Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

EU-Flagge mit Paragraph

In der gesamten Europäischen Union regelt die EU-Datenschutzgrundverordnung (EU-DSGVO) bald den Umgang mit persönlichen Daten. Sie tritt im Mai 2018 in Kraft – es ist also höchste Zeit, sich mit ihren Anforderungen auseinanderzusetzen. Ziel der neuen Verordnung ist der Schutz personenbezogener Daten.

Um den Umgang mit ihnen regelkonform zu gestalten und keine Bußgelder zu riskieren, sollten sich die dafür Verantwortlichen im Unternehmen folgende sechs Fragen stellen.

1. Wie stehen meine aktuellen Maßnahmen (Richtlinien, Prozesse, Dokumentationen) zum neuen Gesetz?

Der erste Schritt ist offensichtlich, doch umfangreich zugleich, und kann bestenfalls durch IT-gestützte Methoden begleitet werden. Im Wesentlichen müssen die bisherigen Maßnahmen, die hoffentlich schon im Rahmen der bestehenden Regelungen (u.a. des Datenschutzgesetzes) umgesetzt worden sind, gegen die neuen abgeglichen werden, beziehungsweise neu implementiert werden. Dabei können Experten unterstützen, die sowohl alte als auch neue Gesetze kennen und in kurzer Zeit mit den Fachverantwortlichen im Unternehmen einen Schlachtplan entwickeln. Aus diesem werden die Handlungsanweisungen generiert, die die Arbeit an diesem Thema strukturieren.

2. Wie finde ich personenbezogene Daten?

Wichtig ist in diesem Zusammenhang, die Systeme zu identifizieren, die personenbezogene Daten verarbeiten, denn nur diese sind vom Gesetz betroffen. So einfach es auch klingen mag, bei der Suche nach personenbezogenen Daten hilft Verantwortlichen zu Beginn: nachdenken. Dabei werden ihnen interne Datenbanken, CRM-, ERP- und HR-Systeme einfallen und sie werden sich weitere Fragen stellen: „Tauschen wir personenbezogene Daten mit anderen Unternehmen aus?“, „Wo liegen Bewerbungen ab, die wir elektronisch bekommen?“ und „Enthalten unsere E-Mails personenbezogene Daten?“. Kleine und mittelständische Unternehmen finden so wahrscheinlich bereits 95 Prozent der personenbezogenen Daten. Bei der weiteren Suche hilft Software, beispielsweise Guardium aus der Security-Linie von IBM. Die Lösung durchsucht strukturiert abgelegte Daten in relationalen Datenbanken. Sie orientiert sich bei Tabellen an den Spaltenüberschriften, etwa „Namen“. Für die Erkennung weiterer personenbezogener Daten innerhalb der Datenbanken nutzt Guardium zudem eine Bibliothek mit zahlreichen Mustern, zum Beispiel Namen, Telefonnummern, IP-Adressen, und viele andere mehr. Findet sie in einer Datenbank personenbezogene Daten, weist sie darauf hin und katalogisiert diese. IBM Guardium zeigt also zunächst den Ist-Zustand an. In einem nächsten Schritt kann die Lösung die Datenbank überwachen und zum Beispiel gefundene personenbezogene Daten blockieren.

Für Daten in Email-Servern, Dateiablagen und im Enterprise Content Management führt dieser Ansatz nicht zum Ziel: zu unstrukturiert liegen die Daten vor. Stattdessen wird die Lösung IBM StoredIQ, ebenfalls von IBM, eingesetzt: Sie durchsucht über diverse Adaptoren die unterschiedlichsten Quellen und öffnet verschiedene Dateiformate, um die Inhalte nach Mustern zu durchleuchten. So findet sie personenbezogene Daten etwa in Exchange-Servern, Lotus Notes oder Sharepoint, ebenso wie in ZIP-Dateien, Textdateien und E-Mails inklusive Anhängen. Treffer protokolliert und katalogisiert das Programm. Ebenso können betroffene Dokumente in Quarantäne verschoben oder automatisiert gemeldet werden.

3. Wie separiere ich personenbezogene Daten für weitere Verarbeitung, zum Beispiel Big-Data-Analyse?

Nach diesem ersten Schritt verfügt man über einen Katalog der personenbezogenen Daten. Unter Umständen ist es notwendig, personenbezogene Daten zu separieren. Unternehmen müssen Informationen über ihre Kunden anonymisieren, wenn sie sie nach bestimmten Aspekten analysieren wollen, ohne die Vorgaben der EU-DSGVO zu verletzen und ohne die Erlaubnis aller Betroffenen einzuholen. So ist es führenden Online-Händlern beispielsweise möglich, Vorschläge wie „andere Kunden kauften auch…“ zu unterbreiten. Krankenkassen anonymisieren die Daten ihrer Versicherten, bevor sie diese EU-DSGVO-konform analysieren. So können sie etwa herausfinden, wie hoch die Wahrscheinlichkeit ist, dass ein Versicherter, der Krankheit 1 und Krankheit 2 hat, auch Krankheit 3 bekommen wird.

4. Wie lösche ich Daten EU-DSGVO-konform und protokolliere dies korrekt?

Es gibt verschiedene Gründe, personenbezogene Daten zu löschen. So können interne beziehungsweise gesetzliche Vorschriften die Löschung verlangen oder Personen fordern sie.

Die Vorgehensweise ist unterschiedlich.

Für die durchgängige Einhaltung der Vorschriften und der Dokumentation der Einhaltung eignen sich Programme für Information Lifecycle Management (ILM). In diesen werden unter anderem Verfallsdaten und Prozesse definiert, mit denen automatisiert Daten mit einem gewissen Alter gelöscht werden und darüber ein Protokoll für etwaige Nachweise erstellt wird.

Möchte dagegen eine Person, etwa ein Kunde, dass seine Daten gelöscht werden, dann umfasst diese Anfrage oft mehr als eine einzige Tätigkeit. Zudem müssen dann alle involvierten Tätigkeiten ebenfalls dokumentiert werden. Solche Anfragen lassen sich automatisiert mit einer EDV-gestützten Fallbearbeitung bearbeiten, beispielsweise mithilfe des IBM Case Managers. Diesem überträgt man den Fall. Er nimmt den Fall an, informiert die relevanten Personen und triggert die notwendigen Prozesse, bis schließlich der Kunde die gewünschte Auskunft erhält. Diese Vorgänge können soweit automatisiert werden, dass der Case Manager den Kundennamen automatisch an StoredIQ oder eine ähnliche Lösung weiterleitet. Diese sucht dann im Unternehmensdatenbestand nach Daten, Dateien, und Informationen über diesen Kunden. Dateien, die solche Informationen enthalten, werden verschoben und ein Mitarbeiter über die bevorstehende Löschung informiert. Er prüft, ob etwas gegen die Löschung spricht, etwa anderweitig verpflichtende Aufbewahrungsfristen. Ist dies nicht der Fall, stimmt er der Löschung der entsprechenden Informationen zu. Diese wird protokolliert und der Kunde erhält eine Information, welche Daten das Unternehmen über ihn vorliegen hatte, die jetzt gelöscht wurden.

5. Was passiert mit aufzubewahrenden Daten?

Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Zum Datenschutz gehört auch die Datensicherheit. Das heißt, Unternehmen müssen personenbezogene Daten mit technischen und organisatorischen Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung und Verlust schützen. Die EU-DSGVO fordert, dass sowohl der Verantwortliche, als auch der Auftragsverarbeiter dazu geeignete technische und organisatorische Maßnahmen umsetzt. Dazu sind der Stand der Technik zu berücksichtigen, aber auch die Implementierungskosten, die Art, die Umstände und der Zweck der Datenverarbeitung. Ebenfalls relevant sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten. Fazit: Aufzubewahrende Daten müssen also mithilfe der aktuell vorhandenen technischen Lösungen sicher sein gegen Bearbeitung, Veränderung, Zerstörung, Diebstahl und Verlust.

6. Wer ist für die korrekte Behandlung personenbezogener Daten verantwortlich?

Verantwortlich dafür, dass die Datenschutzgrundverordnung eingehalten wird und personenbezogene Daten richtig aufbewahrt, bearbeitet und gelöscht werden, ist die Geschäftsleitung des für die Datei verantwortlichen Unternehmens. Denn sie gibt auch Budget, Strategie und Zweck der Datenverarbeitung vor. Diese Verantwortung lässt sich nicht delegieren. Lediglich die Aufgaben, die zur Einhaltung der DSGVO dienen, können etwa an den IT-Leiter oder einen Datenschutzbeauftragten weitergegeben werden. Auch wenn ein Auftraggeber und ein Dienstleister an Daten arbeiten, bleibt die Verantwortung bei demjenigen, der Strategie und Zwecke der Verarbeitung vorgibt.

Fazit:

Für Unternehmen, die noch nicht auf die EU-DSGVO vorbereitet sind, ist es noch nicht zu spät, wenn auch höchste Zeit, anzufangen. Die verantwortlichen Führungsebenen in Unternehmen müssen dafür dringend entsprechende Budgets bereitstellen und strategische Vorgaben für die Umsetzung der DSGVO machen. Die Frage, „Setzen wir Datenschutz um, oder riskieren wir ein Bußgeld?“, stellt sich nicht mehr. Jetzt gilt es, sich einen Überblick zu verschaffen, geeignete Maßnahmen zu erarbeiten und diese mithilfe der verfügbaren, technischen Lösungen umzusetzen.

Marc BastienMarc Bastien, Solution Architect bei Axians IT Solutions

www.axians.de

 

GRID LIST
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…
Tb W190 H80 Crop Int 572a4c67eb285d3ea59f2c45c09865f3

Polizei-Bodycams: Wohin mit den Aufnahmen?

Körperkameras, sogenannte Bodycams, sollen die Sicherheit bei Polizeieinsätzen erhöhen…
Sprachsteuerung

Alexa, Siri und Co: Mehr Datenschutz für Dialoge der Nutzer

Sprachdialogsysteme wie Alexa und Siri sind inzwischen große Hilfen zum Beispiel bei der…
DSGVO Abmahnung

Warum von kostenlosen Datenschutzerklärungen abzuraten ist

Für eine Vielzahl von Unternehmern scheint sich das Thema Datenschutz damit erledigt zu…
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…