Aktuelles, Branche - geschrieben von dp am Samstag, April 2, 2016 15:01 - noch keine Kommentare
Unternehmen fit für neue EU-Datenschutzgrundverordnung machen
Betriebe jeder Größe, die Daten sammeln, speichern und verarbeiten, betroffen
[datensicherheit.de, 02.04.2016] Im Frühjahr 2018 sollen die neuen europäischen Datenschutzbestimmungen EU-DSGVO (General Data Protection Regulation – GDPR) in Kraft treten. Für Unternehmen jeder Größe, die Daten sammeln, speichern und verarbeiten, wird dies eine höhere Verantwortung für die Datensicherheit und umfangreichere Rechenschaftspflichten mit sich bringen. Bei Verstößen drohten massive Bußgelder von bis zu 20 Million Euro oder vier Prozent des jeweiligen Jahresumsatzes.
Relevanz der neuen Vorschriften schon jetzt prüfen
Laut einer aktuellen Stellungnahme von SECUDE zum Thema hätten Unternehmen nur zwei Jahre Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von Kundendaten sicherzustellen.
Der erste und wichtigste Schritt für alle Unternehmen sei es, zu prüfen, „in welchen Systemen sie die von der Gesetzgebung betroffenen Daten vorhalten“, erklärt Volker Kyra, „Vice President Sales EMEA“ von SECUDE.
Im zweiten Schritt sollte geprüft werden, „ob das Unternehmen verlässlich nachvollziehen und nachweisen kann, was mit diesen Daten gemacht wird, wenn sie beispielsweise das System verlassen“.
Bestrafung nicht ordnungsgemäßer Dokumentation
Das Stufensystem der neuen Gesetzgebung sehe bereits Strafen von bis zu zwei Prozent des weltweit erwirtschafteten Jahresumsatzes vor, wenn Verarbeitungsvorgänge nicht ordnungsgemäß dokumentiert würden (Artikel 28). Bei einer Verletzung der Datensicherheit seien Unternehmen verpflichtet, innerhalb von 72 Stunden die Behörden zu informieren (Artikel 31).
Nach der Definition der neuen Gesetzgebung handele es sich auch um eine Datenschutzverletzung, wenn ein Mitarbeiter Einblick in Daten habe, die er für seine Tätigkeit nicht benötige. Zudem müssten Unternehmen dafür Sorge tragen, dass Mitarbeiter erkennen könnten, wann sie mit der Datenverarbeitung gegen Gesetze verstießen oder unberechtigt Daten verarbeiteten.
Relevanz für ERP-Systeme wie SAP
Im Kontext immer komplexerer, dezentraler IT-Umgebungen ist es für Unternehmen eine große Herausforderung, nachzuvollziehen, welche Daten in welchen Systemen vorgehalten und über welche Kanäle sie eventuell geteilt werden. Personenbezogene Daten sind besonders häufig in ERP-Systemen zu finden.
Innerhalb dieser regulierten IT-Umgebung sei es relativ einfach, die Vorgaben für die neuen Datenschutzrichtlinien umzusetzen, wenn diese über Berechtigungsstrukturen und Audit-Logs verfügten. Doch sobald diese Daten aus dem System exportiert würden, griffen die SAP-Berichtigungsstrukturen nicht mehr und es könne auch nicht nachvollzogen werden, was anschließend mit den Daten passiert. In den meisten Unternehmen erfolgten diese Datenexporte aber täglich, ohne dass sich die Mitarbeiter über mögliche Konsequenzen in Klaren seien, warnt SECUDE.
Einführung von Audit- bzw. Protokollierungslösungen
Nötig sei daher die Einführung von Audit- bzw. Protokollierungslösungen, die aufzeichnen, wer Daten einsieht, exportiert und weitergibt. Zudem empfiehlt SECUDE die Integration einer GRC-Lösung (Governance, Risk und Compliance), damit im Falle von Regelverstößen Benachrichtigungen an die Verantwortlichen gehen. Im Idealfall sollten die Datensätze jedoch bereits bei ihrer Entstehung klassifiziert werden. Sensible, von der Gesetzgebung betroffene Daten, könnten dann für ihren gesamten Lebenszyklus mit entsprechenden Regeln versehen werden. So könnten sie beispielsweise nur für die interne Nutzung oder für bestimmte Personen freigegeben werden, oder der Download spezieller Daten werde komplett gesperrt.
Zudem würden die Mitarbeiter so für das Thema sensibilisiert und auf mögliche Verstöße hingewiesen. Die Einführung eines „Rights Management-Systems“ (RMS) helfe dabei, einer Verletzung der Datensicherheit (Artikel 31) vorzubeugen und die Nutzung der Daten auch außerhalb des ERP-Systems nachzuweisen oder zu beschränken.
Datenschutzbeauftragte für die meisten Unternehmen erforderlich
Die neue Gesetzgebung sehe ebenfalls vor, dass die meisten Unternehmen einen Datenschutzbeauftragten ausweisen müssten (Artikel 35). Für die Verantwortlichen sei nun der ideale Zeitpunkt, die interne Situation zu überprüfen, geeignete Maßnahmen für die Sondierung und Sicherung der Daten einzuleiten und Lösungsangebote gründlich zu prüfen, resümiert Kyra.
Aktuelles, Experten - Jan. 24, 2025 1:00 - noch keine Kommentare
Stargate: KI-Initiative in den USA setzt Europa unter Zugzwang
weitere Beiträge in Experten
- Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt
- Auskunftsrecht: EDSA hat Bericht zur koordinierten Prüfaktion CEF 2024 publiziert
- Bundestagswahl 2025: Politische Parteien dürfen Adressen zweckgebunden für Wahlwerbung nutzen
- Pseudonymisierung: Europäischer Datenschutzausschuss hat Leitlinien beschlossen
- Rat der Verbraucherzentrale zur ePA: Entweder aktive Pflege oder grundsätzlicher Widerspruch
Aktuelles, Branche, Studien - Jan. 23, 2025 0:48 - noch keine Kommentare
Cyber-Versicherungen: Neuer KnowBe4-Bericht zeigt dringenden Bedarf angesichts eskalierender digitaler Bedrohungen auf
weitere Beiträge in Branche
- Der Europäische Datenschutztag am 28. Januar soll Bürger sensibilisieren, die eigenen Daten besser zu schützen
- Gamer geraten ins Phishing-Fadenkreuz
- DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen
- NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber
- Warnung vor neuer Phishing-Angriffskampagne über Reisebüro-Konten
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren