zurück Blog
mod IT Blog DSGVO-konformer Datenschutz in 13 Schritten

DSGVO-konformer Datenschutz in 13 Schritten

Ihr sowohl im Englischen als auch im Deutschen komplizierter Name ist Programm: Die General Data Protection Regulation (GDPR) – oder zu Deutsch „EU-Datenschutz-Grundverordnung“ (EU-DSGVO) – versteht sich als einheitliche Basis für den Umgang mit personenbezogenen Daten in Europa. Das ist eine große, recht grundsätzliche Aufgabe, die für die Unternehmen einiges nach sich zieht. Doch der Reihe nach.

Datenschutz bekommt einen neuen Wert

Jahrelange Diskussionen und ungleiche Regelungen in jedem europäischen Land plus amerikanische Sonderfreiheiten – Datenschutz bewegt zwar schon länger die Gemüter, doch eher Verwirrendes denn Konkretes wurde dabei zu Papier gebracht. Seit Mai 2016 ist das anders: Die DSGVO wurde beschlossen, um zwei Jahre später in Kraft zu treten. Nun, Mitte 2017, wird die Zeit knapp, Übergangsfristen sind nicht vorgesehen. Zudem ist die DSGVO eben eine Verordnung und muss – im Gegensatz zu europäischen Gesetzen – nicht in die nationalen Gesetze eingebettet werden. Sie tritt einfach in Kraft, Ende Mai 2018!

Die DSGVO schreibt einen verschärften Datenschutz und zahlreiche Sicherheitsmaßnahmen für europäische Unternehmen vor, die mit personenbezogene Daten arbeiten. Im Prinzip tut das jedes Unternehmen, welches Produkte oder Dienstleistungen anbietet. Darüber hinaus müssen die Unternehmen darauf achten, dass ihre Dienstleister die Vorgaben der Verordnung ebenfalls erfüllen, ganz egal, ob diese in oder außerhalb Europas ansässig sind.
Drastische Strafen drohen: Bis zu 4 Prozent des Jahresumsatzes oder bis zu 20 Millionen Euro. können die Behörden bei Verstößen gegen das Gesetz fordern. Wohlgemerkt bis zu 4 Prozent des Umsatzes, nicht des Gewinns – das kann Unternehmen empfindlich treffen.

13 essentielle Schritte

Erst wenn man sich mit der DSGVO und der entsprechenden Anpassung der Prozesse befasst, wird spürbar, welche weitreichenden Folgen dies hat und wie viel Arbeit tatsächlich auf einen zukommt. Sich neben dem Tagesgeschäft mit EU-Verordnungen zu befassen, ist für kein Unternehmen einfach, ganz egal, welcher Größe. In unseren Kundengesprächen und Projekten rund um die EU-Verordnung stoßen wir immer wieder auf Verunsicherung und auch Verärgerung, weil es zwar jede Menge Unterlagen und Medienberichte zum Thema gibt, kaum etwas davon aber übersichtlich und umfassend zugleich effektiv bei der Vorbereitung hilft.

Als sehr nützlich in der Praxis hat sich das Whitepaper unseres Partners tenable erwiesen. Tenable, vor allem bekannt durch den Schwachstellen-Scanner Nessus, ist spezialisiert auf Sicherheitslösungen, wie etwa eine Schwachstellen-Management-Plattform und entsprechende Monitoring-Lösungen. In dem besagten Whitepaper stellt tenable 13 konkrete Maßnahmen vor, die Unternehmen jetzt Schritt für Schritt umsetzen sollten. Diese reichen von der Empfehlung, ein Information Security Framework zu benutzen, über praktische Hinweise, wie sich personenbezogene Daten und ihr Weg über Unternehmensgrenzen hinweg überhaupt identifizieren lassen, bis hin zu der Auseinandersetzung mit dem „Recht auf Vergessen“.

Unterschätzter Aufwand?

Was ich letztlich sagen will: Der verbleibende Zeitraum bis Ende Mai 2018 ist sehr knapp, um alle Unternehmensprozesse DSGVO-konform umzugestalten. Zwar ist die öffentliche Diskussion längst in vollem Gange und auch sehr umfassend, den Unternehmen fehlt es aber oft an handfesten Aufwandsschätzungen und Zeitplänen für die Umsetzung. Denn mit der Verordnung wird eben nicht nur der Datenschutz ein bisschen verschärft. Vielmehr werden sowohl die Definition, was eigentlich personenbezogene Daten sind, als auch die juristische Tragweite deutlich ausgedehnt. Von den drohenden, empfindlichen Strafen bei Nichteinhaltung der Verordnung will ich gar nicht erst anfangen. Auch zu diesen sehr wesentlichen Details finden sich im Whitepaper wertvolle Hinweise.

In der DSGVO wird 21mal die recht dehnbare Phrase „geeignete technische und organisatorische Maßnahmen“ bemüht. Die Unternehmen sind nun gefragt, diese Phrase – idealerweise mit der Hilfe eines kompetenten IT-Dienstleisters – mit konkretem Inhalt zu füllen.

 

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Kommentare (1)

  1. Marcel Uthoff

    Sehr schöner Artikel Herr Brabetz.
    Danke für das Teilen der Informationen.

    Gruß Marcel

    Kommentieren


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Blog Wann hatten Sie Ihre letzte Datenpanne

Wann hatten Sie Ihre letzte Datenpanne?

Können Unternehmen Informationssicherheit proaktiv betreiben? Ja, sie können. Ein gutes Schwachstellenmanagement erkennt Risiken, bevor sie eintreten (z.B. die Ransomware WannaCry oder Petya). Dirk Größer beschreibt in diesem Gastbeitrag, wie sich Schwachstellenmanagement in ein Informationssicherheitsmanagementsystem (kurz […]

mehr
Penetrationstests: Professionelle Angriffsszenarien im Workshop selbst durchführen mehr
So gestalten Sie die Rollout-Logistik erfolgreich mehr
Penetrationstest vs. Schwachstellenscan: Wann Sie die richtige Wahl treffen mehr
Safe Harbor wird zum EU US Privacy Shield mehr

AKTUELLE ARTIKEL

IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung? mehr
Penetration Tester m/w mehr
IT-ServiceDesk Agent m/w mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr