Mit den folgenden 11 Tipps sollte eine optimale Umsetzung gelingen.
Rechtlich gesehen ist es klar, wer für die Umsetzung der DSGVO verantwortlich ist. Im Datenschutz ist die Geschäftsführung die verantwortliche Stelle, bestimmte Aufgaben liegen bei dem Datenschutzbeauftragten, sofern ein solcher benannt werden muss. Wann das der Fall ist und was ein Datenschutzbeauftragter zu tun hat, regelt das Gesetz.
Trotzdem wird in vielen Unternehmen die Verantwortung hin und her geschoben. Das muss sich ändern, denn ohne verantwortliche Personen bricht der Countdown zur DSGVO ab, bevor er begonnen hat. Eine Umfrage von Veritas beleuchtet das Problem: 32 Prozent sehen den Chief Information Officer in der Verantwortung für die DSGVO. 21 Prozent gaben den Chief Information Security Officer an, 14 Prozent setzten den Haken beim Chief Executive Officer, und rund zehn Prozent sind der Meinung, die Verantwortung liege in den Händen vom Chief Data Officer. Ganz gleich, welche Rollen es im Unternehmen gibt oder nicht, die Zuständigkeit für die weitere Umsetzung der DSGVO muss geklärt sein.
Es wird so viel über die Datenschutz-Grundverordnung (DSGVO / GDPR) berichtet, dass man annehmen sollte, dass es inzwischen ausreichend Awareness dafür gibt. Laut der IDC-Studie „Mobile Security in Deutschland 2017“ bereiten sich 74 Prozent der IT-Entscheider auf die Umsetzung der DSGVO vor, bei nur fünf Prozent der IT-Entscheidern ist das Thema noch nicht präsent. Die Frage ist aber, wie weit und wie umfassend diese Vorbereitung der IT-Entscheider aussieht.
Eine Studie des Marktforschers Morar für Palo Alto Networks zum Beispiel ergab: Etwa die Hälfte der IT-Experten (47 Prozent) geht von schwierigen Gesprächen mit der Geschäftsleitung über die neuen Meldepflichten bei Sicherheitsvorfällen aus. Diese Meldepflichten sind aber nichts, über das man diskutieren kann, sie sind umzusetzen, auch wenn dies schwierig ist. Deshalb muss nun umgehend die Geschäftsleitung umfassend über alle Forderungen der DSGVO und die möglichen Sanktionen bei fehlender Umsetzung informiert werden.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Wenn also die IDC-Umfrage „The State of the Art Paradox“ ergab, dass die Pflicht zur Meldung von Datensicherheitsverletzungen den europäischen Unternehmen Kopfschmerzen bereitet und 48 Prozent der Befragten den Kostenfaktor als Grund dafür nennen, ist es höchste Zeit, das Budget für Datenschutz und Datensicherheit auf einen festen Grund zu stellen, bei Bedarf anzupassen und zu erhöhen.
Es fehlt immer noch an Transparenz: Viele Unternehmen haben sich auf die Großbaustellen wie die Meldepflichten gestürzt, ohne jedoch genau zu wissen, wo überall Datenpannen drohen können. Die Unternehmen kennen ihre IT-Infrastruktur nicht genau genug, bei der Datenhaltung sieht es nicht besser aus. Probleme bereiten nicht nur Entwicklungen wie BYOD (Bring Your Own Device) und die sogenannte Schatten-IT. Selbst die klassische IT-Struktur der Unternehmen ist inzwischen so komplex, dass die Übersicht fehlt.
Die Ist-Analyse beginnt aber mit der IT- und Daten-Struktur. Der Global Databerg Report von Veritas zeigt jedoch, dass es hier bei vielen Unternehmen Unklarheiten gibt: Die größten Herausforderungen im Rahmen von DSGVO sind die Fragmentierung von Daten und der fehlende Einblick in die Daten. Diese Probleme gaben rund 35 Prozent der Befragten als ihre größte Sorge an.
Das Löschen von Daten war für viele Unternehmen schon immer ein Problem. Die erweiterten Löschpflichten durch das neue Recht auf Vergessenwerden machen dieses Problem noch größer: 69 Prozent der deutschen Unternehmen glauben laut einer Compuware-Umfrage, in der Lage zu sein, alle Daten effizient zu löschen, falls die betroffene Person dies gemäß dem „EU-Recht auf Vergessenwerden“ wünscht. Gleichzeitig sagen 76 Prozent der deutschen Unternehmen, dass die Komplexität moderner IT-Services dazu führt, dass sie nicht immer wissen, wo sich ihre Kundendaten genau befinden. Offensichtlich müssen viele Unternehmen ihre Löschkonzepte nochmals genau angehen.
Zu den Rechten der Betroffenen, also den Inhabern der jeweiligen personenbezogenen Daten, gehört auch das Recht auf Datenübertragbarkeit von einem Anbieter auf einen anderen Anbieter. Abgesehen davon, dass oftmals die notwendigen Schnittstellen und gängigen, maschinenlesbaren Formate dafür noch nicht geschaffen sind, können Unternehmen kaum alle notwendigen Daten eines Betroffenen übertragen, wenn gar nicht klar ist, wo die Daten genau sind. Erneut wird deutlich, dass die Unternehmen nicht ausreichend vorbereitet sind, um zum Beispiel die Betroffenenrechte nach DSGVO auch umsetzen zu können.
Zu den Forderungen an die Sicherheit der Verarbeitung nach DSGVO gehört auch die Belastbarkeit der IT. Diese für den Datenschutz bisher nicht explizit aufgestellte Forderung muss in vielen Unternehmen noch deutlich besser angegangen werden. 40 Prozent der deutschen Organisationen geben an, dass ihre Widerstandskraft gegen Cyber-Angriffe in den vergangenen zwölf Monaten nicht gewachsen ist, so der zweite Ponemon Cyber Resilient Enterprise-Report. Die Widerstandskraft der IT muss also dringend auf die Agenda der nächsten Monate.
Eine weitere Forderung an die Sicherheit der Verarbeitung, die die DSGVO explizit nennt, ist die Verschlüsselung. Hier haben Unternehmen bekanntlich seit vielen Jahren Umsetzungsprobleme. Mit der DSGVO gibt es sehr gute Gründe, die Verschlüsselung nun wirklich anzugehen. Unter anderem gilt: Wurden die Daten verschlüsselt, müssen betroffene Personen im Falle einer Datenschutzverletzung nicht benachrichtigen werden (Artikel 34 DSGVO: Die Benachrichtigung der betroffenen Person ist nicht erforderlich, wenn die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung).
Auch wenn vielen Unternehmen das Thema Dokumentation lästig erscheint, müssen Datenschutzmaßnahmen nicht nur umgesetzt, sondern auch die Umsetzung und deren Kontrolle dokumentiert sein. Solche Dokumentationen möchten die Aufsichtsbehörden sehen, wenn es zu einer Prüfung kommt. Insbesondere müssen solche Dokumentationen verfügbar sein, wenn es zu einer Datenschutzverletzung gekommen ist.
Die Aufsichtsbehörden für den Datenschutz werden gedanklich meist mit Kontrollen und Bußgeldern in Verbindung gebracht. Natürlich hat dies mit ihren Aufgaben zu tun. Unternehmen sollten jedoch die Aufsichtsbehörden auch als Beratung und Unterstützung ansehen. Immerhin kämpfen auch die Aufsichtsbehörden mit den Vorbereitungen auf die DSGVO und kennen die Herausforderung. Das bedeutet jedoch nicht, dass man von einer Schonfrist ausgehen kann. Die Anwendung der DSGVO muss ab dem 25. Mai 2018 erfolgen.
Wenn der Countdown abgelaufen ist und hoffentlich alle Lücken geschlossen sind, geht es weiter (oder erst richtig los). Wie in Management-Systemen gefordert, sieht auch die DSGVO einen Prozess der regelmäßigen Überprüfung und Anpassung vor. So gehört zum Beispiel zur Sicherheit der Verarbeitung ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit. Entsprechende Prozesse muss es für alle Abläufe und Aufgaben im Datenschutz geben. Der Countdown beendet also nicht die Bemühungen, er ist vielmehr die Grundlage für den richtigen Start in die DSGVO.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…