- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Bedeutung der EU-Datenschutzverordnung


Bereit für die neue EU-Datenschutzverordnung? - Check-Liste hilft bei der Vorbereitung
Aufgrund der mit der Verordnung verbundenen Implikationen und der hohen Bußgeldern bei Verstößen sollten Unternehmen die EU-DSGVO zur Chefsache machen

- Anzeigen -





Der Countdown läuft. Am 25. Mai 2018, also in weniger als einem Jahr, tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese vereinheitlicht den Umgang mit Daten EU-weit und gilt für alle Firmen, die personenbezogene Daten von EU-Bürgern speichern, übertragen oder verarbeiten. Die neue Verordnung regelt den Datenschutz erheblich strenger als bisher in den meisten EU-Mitgliedsstaaten: Der Anwendungsbereich wird sich beispielsweise nicht mehr auf das Gebiet der EU beschränken, sondern auch Niederlassungen von EU-Firmen weltweit sowie Nicht-EU-Firmen umfassen, die EU-Bürgern Waren und Dienstleistungen anbieten. Strenger ist die DSGVO auch bei den Meldepflichten von Datenschutzverletzungen an die Aufsichtsbehörde und vor allem bei den Bußgeldern und strafrechtlichen Sanktionen bei Verstößen. Diese wurden drastisch erhöht und auf dem Spiel stehen Bußgelder in Höhe von 4 Prozent des weltweiten Umsatzes eines Unternehmens.

Grund genug also für alle Verantwortlichen, sich eingehend mit der Thematik zu beschäftigen und zu prüfen, ob sie für den 25. Mai 2018 vorbereitet sind. Dazu gibt Daniel Wolf, Regional Director DACH bei der Cloud-Security-Anbieterin Skyhigh Networks den Unternehmen eine Checkliste mit zehn Fragen an die Hand.

1. Ist sich die Führungsebene über die Bedeutung der EU-Datenschutzverordnung im Klaren?
Aufgrund der mit der Verordnung verbundenen Implikationen und der hohen Bußgeldern bei Verstößen sollten Unternehmen die EU-DSGVO zur Chefsache machen.

2. Wissen Sie, wo in Ihren Unternehmen sich überall personenbezogene Daten befinden?
Die Verordnung bezieht sich sowohl auf existierende Daten sowie auf solche, die nach Inkrafttreten erfasst werden. Wo im Unternehmen befinden sich personenbezogene Daten und in welcher Form? Welche Prozesse sind für den Datenzugriff, die sichere Speicherung, für Backup und Kontrolle etabliert?

3. Ist ein Prozess etabliert, um Daten-Anfragen einzelner Personen zu beantworten?
Laut EU-DSGVO haben Anwender, sogenannte Daten-Subjekte, das Recht, von allen Organisationen, die Daten über sie besitzen, diese in maschinenlesbarer Form anzufordern. Ist Ihr Unternehmen in der Lage, aus allen Datenquellen sämtliche personenbezogenen Daten einer Einzelperson zusammenzustellen?

4. Ist ein Prozess etabliert, um Daten auf Wunsch zu löschen?
Die EU-DSGVO gewährt Daten-Subjekten das Recht auf Löschung ihrer Daten. Ist Ihr Unternehmen auf entsprechende Anfragen vorbereitet?

5. Kennen Sie die Vorschriften im Zusammenhang mit der Einwilligung zur Erfassung und Aufbewahrung?
Die Datenerfassung, die Einwilligung zum Speichern von Daten und ihrer Verwendung sowie der Zeitraum, in dem Daten aufbewahrt werden, tangiert verschiedene Bereiche des Unternehmens und der Verantwortliche muss hier alle Vorschriften kennen. Denn bei Anfragen von Regulierungsbehörden nach der Herkunft von Daten und der Einwilligung des Daten-Subjekts zur Erfassung und Aufbewahrung müssen Unternehmen auskunftsfähig sein.

6. Welche Outsourcing-Partner haben Zugriff auf personenbezogene Daten?
Die Verantwortung für den korrekten Umgang mit personenbezogenen Daten erstreckt sich auch auf so genannte Auftragsverarbeiter, also Outsourcing-Provider oder Provider eines Cloud-Dienstes. Tritt hier ein Datenverlust auf, haftet das auslagernde Unternehmen. Das heißt, der Verantwortliche im Unternehmen muss auch sicherstellen, dass Auftragsverarbeiter entsprechende Richtlinien, Verfahren und Technologien für einen sicheren Umgang mit personenbezogenen Daten etabliert haben.

7. Sind Sie in der Lage, Verstöße gegen den Datenschutz zu erkennen?
Sie wollen sicherlich nicht vom Anwender selbst oder von der Regulierungsbehörde über Fälle von Datenverlust informiert werden. Haben Sie in Ihrem Unternehmen Technologien implementiert, die Ihnen helfen, Datenschutzverletzungen zu erkennen? Können Sie im Ernstfall systematisch analysieren, wie es zu einem Datenverlust oder einer Datenveränderung kam? Sind Sie in der Lage, mit vollständigen User-Protokollen und -Identitäten Fälle von Datenschutzverletzungen zurückverfolgen, um deren volles Ausmaß und Auswirkungen für Ihr Unternehmen zu erfassen?

8. Verfolgen Sie bei der Entwicklung neuer Systeme die Prinzipien "Privacy by Design" und "Privacy by default"?
Bei der Entwicklung neuer Systeme sollte Datenschutz von Anfang an mitgedacht und in die Gesamtkonzeption einbezogen werden (Privacy by Design). Zusätzlich gilt es, datenschutzfreundliche Voreinstellungen sicherzustellen (Privacy by Default). Für die Einhaltung dieser Prinzipien hat der Verantwortliche zu sorgen.

9. Liegt in Ihrem Unternehmen für den Fall von Datenschutzverletzungen ein Kommunikationsplan vor?
Tritt in Ihrem Unternehmen ein Verstoß gegen den Datenschutz auf, müssen Sie in der Lage sein, sofort auf Fragen von Kunden oder den Medien zu reagieren. Sind Sie hier für alle möglichen Szenarien vorbereitet? Haben Sie einen fertigen Kommunikationsplan zur Hand? Wen haben Sie als Sprecher definiert? Sind Sie auch handlungsfähig, wenn Informationen über Datenschutzverletzungen außerhalb Ihrer Geschäftszeiten an die Öffentlichkeit gelangen?

10. Sind alle Prozesse und Datenbewegungen dokumentiert?
Wenn ein Datenschutzverstoß auftritt oder die Regulierungsbehörde in Ihrem Unternehmen ermittelt, benötigen Sie eine vollständige Dokumentation aller Datenbewegungen. Wie hoch im Fall der Fälle eine Geldstrafe ausfällt, hängt auch von den Prozessen, den eingesetzten Technologien für den Schutz personenbezogener Daten sowie der Dokumentation dieser Technologien und der Datenbewegungen ab.
(Skyhigh Networks: ra)

eingetragen: 23.06.17
Home & Newsletterlauf: 13.07.17


Skyhigh Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Wieder neue Masche beim CEO-Betrug

    Im letzten Dezember war es noch ein angeblicher Mitarbeiter des Bundeskanzleramts, aktuell meldet sich "Daniel Fischer" vom Auswärtigen Amt per E-Mail oder am Telefon bei deutschen Unternehmen - die Details wechseln, aber in allen Fällen handelt es sich um einen Betrugsversuch. "Daniel Fischer" bittet um ein vertrauliches Gespräch mit der Geschäftsleitung des Unternehmens. In diesem Gespräch erläutert er, dass die Bundesregierung für den Freikauf deutscher Geiseln in Mali finanzielle Unterstützung der Privatwirtschaft benötige.

  • Vier Tipps, um Hackern Tür und Tor zu öffnen

    Nach wie vor setzen viele Unternehmen und Anbieter alleine auf das traditionelle Passwort, um ihre Anwendungen zu schützen. Große Datenlecks wie das Rekord-Beispiel Yahoo haben allerdings gezeigt, dass diese Art der Absicherung längst nicht mehr zeitgemäß ist. Oft sind es die Verbraucher selbst, die Hacker durch lasche Kennwörter einladen, in ihre digitalen Konten einzudringen. Pascal Jacober, Sales Manager DACH bei Ping Identity gibt vier Empfehlungen, wie es Hackern besonders leicht gemacht wird.

  • Wie funktionieren Endpoint-Attacken?

    Bei Cyber-Attacken führen die Angreifer meistens verschiedene Schritte durch, um an ihr Ziel zu kommen. Deshalb ist es besonders wichtig, diese Schritte zu kennen. Dabei hat sich eine umfassende Verteidigungsstrategie mit überlappenden Schutzschichten als bester Ansatz für die Cybersicherheit erwiesen. Bei der Angriffskette lassen sich sieben Stufen identifizieren, über die man Klarheit haben sollte: Aufklärung, Art des Angriffs, Weg der Infizierung, Art des Schadprogramms, Installation, Command & Control und letztlich die Aktion oder Ausführung. Diese komplexe und sich teils überschneidende Standardkette ist oftmals komplizierter als nötig. Daher reicht es tatsächlich, mit einer einfacheren, endpunktspezifischen Angriffskette zu beginnen, die nur aus drei wesentlichen Schritten besteht.

  • Kluft zwischen IT-Teams und Chefetage

    "Führungskräfte müssen sich direkt mit Cloud- und Sicherheitsexperten auseinandersetzen, sonst versäumen sie es, wertvolle Ressourcen zu nutzen. Durch eine enge Zusammenarbeit über alle Ebenen hinweg lassen sich die Geschäftsergebnisse verbessern und gleichzeitig der Schutz für Anwendungen, Betriebsgüter und Kundendaten erhöhen", sagte Andreas Riepen, Vice President DACH, F5 Networks. Die Zahl der Sicherheitsverletzungen ist im Vergleich zum Vorjahr um 27 Prozent gestiegen. Gleichzeitig haben Unternehmen 2017 durchschnittlich 22 Prozent mehr für ihre Cybersicherheit ausgegeben (9,5 Millionen Euro). Das belegt eine Studie, die das Ponemon Institut im Auftrag von F5 Networks durchgeführt hat. Doch nicht immer werden diese Mehraufwände strategisch eingesetzt.

  • Shadow IT: Ein erhebliches Compliance-Risiko

    Die EU-Datenschutzgrundverordnung (DSGVO) kommt und es besteht auf Unternehmensseite noch immer akuter Handlungsbedarf. Kaseya gibt Tipps, wie Firmen mit der richtigen Technologie schneller und einfacher zum Ziel der DSGVO-Konformität kommen. Stilllegen von Devices: Verlorene oder gestohlene Geräte müssen auf jeden Fall außer Betrieb genommen werden. Das gilt auch, wenn der Mitarbeiter das Unternehmen verlässt oder das Gerät entfernt wird. Der Nutzer und seine Zugangsmöglichkeiten müssen für alle Systeme genauso sorgfältig aufgehoben werden, wie sie aufgesetzt wurden. Ganz gleich, ob es um Angestellte, Kunden, Admins oder Partner geht. Neben dem Aufheben von Nutzerrechten ist es wichtig, Daten zu beseitigen und zwar so, dass sie nicht wiederhergestellt werden können. Mit regulären Methoden lassen sich die Daten nicht sicher vernichten. Landet das Gerät dann als Spende in der nächsten Schule oder einfach auf dem Müll, droht das Unternehmen DSGVO-Vorgaben zu verletzen. Wurde ein Gerät gestohlen oder ist es verloren gegangen, muss die Firma in der Lage sein, es per Fernzugriff abzuschalten, Daten zu verschlüsseln oder es sogar zu formatieren.