COVERTHEMA
MÄRZ 2018 | NEW BUSINESS 23
Datenschutz durch Technik
Die neue Verordnung verschärft auch
die IT-Anforderungen an Unternehmen
um ein Vielfaches. Der digitale Dauerbeschuss
von Hackern auf Unternehmen
zeigt, dass eine Gesetzesänderung
in puncto Datenschutz und IT-Sicherheit
auch dringend notwendig ist. Die Frage
ist nur, entspricht Ihre IT einem angemessenen
Schutzniveau? Was genau
heißt das? Besteht eine generelle Beschreibung
der technischen und organisatorischen
Sicherheitsmaßnahmen
als Teil Ihrer Dokumentation über Verarbeitungstätigkeiten?
ESET Compliance-Check
Datenschutz nach „Stand der Technik“
und datenschutzfreundliche Voreinstellungen
stehen mehr als je zuvor ganz
oben auf der Agenda. Ziel ist es, denkbare
Datenschutzprobleme bereits bei
der Entwicklung mitzudenken und von
Anfang an in die Gesamtkonzeption zu
integrieren, wie etwa bei Routern oder
Suchmaschinen. Datenschutzfreundliche
Voreinstellungen, die sich vom Nutzer
selbst nur schwerlich ändern lassen,
sollen den Schutz personenbezogener
Informationen stärken. Beide Konzepte
sind nicht neu, erwiesen sich allerdings
in der Praxis bislang als weniger durchsetzungsfähig.
Die gute Nachricht ist, dass die DSGVO
in Artikel 32 Unternehmen bestimmte
Maßnahmen ans Herz legt, wie beispielsweise
Zwei-Faktor-Authenti zierung oder
Verschlüsselung, um Sicherheitslecks
künftig zu vermeiden und ein angemessenes
Schutzniveau nachweisen zu können.
So entfällt etwa unter Einsatz von
Verschlüsselung die Meldep icht binnen
72 Stunden an Betroffene und die Aufsichtsbehörde
sowie unter Umständen
ein Bußgeld. Denn sofern ein vermisster
oder gestohlener Laptop sicher verschlüsselt
ist, lassen sich selbst bei einem erfolgreichen
Cyberangriff Daten weder von
Kriminellen auslesen noch in irgendeiner
Weise verwerten.
Nach Abschluss des Tests zeigt Ihnen
der Status quo, wo Sie stehen. Hinzu
kommen Handlungsempfehlungen
vom Security-Spezialisten, wie Sie die
neuen An- und Herausforderungen
sicher angehen, um künftig DSGVOkonform
zu arbeiten.
DSGVO für jeden 3. Betrieb kein Thema
Einer aktuellen Studie des IT-Verbands
Bitkom zufolge haben bisher nur drei
Prozent der 500 befragten Unternehmen
mehr als die Hälfte der Vorgaben
zur Umstellung auf das neue Datenschutzrecht
erledigt. Für jedes dritte
Unternehmen war die DSGVO bis dato
gar kein Thema. Je länger die Umsetzung
vor sich hergeschoben wird,
umso mehr nehmen Unternehmen in
Kauf, bei einer Datenschutzpanne saftige
Bußgelder von bis zu vier Prozent
des Jahresumsatzes zahlen zu müssen.
Mangelnde Sicherheitsvorkehrungen
zählen zu den Klassikern an Gründen.
Zu den ersten Schritten für eine
DSGVO-konforme Zukunft gehört neben
der Evaluierung von Arbeitsabläufen,
der regelmäßigen Dokumentation
und Prüfung der georderten Verfahren
auch die Analyse der IT Systemlandschaft,
der Ausbau technischer
IT-Schutzmaßnahmen sowie die Schulung
von Mitarbeitern und Prüfung bestehender
Verträge mit Dienstleistern.
Das klingt nach hohem Aufwand und
ist sicherlich einer der Gründe, weswegen
Unternehmen die Umstellung auf
die lange Bank schieben. Die Installation
irgendeiner neuen Software oder
ein Basis-Schutz genügen bei Weitem
nicht mehr, um den künftigen Anforderungen
gerecht zu werden.
Bezahlte Anzeige • Fotos: ESET
INFO-BOX
DSGVO-Check für Unternehmen
Stellen Sie Ihren bisherigen Datenschutz auf den Prüfstand, vor allem interne Arbeits-
und Geschäftsprozesse, z.B., wer darf auf welche Daten wann und wo zugreifen?
Checken Sie Ihren IT-Bedarf durch Anforderungsanalysen und Sicherheitsaudits.
Schützen Sie Ihre IT-Infrastruktur mit Endpoint-Sicherheitslösungen für stationäre und
mobile Geräte. Beim Thema BYOD erstellen Sie zusätzliche Richtlinien.
Es empfehlen sich regelmäßige Updates und Tests von Software angesichts möglicher
Implementierungsfehler oder geänderter Einstellungen.
Rechnen Sie personelle und fi nanzielle Ressourcen ein. Dieses freie Budget ist für besondere
Projekte oder Aktivitäten vorgesehen oder dafür, Belastungsspitzen abzufedern.
Jeder, der mit Unternehmensdaten arbeitet oder auf diese zugreift, ist im Falle eines Sicherheitsvorfalls
mitverantwortlich. Managen Sie Datenschutz systematisch und verankern
Sie ihn nach dem „Privacy by Design“-Konzept in Anwendungen und Prozesse.
Holen Sie bereits vor Implementierung resp. bei der Anforderungsanalyse die Expertise
eines fachlich versierten Datenschützers ein. Auf Grundlage der gesetzlichen Anforderungen
erstellt er ein Gutachten zur Umsetzbarkeit und Bedarfsermittlung.
Setzen Sie den Datenschützer mit angemessenen Ressourcen als zentrale Figur rund um
rechtliche und organisatorische Fragen in puncto Datenschutz ein.
Ohne die Unterstützung des Mitarbeiters lässt sich Security und Datenschutz nicht vollends
umsetzen – Stichwort Schulungen und Trainings. Aber auch der Arbeitgeber sollte
das Handling für seine Mitarbeiter so einfach wie möglich gestalten und für datenschutzfreundliche
Standards sorgen.