28. Mai 2018 | Artikel drucken | |

Drei Ansätze zur Erfüllung der DSGVO: So integrieren Sie die die Vorschriften in Ihre Prozesse

Während den letzten Monaten wurde gerade im Mittelstand eifrig über dieses Thema spekuliert und diskutiert, nun ist die Datenschutz-Grundverordnung (DSGVO) rechtswirksam. In diesem Beitrag erfahren Sie, wie Sie die weitreichenden Rechtsvorschriften am besten in Ihre Unternehmensprozesse integrieren können. Die Lösung liegt in einem Zusammenspiel aus drei Faktoren: Mitarbeiter, Prozesse und einem datenzentrischen Technologieansatz.

Die wesentliche Herausforderung der DSGVO liegt für Unternehmen in den Dokumentations- und Rechenschaftspflichten der DSGVO: Kunden müssen nun ihre ausdrückliche Zustimmung dazu geben, dass ihre personenbezogenen Daten gespeichert und verwendet werden dürfen. Darüber hinaus muss das Unternehmen dies nachweisen können. Wie personenbezogene Daten verarbeitet werden, wer darauf Zugriff hat und wie die Daten geschützt werden, müssen Unternehmen in einem „Verzeichnis von Verarbeitungstätigkeiten“ festhalten. Zudem gilt, Daten dürfen nur zweckgebunden verwendet werden. Hat ein Kunde beispielsweise seine E-Mail-Adresse ausschließlich für einen Newsletter zur Verfügung gestellt, darf diese auch nur dafür genutzt werden. Darüber hinaus gibt es die Neuerung des Rechts auf Vergessenwerden, also einen Anspruch auf das Löschen von personenbezogenen Daten, wenn ein Betroffener dies verlangt. Auch dürfen DSGVO-relevante Daten nicht mehr außerhalb der EU gespeichert werden, es ist für Unternehmen daher von großer Wichtigkeit, jederzeit den Weg dieser Daten nachverfolgen zu können.

Dreigeteilter Ansatz für die DSGVO-Compliance

1. Mitarbeiter: Sensibilisierung im Umgang mit personenbezogenen Daten
Die vielleicht größte Herausforderung besteht darin, das Mitarbeiterbewusstsein bezüglich des Umgangs mit personenbezogenen Daten zu schärfen. Mitarbeiterschulung spielt daher eine Schlüsselrolle, denn die Mitarbeiter sind diejenigen, die mit DSGVO-relevanten Daten am häufigsten in Kontakt kommen, deshalb helfen die besten Richtlinien und technischen Vorkehrungen wenig, wenn sich Beschäftigte darüber hinwegsetzen oder die Vorgaben halbherzig umsetzen. Darüber hinaus sollte mit den Mitarbeitern zusammengearbeitet werden, um personenbezogene Daten innerhalb des Unternehmens zu identifizieren, zu klassifizieren sowie zu bewerten, auf welche Weise sie verwendet werden.

2. Datenzentrierte Prozesse implementieren
Die DSGVO erwartet von Unternehmen, dass sie Verfahren einführen, die es EU-Bürgern ermöglichen, ihre personenbezogenen Daten anzufordern, zu ändern oder auch löschen zu lassen. Diese Anfragen müssen „ohne unangemessene Verzögerung“ bearbeitet werden. Das bedeutet, dass Unternehmen genau wissen müssen, wo sich die entsprechenden Daten befinden und wie sie gespeichert werden.

Sobald die im Rahmen der DSGVO zu schützenden Daten identifiziert wurden, müssen klare Prozesse für die Mitarbeiter eingerichtet werden. Dadurch wird sichergestellt, dass die Einhaltung der Vorschriften erreicht und aufrechterhalten wird. Diese Prozesse müssen strikt gesteuert werden, um sicherzustellen, dass nur die richtigen Daten an die hierzu berechtigten Personen weitergegeben werden. In den meisten Fällen handelt es sich dabei um eine Reihe von Genehmigungsstufen, die vom Datenschutzbeauftragten des Unternehmens überwacht werden. Der Datenschutzbeauftragte steht im Mittelpunkt aller Datenschutz- und Compliance-Aktivitäten und ist sowohl dem Vorstand als auch den Kunden gegenüber rechenschaftspflichtig.

3. Technologie nutzen: Data Discovery und Datenklassifizierung
Bezüglich der IT-Sicherheit fordert die DSGVO, dass personenbezogene Daten durch angemessene technische und organisatorische Maßnahmen geschützt werden. Dies umfasst auch den Schutz vor unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust. Eine Data Discovery-Lösung kann Unternehmen dabei unterstützen, alle potenziell DSGVO-relevante Daten zu finden, ob auf Servern, Datenbanken, Laptops oder in der Cloud. Einmal aufgespürt, ermöglicht in einem zweiten Schritt die Klassifizierung dieser Daten nach Kontext, Inhalt und Benutzer die Verfolgung und Kontrolle der Bewegung von DSGVO-relevanten Daten. Es ist zudem äußerst wichtig, dass alle Data Discovery- und Kontrollaktivitäten fortgeführt werden, um sicherzustellen, dass alle Änderungen an den Daten im Laufe der Zeit erkannt und in den Compliance-Aktivitäten berücksichtigt werden.

Evaluierung geeigneter Datenklassifikationslösungen

Die Datenklassifizierung ist ein Prozess der konsequenten Kategorisierung von Daten nach bestimmten vordefinierten Kriterien, um sie effizient und effektiv zu schützen. Neben der Vereinfachung von Sicherheitsstrategien kann die Datenklassifizierung Unternehmen bei der Erfüllung von Governance-, Compliance- oder Regulierungsauflagen wie der DSGVO sowie beim Schutz von geistigem Eigentum unterstützen.

Wenn es darum geht, eine geeignete Datenklassifikationslösung zu finden, gibt es unterschiedliche Ansätze. Viele Lösungen sind heute automatisiert und die Klassifizierung kann kontextbezogen (zum Beispiel nach Dateityp oder Ort) oder inhaltsbezogen (zum Beispiel Fingerabdrücke) erfolgen. Diese Option kann teuer sein und ein hohes Maß an Feinabstimmung erfordern, ist aber nach der Inbetriebnahme extrem schnell und kann beliebig oft wiederholt werden. Eine Alternative zu automatisierten Lösungen ist ein manueller Ansatz, der es dem Anwender erlaubt, die Klassifizierung einer Datei selbst auszuführen. Dieser Ansatz stützt sich auf einen Datenexperten, der den Klassifizierungsprozess leitet, und kann zeitintensiv sein, doch je nach zu Grunde liegender Daten- oder Prozessstruktur kann in manchen Unternehmen ein manueller Ansatz von Vorteil sein.

Eine weitere Möglichkeit besteht darin, den Klassifizierungsprozess an einen Dienstleister oder ein Beratungsunternehmen auszulagern. Dieser Ansatz ist selten der effizienteste oder kostengünstigste, ermöglicht aber eine einmalige Klassifizierung der Daten und vermittelt dem Unternehmen eine gute Vorstellung davon, wo es in Bezug auf Compliance und Risiko steht.

Darüber hinaus sollte gewährleistet werden, dass es wirksame Feedback-Mechanismen gibt, die eine schnelle Berichterstattung sowohl nach oben als nach unten in der Unternehmenshierarchie ermöglichen. Dabei sollte der Datenfluss regelmäßig analysiert werden, um sicherzustellen, dass sich klassifizierte Daten nicht unbefugt bewegen oder an Orten ruhen, an denen sie sich nicht befinden sollten. Für eventuelle Probleme oder Unstimmigkeiten sollte eine unmittelbare Markierungsmöglichkeit zur Nachverfolgung gegeben sein.

Stück für Stück zur DSGVO-Konformität
Das Erreichen der DSGVO-Compliance mag sich wie ein harter Kampf anfühlen, aber der Schlüssel liegt darin, die Kernbestandteile der Gesetzgebung in überschaubare Abschnitte zu zerlegen und einen einheitlichen Ansatz für jeden Bereich anzuwenden. Da Daten heute in fast jedem Unternehmen weltweit eine zentrale Rolle spielen, ist die Fähigkeit, sie zu verfolgen, zu klassifizieren und zu schützen, kein Luxus mehr. Eine effektive Datenklassifizierung bildet den Grundstein jeder modernen Sicherheitsstrategie, die es Unternehmen ermöglicht, alle sensiblen und geschäftskritischen Daten schnell zu identifizieren und ihre Sicherheit jederzeit zu gewährleisten.

Dieser Beitrag basiert auf einem Fachartikel von Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Quelle Titelbild: iStock / gorodenkoff

Hier schreibt Redaktion für Sie

Mehr Artikel vom Autor

Lesen Sie weiter