Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

EU FlaggeIn nicht einmal einem Jahr kommt die neue EU-Datenschutzgrundverordnung. Damit es dann kein böses Erwachen gibt, zeigt Julian Totzek-Hallhuber von Veracode im Folgenden die fünf größten Stolpersteine der Datenschutzgrundverordnung und gibt Tipps, was Unternehmen im Umgang mit Kundendaten besonders beachten sollten.

1. Kosten der Non-Compliance

Selbstverschuldete Datenschutzverletzungen können ab Mai 2018 richtig teuer werden. Die EU-Datenschutzgrundverordnung (DSGVO) sieht dafür Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor, je nachdem welcher Wert größer ist. Es lohnt also, sich frühzeitig mit der Einhaltung der Bestimmungen zu befassen.

2. Breitere Definition von personenbezogenen Daten

Die DSGVO definiert personenbezogene Daten, die geschützt werden müssen, wesentlich breiter und detaillierter als bisherige Regularien. Die neue Definition schließt jegliche Information ein, die verwendet werden können, um eine Person direkt oder indirekt zu identifizieren. Das kann alles sein, von einem Namen über Fotos, E-Mails, Adressen, Posts in sozialen Medien, medizinischen Informationen oder Bankdaten bis hin zur IP-Adresse eines Computers. Durch diese Ausweitung der Definition von schützenswerten Daten erweitert sich auch die Zahl der Anwendungen, die von der Datenschutzregelung betroffen sind.

3. Datenschutz durch Technikgestaltung

Die DSGVO beinhaltet die Forderung nach „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Für Entwickler bedeutet das, dass sie bei neuen Anwendungen die Datensicherheit von Anfang an im Auge behalten müssen. Anstatt erst während der Qualitätsanalyse die fertige Anwendung auf ihre Sicherheit zu überprüfen, müssen sie schon beim Entwurf und während des Programmierens einer Anwendung auf mögliche Datenschutz-Konfliktpunkte achten. Datenschutz durch Technikgestaltung bedeutet konkret, Bedrohungsmodelle durchzuspielen sowie ein sicheres Design anzuwenden, Entwicklern Best-Practice-Beispiele für sicheres Programmieren an die Hand zu geben und dafür zu sorgen, dass Sicherheitslücken im Code schon während des Schreibens bemerkt und behoben werden.

Wer sich diesen Herausforderungen nicht alleine stellen kann oder will, kann sich Hilfe von außen holen. Anbieter wie beispielsweise Veracode haben verschiedene Lösungen im Programm, die etwa Echtzeit-Scanning direkt in der IDE ermöglichen. Außerdem können Trainings für sicheres Programmieren gebucht werden.

4. Outsourcing von Datenverarbeitung

Werden Daten an einen Drittanbieter weitergegeben, wandert nicht automatisch auch die Verantwortung für den Datenschutz dorthin. Im Gegenteil: Das auftraggebende Unternehmen muss weiterhin sicherstellen, dass die Datennutzung im Einklang mit der DSGVO erfolgt und personenbezogene Daten stets geschützt bleiben. Die Verordnung empfiehlt eine starke Verschlüsselung zur Sicherung von personenbezogenen Daten. Außerdem sollen Firmen, die Daten weitergeben, darauf achten, dass die Abnehmer auch nach denselben Standards arbeiten.
Unternehmen können die Code-Qualität von proprietären Anwendungen externer Anbieter nicht überprüfen, sondern müssen sich auf das Verantwortungsbewusstsein der Partner verlassen. Wer auf Nummer Sicher gehen will, sollte externe Software einem zusätzlichen Security-Testing unterziehen. Auch die Zuverlässigkeit von Verschlüsselungen kann mit den richtigen Tools geprüft werden.

5. Verletzungen des Datenschutzes melden

Im Zuge der DSGVO wird es in allen unterzeichnenden Staaten zur Pflicht, Datenlecks zu melden, die zu einem Risiko für die Rechte und Freiheiten von Personen werden könnten. Das muss binnen 72 Stunden geschehen, nachdem der Datenverlust bekannt wurde. Auch Drittanbieter müssen ihre Kunden umgehend über abhandengekommene Daten informieren.

Fazit

Die DSGVO birgt für Unternehmen immense Herausforderungen. Mit dem richtigen Know-how und den richtigen Tools lassen sie sich aber bewältigen. Wer die genannten Stolpersteine im Blick behält und in die richtigen Tools investiert, der muss sich über die angedrohten Strafzahlungen keine Sorgen machen.

Julian Totzek

 

 

Autor: Julian Totzek-Hallhuber, Solution Architect, Veracode

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet