Betrifft mich die europäische Datenschutz-Grundverordnung?

Bald tritt eine der größten Veränderungen des europäischen Datenschutzgesetzes in Kraft. Die Europäische Datenschutz-Grundverordnung sorgt für viele neue Regeln, vor allem verändert sie die Rechte der Nutzer bezüglich des Umgangs mit ihren persönlichen Daten. Nutzer sollen innerhalb von 72 Stunden benachrichtigt werden, falls ihre Rechte verletzt wurden. Viele Unternehmen wissen jedoch nicht einmal, ob sie und welche ihrer Daten durch die neuen Regeln betroffen sind. Durchschnittlich halten im Moment Unternehmen gerade einmal 40% der DSGVO-Prinzipien ein.

Die neue Verordnung tritt am 25. Mai 2018 in Kraft. Deshalb möchte Centrify informieren, was sich durch die DSGVO verändert sowie Unternehmen zum Nachdenken und Handeln anregen. Immerhin drohen Geldstrafen von bis zu vier Prozent des Jahresumsatzes bei starker Überschreitung.  Zunächst soll die Frage geklärt werden, was die neue Verordnung alles abdeckt.

Wer ist betroffen?

Die neue DSGVO deckt deutlich mehr Aspekte ab, als es die jetzige Regulierung tut – die bereits seit 1995 geltende EU-Datenschutzrichtlinie. In Zukunft werden alle Unternehmen innerhalb der Europäischen Union betroffen sein. Das umfasst Firmen, die ihren Hauptsitz oder eine Niederlassung in einem europäischen Land haben. Sollte sich ein Unternehmen nicht in der EU befinden, so gilt das neue Gesetzt dennoch, wenn es Daten europäischer Bürger verarbeitet. Wenn dies der Fall ist, müssen diese Firmen einen dafür verantwortlichen Vertreter innerhalb der EU benennen.

Die neue Regelung gilt nicht mehr nur für die Datenverantwortlichen, sondern auch für Datenverarbeiter, die im Normalfall für erstgenannte arbeiten. Das Information Commissioner’s Office (ICO) gibt hierfür ein klares Beispiel für den Unterschied: Sammelt eine lokale Behörde Daten über ihrer Bürger und speichert diese anstatt in der eigenen Cloud in der eines anderen Anbieters, so ist die örtliche Behörde der Datenverantwortliche und der Cloud-Anbieter der Datenverarbeiter.

Was umfasst der Begriff „persönliche Daten“?

Der Bereich der Daten, den die DSGVO schützt, ist größer als jemals zuvor. Persönliche Daten werden wie folgt definiert: „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen.“ Die Anzahl der Daten, welche unter die Regelung die DSGVO fallen, ist so groß, dass Firmen dringend ihr Risikomanagement stärken sollten. Alle Kundendaten, welche nicht mehr benötigt werden, sollten gelöscht und die restlichen Daten anonymisiert oder pseudonymisiert werden.

Welche Verpflichtungen haben Organisationen?

Auch wenn es nach dem 25. Mai 2018 wohl eine Übergangsphase geben wird, sollten betroffene Unternehmen die Geduld der Behörden nicht zu lange auf die Probe stellen. Wahrscheinlich wird es einige öffentliche Prozesse geben, die zeigen sollen, dass es den Behörden ernst ist. Heißt im Klartext: Unternehmen müssen die Auflagen erfüllen oder Geldstrafen hinnehmen.

Wie bereits erwähnt, umfasst das Gesetz viele Bereiche. Ein Punkt sticht jedoch besonders ins Auge: Bei einer Datenschutzverletzung muss der Betroffene innerhalb von 72 Stunden informiert werden. Das bedeutet, dass Unternehmen eine bessere Sichtbarkeit der Vorgänge in ihren Systemen schaffen müssen, um Einbrüche frühzeitig erkennen und von vornherein verhindern zu können. Letztendlich möchte kein Unternehmen der schlechten Publicity, den Geldstrafen und dem Reputationsverlust ausgesetzt sein, nur weil eine Sicherheitslücke zu spät erkannt wurde.

Wie können die Auflagen erfüllt werden?

Die DSGVO nennt keine konkreten Lösungsvorschläge, wie man das Risiko eine Data Breaches minimiert. Vielmehr wurde das Gesetz wahrscheinlich bewusst so formuliert, dass es auch in Zukunft umsetzbar ist, wenn neue Technologien auftauchen. So wird darauf hingearbeitet, dass Unternehmen nicht einfach Punkte auf ihrer Compliance-Checkliste abhaken, sondern sich stets mit Technologien auf dem neusten Stand absichern.

Daten sollen so gesichert sein, dass die Sicherheit der personenbezogenen Daten durch „geeignete technische und organisatorische Maßnahmen“ sichergestellt wird. Dabei wird zudem der „Stand […] der Technik [und die] Implementierungskosten“ berücksichtigt. Wichtigste Elemente der Sicherheitsstrategie wird somit sein, über die neueste Technologie zu verfügen und Security Best Practices einzuführen. So wenden Unternehmen einen Data Breach ab oder halten zumindest die Folgeschäden und Geldstrafen für Nachlässigkeiten so gering wie möglich.

Viele Data Breaches sind leider möglich, weil Organisationen auf passwortbasierte Authentifizierungssysteme vertrauen. Schlechtes Passwortmanagement erleichtert es den Angreifern, sich Zugriff auf privilegierte Firmen-Accounts zu beschaffen. Dadurch erhalten sie Zugriff auf die sensibelsten Daten eines Unternehmens.

Aus diesem Grund empfiehlt Centrify stets die Implementierung einer risikobasierten Multifaktor-Authentifizierung (MFA). Diese entscheidet, ob ein Login-Versuch vertrauenswürdig ist und verlangt, wenn nötig, weitere Informationen vom Anwender. Kombinieren Organisationen dies mit einem Least-Privilege-Ansatz – Mitarbeiter haben also nur Zugriff auf die Daten, welche sie zwingend für ihre Arbeit benötigen – und die meisten Forderungen der DSGVO sind bereits erfüllt.