VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

DSGVO Datum 746843218 500

Am kommenden Sonntag ist europäischer Datenschutztag. Vor allem die Entscheider in Unternehmen und Organisationen dürften sich an diesem Aktionstag, der das Bewusstsein für Datenschutz in Europa stärken soll, ihre Gedanken machen. Denn: Die EU-DSGVO kommt – und das schon bald: Am 25. Mai 2018 ist Stichtag. Ein Interview mit Sabine Köhler, Datenschutz-Consultant der Ceyoniq Technology GmbH.

Die DSGVO ist ein umfangreiches und komplexes Regelwerk. Welchen grundsätzlichen Rat geben Sie Unternehmen, um die wichtigsten Anforderungen der Verordnung zu erfüllen?

Sabine Köhler: Planen Sie die Anpassung Ihrer Prozesse nach DSGVO strategisch durch. Dazu gehören umfassende Pro-zessanalysen, die Erstellung von Dokumentationen aber auch die Neubewertung altgedienter Sicherheitsmaßnahmen. Besonders wichtig: Vermeiden Sie unnötige Datenhaltung! Die DSGVO dient dem Zweck, Personen, deren Daten von Unternehmen verarbeitet werden, vor dem Missbrauch dieser Daten zu schützen. Es liegt auf der Hand, dass der Aufwand, der dafür betrieben werden muss, mit der Masse an Daten wächst. Es sollten also nur die Daten verarbeitet werden, die tatsächlich unverzichtbar sind. Ziel muss es sein, ein Gleichgewicht zwischen ausreichen-dem sowie gesetzeskonformen Schutz und vertretbarer Usability für den Anwender zu schaffen.

Einige Anforderungen der DSGVO sind bereits im Bundesdatenschutzgesetz (BDSG) verankert. Die Einhaltung von Löschfristen und die Informationspflicht sind zwei Beispiele. Wo liegen die Unterschiede zwischen BSDG und DSGVO, betrachtet man diese beiden Aspekte?

Sabine Köhler: Hinsichtlich der Löschfristen liegt der Unterschied vor allem darin, dass mit der DSGVO erstmals Bußgelder drohen, sollten die Fristen nicht eingehalten werden. Blickt man auf die Informationspflicht, müssen betroffene Personen genau über die Art der Verarbeitung ihrer Daten informiert werden. Auch das ist prinzipiell nicht neu. Allerdings sind die Informationen, die Betroffenen zur Verfügung gestellt werden müssen, weitaus umfangreicher, als dies bisher der Fall war. Informationen zu Datenverarbeitungen, die noch nach BDSG-alt bereitgestellt worden sind, dürften den Anforderungen nur in den seltensten Fällen gerecht werden. Hier besteht also auch für „alte“ Prozesse großer Nachholbedarf. Sowohl die Information an die Betroffenen als auch die Löschfristen sind künftig im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Durch diese und weitere Vorschriften geht das Verzeichnis in seiner Komplexität weit über das bisher geforderte Mindestmaß hinaus.

Die DSGVO führt erstmals konkrete Schutzziele per Gesetz in den Datenschutz ein, die vom BDSG-neu durch Kategorien technisch-organisatorischer Maßnahmen ergänzt werden. Was müssen Unternehmen aus Ihrer Sicht tun, um künftig ein angemessenes Sicherheitsniveau nachweisen zu können?

Sabine Köhler: Viele Unternehmen haben bereits in der Vergangenheit technisch-organisatorische Maßnahmen ergriffen. Diese müssen nun im Rahmen einer Risikoanalyse neu bewertet, angepasst und in die geänderte Kategorisierung des BDSG-neu eingeordnet werden. Da konstante Datensicherheit nur nachgewiesen werden kann, wenn sie messbar ist, ist es sinnvoll, ein umfassendes Datenschutzmanagementsystem (DSMS) zu implementieren. Ein solches DSMS muss kontinuierlich überprüft und verbessert werden und neben der eingesetzten Technologie auch die Mitarbeiter miteinbeziehen. Sie müssen für datenschutzrelevante Aspekte sensibilisiert und geschult werden. Kommt es doch einmal zu einem Verstoß, dient das DSMS auch als Nachweis, dass der Schutz personenbezogener Daten bestmöglich durchgeführt wurde. Um sich die Wirksamkeit eines DSMS bestätigen zu lassen, sollen diese in Zukunft auch zertifiziert werden können. Dies kann bei einem Datenschutzvorfall zur Strafmilderung führen.

In Zusammenhang mit der DSGVO rücken technische Lösungen wie ECM-Software in den Fokus. Wie wichtig sind solche Systeme und welche Vorteile bieten sie?

Sabine Köhler: Eine leistungsfähige ECM-Lösung ist ein zentrales Werkzeug bei der Umsetzung der neuen Verordnung. Mittels moderner Software ist es möglich, Dokumente und Daten zuverlässig und mit geringem Aufwand zu verwalten. Außerdem versetzen führende ECM-Systeme Unternehmen in die Lage, die Dokumente und Daten mit Lösch-, Sperr- und Aufbewahrungsfristen zu ver-sehen. In Kombination mit der Übersichtlichkeit, die ein ECM bietet, lassen sich Löschkonzepte dadurch deutlich komfortabler umsetzen. Des Weiteren können Sichtbarkeitsregeln für einzelne Benutzer oder für festgelegte Rollen wie zum Beispiel Vertrieb oder Geschäftsführung definiert werden. Darüber lassen sich komplexe Berechtigungskonzepte erstellen, die bei der Einhaltung von Datenschutzgrundlagen wie der Zweckbindung oder der Datenminimierung unterstützen. Kurzum: Ein ECM hilft dabei, grundlegende Anforderungen der DSGVO bei der Dokumentenhaltung umzusetzen.

Genügt die Einführung einer ECM-Lösung, um beim Datenschutz auf der sicheren Seite zu sein, oder sollten Unternehmen weitere Maßnahmen ergreifen?

Sabine Köhler: Die Anschaffung eines ECM-Systems alleine reicht nicht aus. Mit entsprechender Software haben Unternehmen sozusagen das richtige Werkzeug zur Hand, doch muss dieses auch zielge-richtet eingesetzt werden. Denn welche Daten wie geschützt werden müssen, hängt stark vom jeweiligen Unternehmen ab. Daher muss im Vorfeld eine Analyse durchgeführt werden, die die wichtigsten Fragen beantwortet: Welche Daten und Informationen liegen vor und in welchen Szenarien werden sie genutzt? Es folgt eine Risikobewertung, bei der festgelegt wird, welche Daten in welchem Umfang zu schützen sind. Idealerweise setzen Unternehmen in dieser Phase auf Experten, die nicht nur die Technologie-Basis mitbringen, sondern die Umsetzung der Vorschriften Schritt für Schritt mit tiefgreifendem Know-how begleiten.

www.ceyoniq.com
 

 

 

GRID LIST
Tb W190 H80 Crop Int Ac00bc491e29650606797a7a168b27ab

Datenaustausch und -archivierung in Zeiten der DSGVO

Nun ist es doch tatsächlich so weit: Die allseits gefürchtete…
Gérard Bauer

Bietet die DSGVO Cyberkriminellen eine Möglichkeit, sich besser zu verstecken?

Mit dem Ziel den Schutz und die Sicherheit von Daten deutlich zu verbessern, ist die…
Karl-Heinz Land

Die DSGVO bedeutet eine kalte Enteignung des Mittelstands

Was als Schutzschild gegen „Datenkraken“ wie Facebook, Twitter oder Google gedacht war,…
Tb W190 H80 Crop Int Ece7bb343adc210e89b8ba448a8c7677

DSGVO – Schutz sensibler Daten

Bereits im Mai 2016 wurde die neue Datenschutzgrundverordnung (DSGVO) verabschiedet. Nun…
Tb W190 H80 Crop Int Ffc54940f3b5a5b27ea7e7e75ad38fbe

DSGVO Tipps zum Umgang mit Google Produkten

Das wahrscheinlich am meisten diskutierte Thema für diesen Monat, die…
Schloss vor Weltkugel

Verschlüsselung: Technik mit Herausforderungen

Bereits die alten Ägypter haben Texte so umgeschrieben, dass sie nur von Empfängern…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security