Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

EU Flagge

Die EU-weite Datenschutz-Grundverordnung (EU-DSGVO) kann sehr komplex und undurchsichtig sein. IBM Security hat nun ein Fünf-Phasen-Rahmenwerk entworfen, um Unternehmen die Umsetzung der ab Mai 2018 verbindlichen Verordnung zu erleichtern.

Genau 261 Seiten umfasst die EU-Datenschutz-Grundverordnung (EU-DSGVO), die für eine Vereinheitlichung des Datenschutzrechts innerhalb Europas sorgen soll. Doch ungefähr genauso viele Fragen wirft sie auf. Denn während die Verordnung viel darüber aussagt, was zu tun ist, schweigt sie dazu, wie die Regeln umgesetzt werden können.

IBM Security hat deshalb in der vergangenen Zeit daran gearbeitet, eine Hilfeleistung zu kreieren, die Unternehmen die Vorbereitung auf die kommende DSGVO erleichtert. Statt auf komplizierte, mehrdimensionale Matrizen oder Diagramme zurückzugreifen, wurde ein einfaches Rahmenwerk zusammengestellt.

Schritt für Schritt DSGVO-fit

Jede Reise beginnt mit dem ersten Schritt und so hat auch IBM Security für die Reise zur DSGVO-Expertise fünf einzelne Schritte extrahiert, die Unternehmen gehen sollten. So können Unternehmen, die sich bereits auf den Weg gemacht haben, einzelne Schritte überspringen, während andere anhand des Fünf-Phasen-Rahmenwerks Schritt für Schritt durch die Richtlinien geleitet werden. Genauso trägt das Rahmenwerk dem Umstand Rechnung, dass jedes Unternehmen im Laufe des Prozesses eigene Bedürfnisse haben wird. Deshalb ist es so einfach und rudimentär wie möglich gestaltet.

Angelehnt an die Inhaltsschwerpunkte der DSGVO sind die fünf Schritte innerhalb des Rahmenwerks jeweils in die Bereiche Datenschutz und Sicherheit untergliedert. Da beide Bereiche eng miteinander verwoben sind, hat IBM Security für uns folgende Bereichs-Definitionen gewählt: Im Bereich Datenschutz dreht sich alles darum welche Daten gesammelt werden und wieso sie verwaltet, geteilt, aufbereitet und herumbewegt werden. Der Bereich Sicherheit dagegen beschäftigt sich viel mehr mit der Frage wie die Daten kontrolliert und geschützt werden können. Das bedeutet auch: innerhalb eines Unternehmens kann Sicherheit erreicht werden, ohne Datenschutz zu gewährleisten, aber es kann kein Datenschutz gewährleistet werden, ohne Sicherheitsstandards einzuhalten.

Das Fünf-Phasen-Rahmenwerk zur DSGVO

Der Ansatz für eine grundlegende DSGVO-Expertise in fünf Schritten sieht folgendermaßen aus:

  • In Phase 1 beurteilt das Unternehmen den Status-Quo. Es muss untersucht werden, welche der gesammelten und gespeicherten Daten, von den DSGVO-Richtlinien betroffen sind. Im Anschluss wird ein Plan aufgestellt, um diese Daten aufzudecken.
     
  • In Phase 2 geht es darum, dass das Unternehmen einen eigenen Ansatz entwickelt, einen soliden Plan, der das Sammeln, die Nutzung und die Speicherung der Daten regelt. Auf diesen Ansatz fußt die Architektur und Strategie, anhand derer Risiken und Unternehmensziele ausgelotet werden.
     
  • Innerhalb der Phase 3 werden die Gewohnheiten des Unternehmens überdacht. Es geht darum zu verstehen, dass die bisher gesammelten Daten für die Menschen, von denen sie stammen, genauso wertvoll sind wie für das Unternehmen. An diesem Punkt müssen also nachhaltige Datenschutzrichtlinien ausgearbeitet werden. Genauso geht es aber auch darum, Sicherheitskontrollen und Verwaltungskontrollen (auch: TOM – Technical and Organizational Measures) einzuführen und einen Data Protection Officer zu ernennen.
     
  • Unternehmen in Phase 4 sind bereit, ihren Datenschutz-Ansatz umzusetzen. Datenströme werden ab dieser Phase kontinuierlich geprüft und der Zugang zu Daten wird überwacht. Außerdem werden Sicherheitstests durchgeführt und unwichtige Daten gelöscht.
     
  • In der finalen Phase 5 ist das Unternehmen dann bereit, die DSGVO-Richtlinien einzuhalten. Ab diesem Zeitpunkt werden alle Anforderungen an Zugriff, Korrektur, Löschung und Übertragung von Daten erfüllt. Außerdem ist das Unternehmen durch die Dokumentation aller Aktivitäten auf mögliche Betriebsprüfungen vorbereitet und kann im Fall einer Datenpanne Regulatoren und Betroffene informieren.

Das ist der direkte Ansatz von IBM Security, um Unternehmen DSGVO-fit zu machen. Der Weg dorthin ist womöglich nicht immer einfach, aber das Rahmenwerk soll ihn zumindest klarer aufzeigen.

Anmerkung: Unternehmen sind selbst verantwortlich für die Beachtung der geltenden Vorschriften und Gesetze, die EU-DSGVO mit inbegriffen. IBM stellt keinen gesetzlichen Rat zur Verfügung und gewährleistet nicht, dass Unternehmen durch Services oder Produkte der IBM geltende Gesetze oder Regulierungen erfüllt.

Über die Autorin: Cindy Compert ist Chief Technical Officer Data Security and Privacy bei IBM. Als technische Visionärin ist sie darauf bedacht, die Gesundheit, Sicherheit und das Wohlergehen anderer zu fördern. Sie ist der Überzeugung, dass Datensicherheit und Datenschutz entscheidend zum Erfolg digitaler und kognitiver Unternehmen beitragen.

www.ibm.com/de
 

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet