Datenhygiene – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Mon, 20 Apr 2020 08:01:05 +0000 de hourly 1 DSGVO: Zunehmende Geldbußen rücken „Privacy by Design“ ins Interesse https://www.datensicherheit.de/dsgvo-zunehmende-geldbussen-privacy-by-design https://www.datensicherheit.de/dsgvo-zunehmende-geldbussen-privacy-by-design#respond Mon, 20 Apr 2020 08:01:05 +0000 https://www.datensicherheit.de/?p=35987 Palo Alto Networks erläutert technologische Ansätze zum Datenschutz

[datensicherheit.de, 20.04.2020] Der Datenschutz hat sich seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet.

DSGVO verpflichtet Unternehmenpersönlichen Daten zu schützen

Die DSGVO gibt Verbrauchern das Recht, zu kontrollieren, wie ihre persönlichen Daten von Unternehmen verwendet werden. Das Gesetz verpflichtet Unternehmen, die persönlichen Daten von Interessenten, Kunden und Mitarbeitern zu schützen, und wird durch ein System von Sanktionen für den Fall der Nichteinhaltung dieser Verpflichtung ergänzt. Die Regulierungsbehörden können Geldstrafen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängen, wenn ein Unternehmen die persönlichen Daten von Personen in Europa nicht vor Missbrauch, Diebstahl oder Verlust schützt.

Hohe Geldstrafen werden erwartet

Seit der Einführung der DSGVO haben die Aufsichtsbehörden Bußgelder in Höhe von über 114 Millionen Euro gegen Unternehmen wegen mangelnden Datenschutzes verhängt. Weitere hohe Geldstrafen dürften folgen. Ein Unternehmen hat eine Abgabe von mehr als 90 Millionen Euro, drei Prozent seiner Jahreseinnahmen, angefochten. Einem anderen Unternehmen droht eine Geldstrafe von mehreren Hunderte Millionen Euro für eine größere Datenschutzverletzung bei seinen Kundendaten.

Die Verordnung betrifft jedes Unternehmen, das mit Daten von Einzelpersonen in Europa umgeht, so dass auch die meisten globalen Unternehmen davon betroffen sind. Während viele Vorstände und Geschäftsführer den Datenschutz ernst nehmen und strenge Maßnahmen zur Einhaltung der Vorschriften eingeführt haben, überlassen es zu viele noch dem Zufall oder üben keine angemessene Aufsicht aus.

Die Regulierungsbehörden werden eher mit Unternehmen nachsichtig sein, die nachweisen können, dass sie alle Anstrengungen unternommen haben, um die DSGVO einzuhalten, selbst wenn sie einen Verstoß erleiden, vermutet Palo Alto Networks. Allerdings könnten diejenigen, von denen man annimmt, dass sie dem Datenschutz nur wenig Aufmerksamkeit gewidmet haben, schwer bestraft werden.

Von Haus aus integrierter Datenschutz ist der beste Ansatz

Was Vorstände tun können um die persönlichen Daten im Unternehmen zu schützen und sicherzustellen, dass die DSGVO eingehalten wir: Vor allem verlangen die Regeln, dass Unternehmen „Privacy by Design“ umsetzen. Das bedeutet, dass Datenschutz und Datensicherheit von Anfang an in die technologische Infrastruktur der Unternehmen eingebaut werden müssen, anstatt sie später als nachträglichen Aspekt hinzuzufügen.

Folgeabschätzungen für jede Aktivität und jedes Projekt nötig

Für jede Aktivität oder jedes Projekt muss eine Folgenabschätzung durchgeführt werden, um die Auswirkungen auf die persönlichen Daten zu prüfen. Wenn möglich, sollten die Unternehmen eine Pseudonymisierung in Betracht ziehen, die das Risiko für personenbezogene Daten verringert. Unternehmen sollten nur die Daten verarbeiten, die zur Erreichung ihrer legitimen Geschäftsziele notwendig sind, und dürfen Daten nur so lange speichern, wie es für solche legitimen Zwecke erforderlich ist.

Die Datenhygiene sollte ebenso Teil der Unternehmens-DNA sein wie die Lebensmittelhygiene in einem Restaurant. Um den Datenschutz zu erreichen, muss der Vorstand sicherstellen, dass das Unternehmen eine vollständige Transparenz aller Daten, die es besitzt, hat und über klare Richtlinien für den Umgang mit den Daten verfügt.

Ein Unternehmen muss immer wissen, wo persönliche Daten gespeichert sind, welche Mitarbeiter und Dritte Zugang zu ihnen haben und wie sie verwendet werden. Es muss eine klare Unterscheidung zwischen persönlichen und nichtpersönlichen Daten getroffen werden. Das System sollte sicherstellen, dass die Daten nicht unbefugt zugänglich sind und nicht für Zwecke verwendet werden können, die den betroffenen Personen nicht bekannt sind.

Wichtige Fragen müssen geklärt werden

Um sicherzustellen, dass „Privacy by Design“ in die Geschäftsprozesse eingebettet ist, müssen die Vorstände der Unternehmen regelmäßige Aktualisierungen von den Mitarbeitern anfordern, die für die Umsetzung der DSGVO verantwortlich sind. Dies kann der Datenschutzbeauftragte, der Chief Data Officer, der Chief Risk Officer oder der Chief Information Security Officer sein.

Zu den Fragen, die geklärt werden müssen, gehören nach Meinung von Palo Alto Networks:

  • Wer ist für den Datenschutz in unserem Unternehmen verantwortlich?
  • Wie ist der Stand der Einhaltung des Datenschutzes bei uns?
  • Haben wir die richtigen Prozesse eingeführt?
  • Wie sieht unsere Politik zur Datenverarbeitung aus? Wie gut ist sie entwickelt?
  • Ist bekannt, wo sich alle persönlichen Daten in unseren Systemen befinden?
  • Sind die Daten sicher, auch was die Anbieter betrifft?
  • Wie stellen wir sicher, dass die Datenverarbeitung mit DSGVO und anderen anwendbaren Gesetzen übereinstimmt?
  • Wie hoch ist die Wahrscheinlichkeit einer Datenschutzverletzung?
  • Wie schwerwiegend könnte sie sein?
  • Sind wir bereit zu reagieren, wenn der Ernstfall eintritt?
  • Was sind die konkreten Schritte, die wir unternehmen können, um diese Risiken zu mindern?

Wie bei jeder Risikofrage müssen die Vorstände die Kosten für die Einhaltung der DSGVO gegen die möglichen Verluste durch Bußgelder und den Betriebs- und Reputationsschaden, der durch eine Datenverletzung verursacht wird, abwägen.

Compliance ist nicht billig. Dazu gehört die Bezahlung von Fachpersonal für die Überwachung des Datenschutzes, vielleicht auch die Investition in Technologie, die alle Daten des Unternehmens abbildet und anzeigt. Der Datenschutzbeauftragte kann dann zentral einsehen, wo sich welche Daten befinden, und Risiken und Schutzmaßnahmen für wichtige persönliche Daten identifizieren.

Die Kosten für den Datenschutz

Es stellt isch also die Frage wieviel ein Unternehmen in den Datenschutz investieren sollte Das hängt davon ab, wie das Unternehmen persönliche Daten verwendet und welchen Risiken sie ausgesetzt sind. CISOs sollten in der Lage sein, die Risiken einer Datenschutzverletzung und die voraussichtlichen Kosten zu beurteilen. Sie können dies tun, indem sie eine Risikobeurteilung durchführen und Bewertungen vergeben, zum Beispiel zwischen eins und fünf.

Besteht beispielsweise ein hohes Risiko einer Verletzung, weil die Daten weit verbreitet sind und die Aufmerksamkeit von Hackern auf sich ziehen oder von Mitarbeitern missbraucht werden können, kann die Risikobewertung eine Fünf sein. Dann sollte dem potenziellen Schaden, den eine Verletzung verursachen könnte, eine andere Bewertung zugewiesen werden.

Im Falle eines Unternehmens, das mit den Kreditkartendaten seiner Kunden umgeht, könnte er hoch sein – zum Beispiel eine Vier. Durch Multiplikation dieser beiden Zahlen würde der Risiko-Score 20 betragen. Dies ist ein hohes Risiko, so dass das Unternehmen stark in das Personal, die Instrumente und die Folgenabschätzungen investieren sollte, die zum Schutz dieser persönlichen Daten erforderlich sind.

Investitionen in Datenschutz dienen auch der Cybersicherheit

Ein großer Vorteil einer solchen Investition besteht darin, dass sie sich nahtlos in einen effektiven Ansatz für die Cybersicherheit einfügt. Unternehmen, die die Cybersicherheit ernst nehmen und Strategien für „Security by Design“ entwickeln, werden auch bei der Einhaltung der DSGVO erfolgreich sein.

Die Datenschutzbehörden haben ihre Muskeln spielen lassen und gezeigt, dass sie bereit sind, Unternehmen, die es versäumen, die modernsten Datenschutzrichtlinien umzusetzen, mit Strafen zu belegen. Jedes Unternehmen muss darauf achten und sicherstellen, dass seine Systeme und Prozesse der Aufgabe gewachsen sind.

Die DSGVO ist generell zu begrüßen, weil sie die Unternehmen zwingt, mit Daten sorgsam umzugehen. Die Best Practices zur Einhaltung der DSGVO sind auch die Bausteine einer glaubwürdigen Cybersicherheitsstrategie. Der Schutz der Privatsphäre und „Security by Design“ sind nach Meinung von Palo Alto Networks die Grundvoraussetzungen für die Geschäftstätigkeit im Datenzeitalter.

Weitere Informationen zum Thema:

Palo Alto Networks
General Data Protection Regulation (GDPR)

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

datensicherheit.de, 21.08.2019
Datenschutzbeauftragter: Pflicht für Kleinbetriebe umstritten

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

]]>
https://www.datensicherheit.de/dsgvo-zunehmende-geldbussen-privacy-by-design/feed 0
DSGVO brachte mehr Datenhygiene und auch Bürokratie https://www.datensicherheit.de/dsgvo-mehr-datenhygiene-buerokratie https://www.datensicherheit.de/dsgvo-mehr-datenhygiene-buerokratie#respond Mon, 20 May 2019 09:03:31 +0000 https://www.datensicherheit.de/?p=32269 Rainer Rehm blickt auf ein Jahr Datenschutzgrundverordnung zurück

[datensicherheit.de, 20.05.2019] In einem aktuellen Kommentar blickt Rainer Rehm, „DPO EMEA und CISO DACH“ bei Zscaler, auf ein Jahr Datenschutzgrundverordnung (DSGVO) zurück – seiner Ansicht nach brachte dieses Jahr durchaus einen Zuwachs an „Datenhygiene“, aber eben auch an Bürokratie.

Datenbeständen oft über mehrere verschiedene Abteilungen verstreut

Rehm: „Im ersten Jahr der europäischen Datenschutzgrundverordnung (DSGVO) kehrte in die Unternehmen eine größere Datenhygiene ein. Sie waren gezwungen, einen besseren Schutz und eine verantwortungsbewusstere Verwaltung der Daten europäischer Bürger zu gewährleisten.“
Um dies zu erreichen, mussten die Unternehmen laut Rehm den Überblick über die Vorhaltung von Datenbeständen erhalten, die oft über mehrere verschiedene Abteilungen verstreut aufbewahrt wurden. Nur auf einer einheitlichen Datenbasis – oftmals als „data dictionary“ oder „data repository“ bezeichnet – habe festgestellt werden können, „ob die Erlaubnis zur Verwendung der personenbezogenen Daten tatsächlich vorliegt“.

Zuweilen überreagiert und große Datenbestände gelöscht

In vielen Fällen hätten Firmen „überreagiert und große Datenbestände gelöscht“, die nicht dem Anspruch der „Double Opt-In“-Zustimmung entsprochen hätten. „Allzu oft geschah dies aufgrund mangelnder Kenntnisse über den richtigen Umgang mit den Datensätzen“, so Rehm.
Zahlreiche Initiativen zur Einholung der Zustimmung seien zudem erst in letzter Minute gestartet worden. In den meisten Fällen habe das jedoch nicht die gewünschte Wirkung nach sich gezogen und in der Folge zu einer „erheblichen Verkleinerung der Datenbanken“ geführt.

Digitale Assets kontrollieren und schützen

„Darüber hinaus mussten Unternehmen neue Technologien einführen, um digitale Assets kontrollieren und schützen zu können, sowie die oftmals zusammenhanglosen Vorgehensweisen zwischen den Abteilungen in Einklang zu bringen. Daraus abteilungsübergreifend Erkenntnisse abzuleiten, ist für die Aktualisierung des Sicherheitsstatus einer Organisation zwingend notwendig“, unterstreicht Rehm.
Die eingeführten Prozesse zur effektiveren Verwaltung der Daten hätten im ersten Jahr der Grundverordnung zu einem besseren Verständnis in Unternehmen geführt, „wo personenbezogene Daten eigentlich vorgehalten werden und wer darauf Zugang hat“. Die Mitarbeiter seien durch die Erklärungen und Kampagnen besser über die mit der Datenverarbeitung notwendigen Schutzziele und Maßnahmen vertraut gemacht worden, so dass davon ausgegangen werden könne, das zukünftige Datenerhebungen bereits mit „Privacy by Default“ erfolgen würden. „Diese getroffenen Maßnahmen bilden nun die Voraussetzung, um im Falle eines Datenverlustes die gesetzlichen Meldepflichten erfüllen zu können, sorgte aber gleichzeitig für Ordnung“, betont Rehm.

Dokumentationspflicht: Weder Standardisierung der Arbeitsschritte noch einheitliche Vorlagen

Während die DSGVO somit zu einer höheren „Datenhygiene“ geführt habe, „steigerte sich damit einhergehend die Bürokratie“. Um Compliance nachweisen zu können, seien eine Vielzahl von Vorlagen und Formularen erforderlich, die den Verantwortlichen dabei helfen sollten, den Überblick über die implementierten Prozesse zu belegen. Rehm erinnert: „Dokumente für das Datenmanagement und die Datenverarbeitung der gesamten Lieferkette erforderten vor der Umsetzung der Verordnung unzählige Interaktionen zwischen allen beteiligten Parteien und zogen haufenweise Papierstapel nach sich.“
Bisher gebe es noch keine Standardisierung dieser Arbeitsschritte der Dokumentationspflicht oder gar einheitliche Vorlagen. Die möglichen Zertifizierungen auf der Grundlage des Artikels 42 der DSGVO aber würden in der Folge wohl einen freiwilligen Gang zur Vereinfachung des Nachweises auslösen.

Rainer Rehm, Data Privacy Officer EMEA, Zscaler

Foto: Zscaler

Rainer Rehm: Mögliche Zertifizierungen auf Grundlage des Artikels 42 DSGVO werden wohl zur Vereinfachung des Compliance-Nachweises führen.

DSGVO: Noch zu viel Raum für Interpretationen

Trotz aller Bemühungen bleibe die Unsicherheit jedoch aufgrund der Komplexität bestehen, „ob Unternehmen sich nun konform zur Datenschutzrichtlinie verhalten oder nicht“. Die DSGVO in ihrer anfänglichen Fassung lasse „nämlich noch zu viel Raum für Interpretationen“.
Die ersten, verhängten Bußgelder durch die CNIL in Frankreich und das ICO im Vereinigten Königreich gegen Internet-Giganten wie Google und Facebook zeigten indes, dass der Datenschutz inzwischen aber von Kontrollgremien ernstgenommen werde – „besonders, wenn Unternehmen die Regeln zur geforderten Transparenz für den Anwender nicht einhalten“, so Rehm.

Weitere Informationen zum Thema:

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance

]]>
https://www.datensicherheit.de/dsgvo-mehr-datenhygiene-buerokratie/feed 0