Anzeige

DSGVO

"Sie wurden soeben gelöscht", das sagte einst John Kruger (alias Arnold Schwarzenegger) zu Lee Cullen (alias Vanessa Williams), als er sie in „Eraser“ ins Zeugenschutzprogramms nimmt (Eraser (1996)). Demzufolge seien alle Aufzeichnungen, die irgendetwas mit ihrer bisherigen Existenz zu tun gehabt haben, gelöscht.

Das ermöglicht Lee Cullen einen Neuanfang, sicher vor denen, die ihr nach dem Leben trachten. 

Soweit Hollywood. Leider sind die Dinge im wirklichen Leben selten so einfach. Die Datenmenge, die Unternehmen inzwischen verarbeiten und speichern, wächst exponentiell. Den Überblick darüber zu behalten, wo überall personenbezogene Daten verwendet werden, ist zu einer komplexen Aufgabe geworden. Gelangen Daten in die Cloud, sei es auf lokalen Servern oder auf Servern im Internet, ist es für Datenschutzverantwortliche kaum mehr möglich, die ordnungsgemäße Nutzung und Löschung der Daten komplett im Blick zu behalten.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist ein Gesetz zum Schutz der Privatsphäre der Bürger. Mit der DSGVO wurde eine neue Norm für den Umgang mit den Daten einer Person geschaffen, und ihr Fokus auf Anonymisierung wurde von Softwareanbietern auf der ganzen Welt übernommen. Mit Beginn des zweiten Jahres seit dem Wirksamwerden der DSGVO am 25. Mai rücken zwei weitere wichtige Aspekte der Verordnung in den Fokus von Datenschutz- und Compliance-Teams weltweit: das Recht auf Vergessenwerden und die Datenlöschung. 

Warum ist das so wichtig? 

Es gibt einige simple Beispiele, warum diese beiden Aspekte so wichtig sind. Etwa, wenn ein Mitarbeiter aus beruflichen Gründen an einen anderen Ort versetzt wird. Diese Ortsveränderung könnte eine Änderung der Datenschutzbestimmungen nach sich ziehen. Oder ein Mitarbeiter scheidet aus dem Unternehmen aus oder wird gekündigt. Die Speicherung seiner Daten seitens des Unternehmens ist dann nicht mehr erforderlich. Mit Ausnahme bestimmter grundlegender Daten, die für Archivierungszwecke gebraucht werden. Weitere Beispiele sind Änderungen an der Datenschutzrichtlinie des Unternehmens oder der Widerruf der Einwilligung durch einen Mitarbeiter. Hier muss man Daten teilweise oder vollständig löschen können. 

Datenlöschung und Recht auf Vergessenwerden 

Dies gelingt beispielsweise, indem man strenge Datenkontrollen erzwingt, um die DSGVO-Compliance-Anforderungen zu erfüllen, wie z.B.: 

  • Datenmaskierung und Verschlüsselung
  • Granulare Role Based Access Control (rollenbasierte Zugriffskontrolle) (RBAC)
  • Detaillierte Prüfpfade und Berichte über Protokollmanipulationen
  • Datenfilterung
  • Berichte zu den tatsächlichen Aktivitäten

Solche Datenschutzfunktionen sind insbesondere Teil der Forderungen von Betriebsräten in Europa und Asien. Dazu dienen DSGVO-Compliance- und Sicherheitsfunktionen, die insbesondere das Recht auf Vergessenwerden und die Datenlöschung unterstützen. 

Mit einer Funktion für das Recht auf Vergessenwerden haben Firmen die Möglichkeit, Mitarbeiterdaten, die bereits einen bestimmten Zeitraum für einen einzelnen Mitarbeiter oder eine Gruppe von Mitarbeitern überdauert haben, zu löschen. Dann werden alle direkten und verknüpften Daten für die spezifizierte Entität entfernt. Man muss also nicht mehr unterschiedlichste Datenquellen durchsuchen, was den Prozess früher sehr aufwendig gestaltete.  

Mit einer Funktion zur Datenlöschung lassen sich sämtliche Daten, die mit einem Mitarbeiter oder einer Gruppe von Mitarbeitern verknüpft sind, auf der Grundlage beliebiger Identitäts- oder HR-Kriterien (z.B. Region, Abteilung oder Titel) vollständig löschen. 

Compliance in Bezug auf das Recht auf Vergessenwerden und die Datenlöschung

Korrelation zwischen Benutzer und Entität

Ein Benutzer kann Aktivitäten generieren, die an mehrere, individuelle Identitäten mit unterschiedlichen Kontonamen, IP-Adressen, Hostnamen usw. gebunden sind. Dies erschwert es bei älteren Lösungen, Aktivitäten bis hin zur globalen Identität des Benutzers zu finden und zurückzuverfolgen, was dann in der Folge eine vollständige Datenlöschung verhindert.

Eine moderne Plattform verknüpft alle Aktivitäten eines Benutzers mit einer einzigen globalen Benutzeridentität - unabhängig davon, ob sie dem Notebook-Hostnamen, der Unternehmens-IP-Adresse, dem Benutzernamen für die Netzwerk-Domain oder der E-Mail-Adresse zugeordnet ist. Dadurch lassen sich alle Benutzerereignisse auf mehreren Geräten in einer einzigen Aktion identifizieren und löschen. 

Governance und Workflow

Umfassende Governance-Funktionen gewährleisten im Rahmen eines geplanten Workflow-Prozesses die Genehmigung sämtlicher Löschungen. Granulare RBAC-Workflow-Funktion erlauben es den Benutzern dann, je nach ihrer definierten Rolle DSGVO- und Datenschutzmaßnahmen anzufordern oder zu genehmigen. Ein sicherer, strukturierter Workflow ist entscheidend für die sichere Verwendung von Utilities wie dem Löschen von Daten.

Im Idealfall führt die Plattform außerdem einen detaillierten, vollständigen Prüfpfad aller Anforderungen, Genehmigungen und Löschungen über einen einfachen Protokollzugriff. Das wiederum stellt sicher, dass Compliance-Anforderungen erfüllt werden.

Fazit: Im zweiten Jahr der DSGVO geht es nicht mehr nur darum, Compliance zu gewährleisten, sondern das so effektiv wie möglich zu tun. Damit Sie Mitarbeitern, die ihre verbrieften Rechte wahrnehmen wollen, bestätigen können: "Sie wurden soeben gelöscht."

Weitere Informationen zum Thema finden Sie hier: Whitepaper „General Data Protection Regulation

Autoren: Sujay Doshi, Senior Product Manager Cyber Threat Content, und Abhishek RVRK Sharma, Senior Technical Marketing Engineer bei Securonix.

www.securonix.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

DSVGO
Mai 20, 2020

Zwei Jahre DSVGO – wichtige Lehren aus bisherigen Compliance-Projekten

Am 25. Mai jährt sich die Einführung der Datenschutz-Grundverordnung (DSGVO) zum zweiten…
Olaf Brandt
Mai 19, 2020

2 Jahre DSGVO: Wer sich an den Datenschutz hält, wird bestraft

Verstöße gegen die DSGVO werden weiterhin - auch von den Aufsichtsbehörden - billigend in…
DSGVO
Mai 11, 2020

Zwei Jahre EU-DSGVO - eine Zwischenbilanz

Vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft.…

Weitere Artikel

Datenaustausch

Datenschutz und Compliance - Datenaustausch aus dem Homeoffice

Die netfiles GmbH, ein Anbieter von virtuellen Datenräumen in Deutschland, hat die Ergebnisse ihrer aktuellen Trendstudie mit dem Titel „Datenschutz und Compliance beim Datenaustausch aus dem Homeoffice – Herausforderungen für die IT in der Corona-Krise“…
Datenbank Sicherheit

Die Sicherheit von Daten beginnt in der Datenbank

Die Datenbank ist das Herzstück eines Security-Konzepts. Der Datenbank-Pionier Couchbase nennt die vier wichtigsten Sicherheitskriterien, die sie zum Schutz sensibler Daten erfüllen muss.
Datenschutz

Unzertrennbar: CRM und Datenschutz

CRM-Lösungen und der Schutz von Daten passen auf den ersten Blick nicht zusammen, doch der Schein trügt. „Seit der Einführung der Datenschutzgrundverordnung (DSGVO) agieren die beiden Welten so eng wie noch nie miteinander“, sagt Litz, Geschäftsführer der…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!