Darauf sollten Sie bei der Umsetzung der GDPR-Vorgaben besonders achten

Die General Data Protection Regulation (GDPR) ‒ also die Datenschutz-Grundverordnung (DSGVO) ‒ regelt EU-weit die einheitliche Verarbeitung von personenbezogenen Daten. Die GDPR ist zwar nicht neu, aber die bestehenden Regelungen wurden verschärft und der Vorschriftenkatalog erweitert. Diese Änderungen betreffen auch Organisationen und Untenehmen in der Schweiz. Da die Verordnung bereits im Mai 2018 in Kraft tritt, ist ein systematisches und zeitnahes Vorgehen gefordert. Eine Herausforderung, die vielen Unternehmen zu schaffen macht. Wir helfen und zeigen Ihnen in diesem Artikel, auf welche Punkte Sie sich konzentrieren sollten.

Die europäische Datenschutz-Grundverordnung ist bereits in aller Munde und bestimmt auch in Ihrem Unternehmen ein Thema. Die neuen und verschärften Verpflichtungen bei der Bearbeitung von personenbezogenen Daten (bzw. PII ‒ Personally Identifiable Information), gekoppelt mit drakonischen Geldstrafen bei Verstössen, haben auch hierzulande für grosse Aufregung und enorme «Management Attention» gesorgt. Obschon die Schweiz nicht in der EU ist, werden die neuen Richtlinien einen grossen Einfluss auf die Unternehmen haben. Denn sie haben extraterritorialen Charakter: Wenn also ein Unternehmen Daten von europäischen Bürgern bearbeitet, unterliegt es den Bestimmungen der GDPR. Dabei lautet die grundlegende Botschaft, dass das Bewusstsein im Umgang mit Daten immer relevanter wird ‒ im Hinblick auf die GDPR insbesondere der Speicherort sowie die Zugriffsberechtigung.

Neue GDPR-Verordnung: Umgehendes Handeln ist gefragt

Eine grosse Herausforderung stellt die Umsetzungsfrist bis Mai 2018 dar. Handeln Sie also frühzeitig und arbeiten Sie einen entsprechenden Plan aus! Aufgrund der hohen Bussenbeträge bei Verstössen (zwischen 10 bis 20 Millionen Euro, bzw. 2% bis 4% des globalen Jahresumsatzes), werden Investitionen in entsprechende Projekte und Prozesse für Privacy-Programme lohnenswert. Eine «non-compliance» Situation gilt es auf jeden Fall zu vermeiden!

In nur 4 Schritten zur erfolgreichen Umsetzung der GDPR:

1. Datenklassifizierung
   Identifizieren Sie personenbezogene Daten und finden Sie heraus, welche Daten wo gespeichert sind. Insbesondere auch solche in unstrukturierten Formaten wie in Text-Dokumenten, Präsentationen und Tabellen. Mehr zu diesem Thema finden Sie auch in unserem Blogbeitrag «Wie Sie vertrauliche Informationen im (Daten-)Dschungel finden und schützen».
   
   
2. Metadaten
   Beschränken Sie die Datenaufbewahrungszeit. Dazu brauchen Sie grundlegende Informationen, wann und für welchen Zweck die Daten erfasst wurden. Personenbezogene Daten, die auf Ihren IT-Systemen liegen, sollten Sie regelmässig überprüfen und über ihre weitere Speicherung entscheiden.
   
   
3. Data Governance
   Da standardmässiger und eingebauter Datenschutz dem Gesetz unterliegen, sollten Sie sich auf die Grundlagen der Data Governance konzentrieren. Bei unstrukturierten Daten bezieht sich das auf Kenntnisse darüber, wer innerhalb des betrieblichen Dateisystems auf betroffene Daten zugreifen kann und wer überhaupt eine Zugriffsberechtigung braucht. Gleichzeitig sollten Dateiberechtigungen auf die tatsächlichen Rollen der Mitarbeitenden beschränkt werden – sprich rollenbasierte Zugriffskontrollen (nach dem "Need-to-Know"-Prinzip).
   
   
4. Überwachung
   Betreiben Sie laufendes Monitoring mit angemessener Aufbewahrungsdauer der Logfiles. Die Anforderung, Verstösse zu melden, ist eine weitere Belastung für die Datenverantwortlichen. Das neue Mantra für die IT-Sicherheit sollte daher «ununterbrochene Überwachung» lauten. Sie müssen ungewöhnliche Zugriffsmuster auf betroffene Informationen erkennen und eine Exposition der Daten umgehend der zuständigen Aufsichtsbehörde melden.
   
   

Wenn Sie sich auf diese vier Schritte konzentrieren, brauchen Sie sich vor der GDPR keinesfalls zu fürchten. Aber Hand auf’s Herz: Wissen Sie, wo sich Ihre personenbezogenen Daten befinden? Und wir meinen damit nicht strukturierte Daten wie in Datenbanken, ERP- oder CRM-Systemen… 

GDPR-Readiness dank der Data Governance Software Suite

Mit der Data Governance Suite unseres Partners Varonis Systems halten Sie mit dem Wachstum Ihrer Daten Schritt, können personenbezogene Daten identifizieren, Zugriffsberechtigungen effizient verwalten und Dateizugriffsaktionen auditieren. Gleichzeitig können Sie natürlich auch alle anderen sensiblen und unternehmenskritischen Daten klassifizieren. Die Lösung automatisiert diese sonst so aufwendigen und zeitintensiven Aufgaben und hilft Ihnen, Probleme durch fehlende Compliance zu vermeiden.

Wir unterstützen Sie als Cyber Security Experte und Schweizer Partner von Varonis bei der Umsetzung der GDPR-Vorgaben in folgenden Bereichen:

• Identifizieren und Priorisieren bestehender Lücken im Hinblick auf DSGVO-Compliance
• Identifizierung der von der DSGVO betroffenen Daten
• Aufspüren und Beheben von übermässigen Zugriffsberechtigungen auf personenbezogene Informationen
• Überwachen der Benutzeraktivitäten und Erkennen von riskantem Verhalten/Ransomware
  
  

Gratis-Ebook: Praktischer Leitfaden zur Umsetzung

Alle Fakten zur Datenschutz-Grundverordnung sowie ein Leitfaden zur Umsetzung finden Sie im Whitepaper und E-Book unseres Partners Varonis Systems. Einfach hier klicken - und profitieren: