EU-DSGVO

Sie haben Fragen?

Sie haben Fragen?

Tel. 0431 556062-16
Mail: Katrin Mönninghoff

Sie haben Fragen?

Sie haben Fragen?

Tel.: 0431 556062-40
Mail: Sönke Bolduan

EU-DSGVO Datenschutz-Grundverordnung

Die digitale Transformation beschreibt die Einführung neuer IT-Lösungen, die den eigentlichen Unternehmenszweck und die zugehörigen Verfahren und Prozesse - wo immer möglich - digital begleiten und beschleunigen. Die in diesen Systemen entstehenden und verarbeiteten Informationen und Daten sind Gegenstand dieses Beitrags. Die EU-DSGVO regelt den verantwortungsvollen Umgang mit diesen schützenswerten Daten.


Datenschutz in Europa: Sind Sie bereit für neue Gesetze?

Ab Mai 2018 müssen Unternehmen weltweit mit harten Strafen und Imageschäden rechnen, wenn sie Daten von EU-Bürgern verarbeiten, aber die dann in Kraft getretene Europäische Datenschutzgrundverordnung (EU-DSGVO) nicht erfüllen. Und da kommt einiges auf sie zu, seien es Regelungen zum Datenzugriff, zu Compliance und Meldepflichten oder zum Schutz personenbezogener Daten.

Und so sieht Ihr neues Problem in der IT aus...

§§§ Zentrale Anforderungen aus der DSGVO §§§

Die DSGVO ist komplex. Sie verfügt über insgesamt elf Kapitel, die wiederum in 99 Artikel aufgegliedert sind. Experten diskutieren vor allem die Artikel 5 und 32. Diese repräsentieren die zentralen Neuanforderungen der DSGVO im Vergleich zu vorherigen Datenschutzrichtlinien.

Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten

(1) Abschnitt e) Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)

(2) Der Verantwortliche ist für die Einhaltung des § 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 32 Sicherheit der Verarbeitung

(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

ANSÄTZE von 8MAN um den Anforderungen zu entsprechen:

Artikel 5: Implizite Anforderungen

1. Datensicherheit und Integrität herstellen: Ressourcen, die personenbezogene Daten erhalten, dürfen nur vertrauenswürdigen Personen zugänglich sein. Ferner müssen die Verzeichnisse einem kontinuierlichen Monitoring unterliegen. Damit ist gewährleistet, dass Kopiervorgänge und Modifikationen an den Dateien jederzeit nachvollziehbar sind. Im Falle eines Sicherheitsvorfalls sind sowohl die Geschäftsbereiche als auch die IT auskunftsfähig und in der Lage, den Vorfall aufzuklären.

2. Dokumentation von Zugriffsrechten: Insbesondere die im Artikel 5 Absatz 2 festgehaltene Rechenschaftspflicht fordert von datenverarbeitenden Institutionen, jederzeit verzeichnisgenau die Zugriffsrechtehistorie und das tatsächliche Zugriffsverhalten aus der Vergangenheit nachweisen zu können.

3. Pflege der Berechtigungssituation: Insbesondere im Joiner, Mover und Leaver-Prozess (also dem Lebenszyklus eines Nutzerkontos im Firmennetzwerk) müssen die IT und die Fachabteilungen die Berechtigungen des Mitarbeiters im Blick behalten und sehr schnell ändern können. Datendiebstahl erfolgt meist in der Leaver-Phase. Zu diesem Zeitpunkt muss die Fachabteilung dem Mitarbeiter alle Zugriffsrechte auf sicherheitskritische Verzeichnisse entzogen haben.

Artikel 32: Implizite Anforderungen

4. Data Owner einführen: Die DSVGO fordert klare Verantwortlichkeiten im Umgang mit personenbezogenen Daten. Dazu ist die Einführung der Rolle „Data Owner“ zentral. Data Owners sind Führungskräfte, die innerhalb ihrer Abteilung über Daten wachen. Sie wissen welche Verzeichnisse geschützt werden müssen und welche Mitarbeiter vertrauenswürdig sind. Die Einführung von neuen Rollen, wie die des Data Owners, verlangt gleichzeitig nach neuen Prozessen der Zusammenarbeit und der Dokumentation vorgenommener Aktivitäten.

*Quelle Whitepaper DSGVO - Protected Networks Download hier...

Informationen zum Download

Mit der EU-DSGVO treten alle bisherigen Regelungen außer Kraft...

und ein neuer, frischer Wind weht durch IT-Abteilungen. Die zunehmenden Cyberbedrohungen, der oft zu sorglose Umgang mit Daten durch Mitarbeiter ebenso wie schlichte Unkenntnis über die Gesetzeslage machten die Novellierung erforderlich; inklusive drakonischer Strafen bei Nichtbeachtung.

  • Ein Mitarbeiter, der in Daten Einblick hat, obwohl er diese spezifischen Informationen für seine Tätigkeit nicht benötigt, kann mit dem DSGVO zum teuren Krisenfall werden. Die Bußgelder für Datenschutzverstöße betragen bis zu vier Prozent vom weltweit erwirtschafteten Jahresumsatz!

  • Als ernsthafter Verstoß gilt dabei die Nichteinhaltung der Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) sowie der Bestimmungen zur Einwilligung betroffener Personen (Artikel 7).

  • Es ist wichtiger denn je, im Unternehmen genau zu prüfen und festzulegen, welche Personen in welcher Funktion Zugriff auf welche Daten und Informationen haben. Genau hier setzten die Lösungen 8MAN (Access Rights Management) von Protected Networks und Password Safe (Password Management) von Mateso an.

Wenn Sie wissen möchten, ob Sie hiervon betroffen sind, stellen Sie sich bitte folgende Fragen:

  • Wissen Sie, wo alle Ihre wichtigen Daten gespeichert sind?

  • Führen Sie Protokoll über alle Änderungen und Löschungen Ihrer Daten, ganz gleich, wo sich diese befinden?

  • Besteht in Ihrem Unternehmen die Gefahr, dass personenbezogene Daten das Unternehmen verlassen und können Sie dies rechtssicher dokumentieren?

  • Können Sie einen Datenschutz-Verstoß unmittelbar erkennen und innerhalb von 72 Stunden der für Sie zuständigen Aufsichtsbehörde melden?

  • Sind Sie in der Lage, die Betroffenen (Verbraucher, Kunden, Arbeitnehmer, Versicherte, Patienten etc.) innerhalb eines Monats zu informieren, welche personenbezogenen Daten in die Öffentlichkeit gelangt sind?

Können Sie fünfmal „Ja“ sagen, sind Sie auf einem guten Weg.

Gilt dies nicht, können wir Sie mit 8MAN und Password Safe einen großen Schritt Richtung Compliance bringen.

Impressum | Datenschutz