Anzeige

DSGVO

"Sie wurden soeben gelöscht", das sagte einst John Kruger (alias Arnold Schwarzenegger) zu Lee Cullen (alias Vanessa Williams), als er sie in „Eraser“ ins Zeugenschutzprogramms nimmt (Eraser (1996)). Demzufolge seien alle Aufzeichnungen, die irgendetwas mit ihrer bisherigen Existenz zu tun gehabt haben, gelöscht.

Das ermöglicht Lee Cullen einen Neuanfang, sicher vor denen, die ihr nach dem Leben trachten. 

Soweit Hollywood. Leider sind die Dinge im wirklichen Leben selten so einfach. Die Datenmenge, die Unternehmen inzwischen verarbeiten und speichern, wächst exponentiell. Den Überblick darüber zu behalten, wo überall personenbezogene Daten verwendet werden, ist zu einer komplexen Aufgabe geworden. Gelangen Daten in die Cloud, sei es auf lokalen Servern oder auf Servern im Internet, ist es für Datenschutzverantwortliche kaum mehr möglich, die ordnungsgemäße Nutzung und Löschung der Daten komplett im Blick zu behalten.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist ein Gesetz zum Schutz der Privatsphäre der Bürger. Mit der DSGVO wurde eine neue Norm für den Umgang mit den Daten einer Person geschaffen, und ihr Fokus auf Anonymisierung wurde von Softwareanbietern auf der ganzen Welt übernommen. Mit Beginn des zweiten Jahres seit dem Wirksamwerden der DSGVO am 25. Mai rücken zwei weitere wichtige Aspekte der Verordnung in den Fokus von Datenschutz- und Compliance-Teams weltweit: das Recht auf Vergessenwerden und die Datenlöschung. 

Warum ist das so wichtig? 

Es gibt einige simple Beispiele, warum diese beiden Aspekte so wichtig sind. Etwa, wenn ein Mitarbeiter aus beruflichen Gründen an einen anderen Ort versetzt wird. Diese Ortsveränderung könnte eine Änderung der Datenschutzbestimmungen nach sich ziehen. Oder ein Mitarbeiter scheidet aus dem Unternehmen aus oder wird gekündigt. Die Speicherung seiner Daten seitens des Unternehmens ist dann nicht mehr erforderlich. Mit Ausnahme bestimmter grundlegender Daten, die für Archivierungszwecke gebraucht werden. Weitere Beispiele sind Änderungen an der Datenschutzrichtlinie des Unternehmens oder der Widerruf der Einwilligung durch einen Mitarbeiter. Hier muss man Daten teilweise oder vollständig löschen können. 

Datenlöschung und Recht auf Vergessenwerden 

Dies gelingt beispielsweise, indem man strenge Datenkontrollen erzwingt, um die DSGVO-Compliance-Anforderungen zu erfüllen, wie z.B.: 

  • Datenmaskierung und Verschlüsselung
  • Granulare Role Based Access Control (rollenbasierte Zugriffskontrolle) (RBAC)
  • Detaillierte Prüfpfade und Berichte über Protokollmanipulationen
  • Datenfilterung
  • Berichte zu den tatsächlichen Aktivitäten

Solche Datenschutzfunktionen sind insbesondere Teil der Forderungen von Betriebsräten in Europa und Asien. Dazu dienen DSGVO-Compliance- und Sicherheitsfunktionen, die insbesondere das Recht auf Vergessenwerden und die Datenlöschung unterstützen. 

Mit einer Funktion für das Recht auf Vergessenwerden haben Firmen die Möglichkeit, Mitarbeiterdaten, die bereits einen bestimmten Zeitraum für einen einzelnen Mitarbeiter oder eine Gruppe von Mitarbeitern überdauert haben, zu löschen. Dann werden alle direkten und verknüpften Daten für die spezifizierte Entität entfernt. Man muss also nicht mehr unterschiedlichste Datenquellen durchsuchen, was den Prozess früher sehr aufwendig gestaltete.  

Mit einer Funktion zur Datenlöschung lassen sich sämtliche Daten, die mit einem Mitarbeiter oder einer Gruppe von Mitarbeitern verknüpft sind, auf der Grundlage beliebiger Identitäts- oder HR-Kriterien (z.B. Region, Abteilung oder Titel) vollständig löschen. 

Compliance in Bezug auf das Recht auf Vergessenwerden und die Datenlöschung

Korrelation zwischen Benutzer und Entität

Ein Benutzer kann Aktivitäten generieren, die an mehrere, individuelle Identitäten mit unterschiedlichen Kontonamen, IP-Adressen, Hostnamen usw. gebunden sind. Dies erschwert es bei älteren Lösungen, Aktivitäten bis hin zur globalen Identität des Benutzers zu finden und zurückzuverfolgen, was dann in der Folge eine vollständige Datenlöschung verhindert.

Eine moderne Plattform verknüpft alle Aktivitäten eines Benutzers mit einer einzigen globalen Benutzeridentität - unabhängig davon, ob sie dem Notebook-Hostnamen, der Unternehmens-IP-Adresse, dem Benutzernamen für die Netzwerk-Domain oder der E-Mail-Adresse zugeordnet ist. Dadurch lassen sich alle Benutzerereignisse auf mehreren Geräten in einer einzigen Aktion identifizieren und löschen. 

Governance und Workflow

Umfassende Governance-Funktionen gewährleisten im Rahmen eines geplanten Workflow-Prozesses die Genehmigung sämtlicher Löschungen. Granulare RBAC-Workflow-Funktion erlauben es den Benutzern dann, je nach ihrer definierten Rolle DSGVO- und Datenschutzmaßnahmen anzufordern oder zu genehmigen. Ein sicherer, strukturierter Workflow ist entscheidend für die sichere Verwendung von Utilities wie dem Löschen von Daten.

Im Idealfall führt die Plattform außerdem einen detaillierten, vollständigen Prüfpfad aller Anforderungen, Genehmigungen und Löschungen über einen einfachen Protokollzugriff. Das wiederum stellt sicher, dass Compliance-Anforderungen erfüllt werden.

Fazit: Im zweiten Jahr der DSGVO geht es nicht mehr nur darum, Compliance zu gewährleisten, sondern das so effektiv wie möglich zu tun. Damit Sie Mitarbeitern, die ihre verbrieften Rechte wahrnehmen wollen, bestätigen können: "Sie wurden soeben gelöscht."

Weitere Informationen zum Thema finden Sie hier: Whitepaper „General Data Protection Regulation

Autoren: Sujay Doshi, Senior Product Manager Cyber Threat Content, und Abhishek RVRK Sharma, Senior Technical Marketing Engineer bei Securonix.

www.securonix.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

DSVGO
Mai 20, 2020

Zwei Jahre DSVGO – wichtige Lehren aus bisherigen Compliance-Projekten

Am 25. Mai jährt sich die Einführung der Datenschutz-Grundverordnung (DSGVO) zum zweiten…
Olaf Brandt
Mai 19, 2020

2 Jahre DSGVO: Wer sich an den Datenschutz hält, wird bestraft

Verstöße gegen die DSGVO werden weiterhin - auch von den Aufsichtsbehörden - billigend in…
DSGVO
Mai 11, 2020

Zwei Jahre EU-DSGVO - eine Zwischenbilanz

Vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft.…

Weitere Artikel

Archivierung

DSGVO-konforme Archivierung aus der Cloud

Dokumentenmanagement ist schon per Definition ein auf Langfristigkeit und Sicherheit ausgerichtetes Thema. Moderne Softwareanwendungen unterstützen Unternehmen heute bei der elektronischen Dokumentation, rechtssicheren Verwaltung und Archivierung sämtlicher…
Clean

IT-Hygiene - Was hat Datenschutz mit Händewaschen zu tun?

Händewaschen ist eine wirksame Hygiene-Maßnahme, die vor einer Ansteckung mit Keimen, Bakterien und Viren schützen kann. Unternehmen sollten das Thema Datenschutz nach dem gleichen Prinzip angehen, erklärt der Sicherheitsspezialist Virtual Solution.
Datenschutz

Beschäftigtendatenschutz während der Pandemie

Immer mehr Arbeitnehmer kehren aus dem Homeoffice an ihren Büroarbeitsplatz zurück. Was das für den Datenschutz bedeutet und worauf dabei zu achten ist. Die Coronakrise hat uns alle kalt erwischt. Plötzlich war alles anders – im Privatleben, in der Freizeit,…
DSGVO

Datenschutz-Grundverordnung verbessern

Rechtswissenschaftler der Universität Kassel haben die Defizite der Datenschutz-Grundverordnung (DSGVO) evaluiert und machen in ihrem Buch „Datenschutz-Grundverordnung verbessern“ 33 leicht umsetzbare Vorschläge, wie sie – vor allem für Bürgerinnen und Bürger…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!