- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Bedeutung der EU-Datenschutzverordnung


Bereit für die neue EU-Datenschutzverordnung? - Check-Liste hilft bei der Vorbereitung
Aufgrund der mit der Verordnung verbundenen Implikationen und der hohen Bußgeldern bei Verstößen sollten Unternehmen die EU-DSGVO zur Chefsache machen

- Anzeigen -





Der Countdown läuft. Am 25. Mai 2018, also in weniger als einem Jahr, tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese vereinheitlicht den Umgang mit Daten EU-weit und gilt für alle Firmen, die personenbezogene Daten von EU-Bürgern speichern, übertragen oder verarbeiten. Die neue Verordnung regelt den Datenschutz erheblich strenger als bisher in den meisten EU-Mitgliedsstaaten: Der Anwendungsbereich wird sich beispielsweise nicht mehr auf das Gebiet der EU beschränken, sondern auch Niederlassungen von EU-Firmen weltweit sowie Nicht-EU-Firmen umfassen, die EU-Bürgern Waren und Dienstleistungen anbieten. Strenger ist die DSGVO auch bei den Meldepflichten von Datenschutzverletzungen an die Aufsichtsbehörde und vor allem bei den Bußgeldern und strafrechtlichen Sanktionen bei Verstößen. Diese wurden drastisch erhöht und auf dem Spiel stehen Bußgelder in Höhe von 4 Prozent des weltweiten Umsatzes eines Unternehmens.

Grund genug also für alle Verantwortlichen, sich eingehend mit der Thematik zu beschäftigen und zu prüfen, ob sie für den 25. Mai 2018 vorbereitet sind. Dazu gibt Daniel Wolf, Regional Director DACH bei der Cloud-Security-Anbieterin Skyhigh Networks den Unternehmen eine Checkliste mit zehn Fragen an die Hand.

1. Ist sich die Führungsebene über die Bedeutung der EU-Datenschutzverordnung im Klaren?
Aufgrund der mit der Verordnung verbundenen Implikationen und der hohen Bußgeldern bei Verstößen sollten Unternehmen die EU-DSGVO zur Chefsache machen.

2. Wissen Sie, wo in Ihren Unternehmen sich überall personenbezogene Daten befinden?
Die Verordnung bezieht sich sowohl auf existierende Daten sowie auf solche, die nach Inkrafttreten erfasst werden. Wo im Unternehmen befinden sich personenbezogene Daten und in welcher Form? Welche Prozesse sind für den Datenzugriff, die sichere Speicherung, für Backup und Kontrolle etabliert?

3. Ist ein Prozess etabliert, um Daten-Anfragen einzelner Personen zu beantworten?
Laut EU-DSGVO haben Anwender, sogenannte Daten-Subjekte, das Recht, von allen Organisationen, die Daten über sie besitzen, diese in maschinenlesbarer Form anzufordern. Ist Ihr Unternehmen in der Lage, aus allen Datenquellen sämtliche personenbezogenen Daten einer Einzelperson zusammenzustellen?

4. Ist ein Prozess etabliert, um Daten auf Wunsch zu löschen?
Die EU-DSGVO gewährt Daten-Subjekten das Recht auf Löschung ihrer Daten. Ist Ihr Unternehmen auf entsprechende Anfragen vorbereitet?

5. Kennen Sie die Vorschriften im Zusammenhang mit der Einwilligung zur Erfassung und Aufbewahrung?
Die Datenerfassung, die Einwilligung zum Speichern von Daten und ihrer Verwendung sowie der Zeitraum, in dem Daten aufbewahrt werden, tangiert verschiedene Bereiche des Unternehmens und der Verantwortliche muss hier alle Vorschriften kennen. Denn bei Anfragen von Regulierungsbehörden nach der Herkunft von Daten und der Einwilligung des Daten-Subjekts zur Erfassung und Aufbewahrung müssen Unternehmen auskunftsfähig sein.

6. Welche Outsourcing-Partner haben Zugriff auf personenbezogene Daten?
Die Verantwortung für den korrekten Umgang mit personenbezogenen Daten erstreckt sich auch auf so genannte Auftragsverarbeiter, also Outsourcing-Provider oder Provider eines Cloud-Dienstes. Tritt hier ein Datenverlust auf, haftet das auslagernde Unternehmen. Das heißt, der Verantwortliche im Unternehmen muss auch sicherstellen, dass Auftragsverarbeiter entsprechende Richtlinien, Verfahren und Technologien für einen sicheren Umgang mit personenbezogenen Daten etabliert haben.

7. Sind Sie in der Lage, Verstöße gegen den Datenschutz zu erkennen?
Sie wollen sicherlich nicht vom Anwender selbst oder von der Regulierungsbehörde über Fälle von Datenverlust informiert werden. Haben Sie in Ihrem Unternehmen Technologien implementiert, die Ihnen helfen, Datenschutzverletzungen zu erkennen? Können Sie im Ernstfall systematisch analysieren, wie es zu einem Datenverlust oder einer Datenveränderung kam? Sind Sie in der Lage, mit vollständigen User-Protokollen und -Identitäten Fälle von Datenschutzverletzungen zurückverfolgen, um deren volles Ausmaß und Auswirkungen für Ihr Unternehmen zu erfassen?

8. Verfolgen Sie bei der Entwicklung neuer Systeme die Prinzipien "Privacy by Design" und "Privacy by default"?
Bei der Entwicklung neuer Systeme sollte Datenschutz von Anfang an mitgedacht und in die Gesamtkonzeption einbezogen werden (Privacy by Design). Zusätzlich gilt es, datenschutzfreundliche Voreinstellungen sicherzustellen (Privacy by Default). Für die Einhaltung dieser Prinzipien hat der Verantwortliche zu sorgen.

9. Liegt in Ihrem Unternehmen für den Fall von Datenschutzverletzungen ein Kommunikationsplan vor?
Tritt in Ihrem Unternehmen ein Verstoß gegen den Datenschutz auf, müssen Sie in der Lage sein, sofort auf Fragen von Kunden oder den Medien zu reagieren. Sind Sie hier für alle möglichen Szenarien vorbereitet? Haben Sie einen fertigen Kommunikationsplan zur Hand? Wen haben Sie als Sprecher definiert? Sind Sie auch handlungsfähig, wenn Informationen über Datenschutzverletzungen außerhalb Ihrer Geschäftszeiten an die Öffentlichkeit gelangen?

10. Sind alle Prozesse und Datenbewegungen dokumentiert?
Wenn ein Datenschutzverstoß auftritt oder die Regulierungsbehörde in Ihrem Unternehmen ermittelt, benötigen Sie eine vollständige Dokumentation aller Datenbewegungen. Wie hoch im Fall der Fälle eine Geldstrafe ausfällt, hängt auch von den Prozessen, den eingesetzten Technologien für den Schutz personenbezogener Daten sowie der Dokumentation dieser Technologien und der Datenbewegungen ab.
(Skyhigh Networks: ra)

eingetragen: 23.06.17
Home & Newsletterlauf: 13.07.17


Skyhigh Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.