikomanagement: Wie aus Daten-Silos blühende Landschaften werden

Überall dort, wo Menschen Daten sammeln, verwalten und ablegen, entstehen fast immer auch regelrechte Daten-Silos, auf denen diese Daten ihre vermeintlich letzte Ruhestätte finden. Doch diese scheinbar letzte Ruhestätte ist nicht wirklich ruhig. Denn höchst aktive Cyberkriminelle wissen ganz genau, wo sie graben müssen, um auf die wertvollen Datenschätze zu stoßen. Besser ist es also, […]