Anzeige

DSGVO

"Sie wurden soeben gelöscht", das sagte einst John Kruger (alias Arnold Schwarzenegger) zu Lee Cullen (alias Vanessa Williams), als er sie in „Eraser“ ins Zeugenschutzprogramms nimmt (Eraser (1996)). Demzufolge seien alle Aufzeichnungen, die irgendetwas mit ihrer bisherigen Existenz zu tun gehabt haben, gelöscht.

Das ermöglicht Lee Cullen einen Neuanfang, sicher vor denen, die ihr nach dem Leben trachten. 

Soweit Hollywood. Leider sind die Dinge im wirklichen Leben selten so einfach. Die Datenmenge, die Unternehmen inzwischen verarbeiten und speichern, wächst exponentiell. Den Überblick darüber zu behalten, wo überall personenbezogene Daten verwendet werden, ist zu einer komplexen Aufgabe geworden. Gelangen Daten in die Cloud, sei es auf lokalen Servern oder auf Servern im Internet, ist es für Datenschutzverantwortliche kaum mehr möglich, die ordnungsgemäße Nutzung und Löschung der Daten komplett im Blick zu behalten.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist ein Gesetz zum Schutz der Privatsphäre der Bürger. Mit der DSGVO wurde eine neue Norm für den Umgang mit den Daten einer Person geschaffen, und ihr Fokus auf Anonymisierung wurde von Softwareanbietern auf der ganzen Welt übernommen. Mit Beginn des zweiten Jahres seit dem Wirksamwerden der DSGVO am 25. Mai rücken zwei weitere wichtige Aspekte der Verordnung in den Fokus von Datenschutz- und Compliance-Teams weltweit: das Recht auf Vergessenwerden und die Datenlöschung. 

Warum ist das so wichtig? 

Es gibt einige simple Beispiele, warum diese beiden Aspekte so wichtig sind. Etwa, wenn ein Mitarbeiter aus beruflichen Gründen an einen anderen Ort versetzt wird. Diese Ortsveränderung könnte eine Änderung der Datenschutzbestimmungen nach sich ziehen. Oder ein Mitarbeiter scheidet aus dem Unternehmen aus oder wird gekündigt. Die Speicherung seiner Daten seitens des Unternehmens ist dann nicht mehr erforderlich. Mit Ausnahme bestimmter grundlegender Daten, die für Archivierungszwecke gebraucht werden. Weitere Beispiele sind Änderungen an der Datenschutzrichtlinie des Unternehmens oder der Widerruf der Einwilligung durch einen Mitarbeiter. Hier muss man Daten teilweise oder vollständig löschen können. 

Datenlöschung und Recht auf Vergessenwerden 

Dies gelingt beispielsweise, indem man strenge Datenkontrollen erzwingt, um die DSGVO-Compliance-Anforderungen zu erfüllen, wie z.B.: 

  • Datenmaskierung und Verschlüsselung
  • Granulare Role Based Access Control (rollenbasierte Zugriffskontrolle) (RBAC)
  • Detaillierte Prüfpfade und Berichte über Protokollmanipulationen
  • Datenfilterung
  • Berichte zu den tatsächlichen Aktivitäten

Solche Datenschutzfunktionen sind insbesondere Teil der Forderungen von Betriebsräten in Europa und Asien. Dazu dienen DSGVO-Compliance- und Sicherheitsfunktionen, die insbesondere das Recht auf Vergessenwerden und die Datenlöschung unterstützen. 

Mit einer Funktion für das Recht auf Vergessenwerden haben Firmen die Möglichkeit, Mitarbeiterdaten, die bereits einen bestimmten Zeitraum für einen einzelnen Mitarbeiter oder eine Gruppe von Mitarbeitern überdauert haben, zu löschen. Dann werden alle direkten und verknüpften Daten für die spezifizierte Entität entfernt. Man muss also nicht mehr unterschiedlichste Datenquellen durchsuchen, was den Prozess früher sehr aufwendig gestaltete.  

Mit einer Funktion zur Datenlöschung lassen sich sämtliche Daten, die mit einem Mitarbeiter oder einer Gruppe von Mitarbeitern verknüpft sind, auf der Grundlage beliebiger Identitäts- oder HR-Kriterien (z.B. Region, Abteilung oder Titel) vollständig löschen. 

Compliance in Bezug auf das Recht auf Vergessenwerden und die Datenlöschung

Korrelation zwischen Benutzer und Entität

Ein Benutzer kann Aktivitäten generieren, die an mehrere, individuelle Identitäten mit unterschiedlichen Kontonamen, IP-Adressen, Hostnamen usw. gebunden sind. Dies erschwert es bei älteren Lösungen, Aktivitäten bis hin zur globalen Identität des Benutzers zu finden und zurückzuverfolgen, was dann in der Folge eine vollständige Datenlöschung verhindert.

Eine moderne Plattform verknüpft alle Aktivitäten eines Benutzers mit einer einzigen globalen Benutzeridentität - unabhängig davon, ob sie dem Notebook-Hostnamen, der Unternehmens-IP-Adresse, dem Benutzernamen für die Netzwerk-Domain oder der E-Mail-Adresse zugeordnet ist. Dadurch lassen sich alle Benutzerereignisse auf mehreren Geräten in einer einzigen Aktion identifizieren und löschen. 

Governance und Workflow

Umfassende Governance-Funktionen gewährleisten im Rahmen eines geplanten Workflow-Prozesses die Genehmigung sämtlicher Löschungen. Granulare RBAC-Workflow-Funktion erlauben es den Benutzern dann, je nach ihrer definierten Rolle DSGVO- und Datenschutzmaßnahmen anzufordern oder zu genehmigen. Ein sicherer, strukturierter Workflow ist entscheidend für die sichere Verwendung von Utilities wie dem Löschen von Daten.

Im Idealfall führt die Plattform außerdem einen detaillierten, vollständigen Prüfpfad aller Anforderungen, Genehmigungen und Löschungen über einen einfachen Protokollzugriff. Das wiederum stellt sicher, dass Compliance-Anforderungen erfüllt werden.

Fazit: Im zweiten Jahr der DSGVO geht es nicht mehr nur darum, Compliance zu gewährleisten, sondern das so effektiv wie möglich zu tun. Damit Sie Mitarbeitern, die ihre verbrieften Rechte wahrnehmen wollen, bestätigen können: "Sie wurden soeben gelöscht."

Weitere Informationen zum Thema finden Sie hier: Whitepaper „General Data Protection Regulation

Autoren: Sujay Doshi, Senior Product Manager Cyber Threat Content, und Abhishek RVRK Sharma, Senior Technical Marketing Engineer bei Securonix.

www.securonix.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

DSVGO
Mai 20, 2020

Zwei Jahre DSVGO – wichtige Lehren aus bisherigen Compliance-Projekten

Am 25. Mai jährt sich die Einführung der Datenschutz-Grundverordnung (DSGVO) zum zweiten…
Olaf Brandt
Mai 19, 2020

2 Jahre DSGVO: Wer sich an den Datenschutz hält, wird bestraft

Verstöße gegen die DSGVO werden weiterhin - auch von den Aufsichtsbehörden - billigend in…
DSGVO
Mai 11, 2020

Zwei Jahre EU-DSGVO - eine Zwischenbilanz

Vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft.…

Weitere Artikel

DSGVO

DSGVO–EU-Kommission zieht Bilanz: KMUs im Nachteil?

Gut zwei Jahre nach Inkrafttreten der DSGVO zieht die EU-Kommission Bilanz. Eine Erkenntnis: Die Compliance für kleine und mittlere Unternehmen stellt sich häufig noch als schwierig dar. So haben KMUs vor allem steigende Kosten im Rahmen von…
Datenschutz Schild

Datenschutzbarometer 2020

Commanders Act, Anbieter der europäischen integrierten Consent-Management- (CMP) und Customer-Data-Plattform (CDP), veröffentlicht sein aktuelles Datenschutzbarometer, das die Performance der von Unternehmen eingeführten Maßnahmen zur Einholung expliziter…
Datensicherheit

5 Tipps zur Datensicherheit mit Augmented-Reality-Lösungen

Die Vorteile der Nutzung von Augmented-Reality-Lösungen liegen auf der Hand. Mitarbeiter*innen können mithilfe von Wearables ihre Arbeit schneller, flexibler und sicherer ausführen, machen nachweislich weniger Fehler und sind bei der Arbeit zufriedener.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!