papalapapp - Fotolia

EU-Datenschutzverordnung: Darauf müssen Unternehmen achten

Die neuen EU-Regelungen in Sachen Datenschutz definieren einen Standard für den Umgang mit persönlichen Daten. Was müssen Unternehmen dabei beachten?

Nachdem die General Data Protection Regulation (GDPR) beziehungsweise EU-Datenschutzverordnung verabschiedet wurde, profitieren Bürger der Europäischen Union (EU) künftig von einem einheitlichen Schutzniveau. Sie sind mehr denn je vor der Speicherung und Weitergabe von Daten durch international operierende Unternehmen geschützt. Aber was müssen diese Unternehmen beachten, um auch zukünftig compliant zu sein?

Die GDPR tritt am 25. Mai 2018 in Kraft. Sie definiert einen Mindeststandard für den Umgang, die Sicherung und Weitergabe von persönlichen Daten von Bürgern der EU. Weniger als zwei Jahre haben Unternehmen jetzt noch Zeit, um gesetzeskonforme Veränderungen von Prozessen und Technologien auf den Weg zu bringen.

Welche Veränderungen bringt GDPR mit sich?

Die GDPR wird die Datenschutzbestimmungen in der EU vereinheitlichen und ersetzt die bestehenden nationalen Datenschutzgesetze. Obwohl die Standards in den meisten EU-Ländern deutlich strenger sein werden und Organisationen eine Vielzahl an neuen Datenschutzmaßnahmen implementieren müssen, kann diese Vereinheitlichung die Geschäftsprozesse deutlich vereinfachen. Aktuell existieren 28 verschiedene Datenschutzregelungen, die internationale Unternehmen beachten müssen. Die GDPR wird dies wesentlich vereinfachen, auch wenn jedes Land der Europäischen Union weiterhin nationale Gesetze neben der EU-Gesetzgebung etablieren kann.

Die wichtigsten neuen Regelungen sind bestimmte Meldepflichten und das „Recht auf Vergessenwerden“ – bei dem ein Unternehmen verpflichtet werden kann, unter Umständen persönliche Daten innerhalb einer Frist löschen zu müssen, wenn ein User dies fordert.

Die Meldepflichten besagen unter anderem, dass von Datenschutzverletzung betroffene Personen unverzüglich darüber informiert werden müssen, wenn ihre persönlichen Daten in falsche Hände gelangt sind und dies eine ernsthafte Bedrohung ihrer Rechte und Freiheiten darstellt. Besonders relevant für die Adaption der GDPR könnte vor allem für international agierende Konzerne sein, dass bei schweren Verstößen gegen die Verordnung, Geldbußen in Höhe von 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro drohen.

Laut einer Umfrage von Ovum schätzen 70 Prozent aller Unternehmen, dass sich ihre Ausgaben erhöhen werden, um den Datenschutz und die Souveränität einzuhalten. Ein wesentlicher Treiber hierfür ist, dass Unternehmen, denen nach der zweijährigen Übergangszeit Versäumnisse nachgewiesen werden, mit erheblichen Konsequenzen rechnen müssen, einschließlich regelmäßiger Datenschutzaudits.

Was müssen Unternehmen tun, um konform zu sein?

Um die neuen Datenschutzbestimmungen einzuhalten, müssen Organisationen „State-of-the-Art“-Technologien und organisatorische Verfahren einsetzen. Dabei sollten sie versuchen, flexible Architekturen aufzubauen, die in der Lage sind, neue und sich künftig entwickelnde Technologien zu nutzen.

Unter Berücksichtigung des schnellen Wachstums von verschlüsselten Netzwerken und eines höheren Internetverkehrs, wird von Technologien wie der SSL-Verschlüsselung erwartet, dass sie alle Anforderungen erfüllen und sensible Daten schützen. Allerdings sollten Unternehmen trotz SSL-Verschlüsselung wachsam gegenüber Cyberkriminellen bleiben, die ihre Angriffe hinter scheinbar harmlos verschlüsseltem Datenverkehr verstecken. Leider sind die meisten Sicherheits-Tools in Unternehmen nicht in der Lage, verschlüsselte Daten auf Malware zu scannen oder die Anzeichen von verschlüsselten Angriffen oder eine Daten-Exfiltration zu erkennen. Daher ist Verschlüsselung ein einfaches und effektives Werkzeug, um Sicherheitskontrollen zu umgehen und erfordert daher ein eigenes Management.

Diese sogenannte ETM-Technologien (Encrypted Traffic Management) versetzen Organisationen in die Lage, ausgewählte Arten von verschlüsseltem Datenverkehr zu entschlüsseln und gesondert zu prüfen, bevor dieser wieder verschlüsselt und als unbedenklich weiter transportiert werden kann.

Auch Meldungen von Datenschutzverletzungen können problematisch werden. Die GDPR verlangt, dass Unternehmen mit Datenschutzverletzungen diese innerhalb von 72 Stunden der EU-Aufsichtsbehörde melden (siehe auch DSGVO: Neue Pflichten gegenüber der Aufsichtsbehörde). Firmen sollten daher ihre aktuellen Incident-Response-Benachrichtigungen zeitnah auswerten, um sicherzustellen, dass sie einen umfassenden Überblick darüber haben, ob gegebenenfalls gerade eine Datenschutzverletzung im Gange ist. Das ist jedoch nicht so einfach, wie es klingt. Nach einer Umfrage des Ponemon Institute dauert es durchschnittlich bis zu 250 Tage, bis eine Datenschutzverletzung erkannt wird und weitere 80 Tage, um sie zu lösen. Solche Verzögerungen sind noch größer, wenn Reaktionen auf Vorfälle manuell durchgeführt werden.

Automatisierte Intelligenz ist daher wichtig, damit Unternehmen im Falle einer Datenschutzverletzung die Beteiligten identifizieren und den Behörden nachweisen können, dass ausreichende Maßnahmen zur Erkennung und Lösung durchgeführt wurden. Anwendungen wie Security Information Event Management (SIEM) und Network-Forensic-Lösungen ermöglichen es Unternehmen, automatisch alle Netzwerkdaten an einem einzigen Standort zu identifizieren und zu erfassen, wie sie beeinträchtigt wurden sowie welche Ressourcen von der Datenschutzverletzung betroffen sind und welche Daten verloren gehen.

Datenkontrolle in der Cloud

Viele Unternehmen sehen in der Cloud eine besonders eklatante Lücke für ihre Datenschutzstrategien. Da die Abhängigkeit von Cloud-Anwendungen wächst, müssen sich Unternehmen mit einer wachsenden Zahl an Fragen in Bezug auf Datenschutz, Compliance und Sicherheit beschäftigen. Im Vergleich zu lokalen Daten sind Benutzerdaten in der Cloud größeren Gefahren ausgesetzt, daher steigt auch die Gefahr von potenziellen Datenschutzverletzungen.

Nur wenige Organisationen haben die volle Transparenz und Kontrolle über ihre Daten. Dies ist alleine der Tatsache geschuldet, dass sie nicht die geeignete Infrastruktur für ihre Applikationen besitzen. Cloud-Anwendungen bieten also Vor- und Nachteile.

„Für eine bessere Data Governance ist es höchste Zeit, dass mehr Unternehmen die Herausforderungen in Bezug auf die Sicherheit ihrer Daten verstehen und lösen.“

Robert Arandjelovic, Blue Coat

xxx

CASB-Technologien (Cloud Access Security Broker) erfüllen den Datenschutz und beantworten Datenhaltungsfragen. CASB bietet Transparenz über die Verwendung von Cloud-Anwendungen und die darüber genutzten Daten. Darüber hinaus ermöglicht dies eine Kontrolle darüber, wer Apps nutzen kann, die Erkennung bestimmter Datentypen und die Steuerung, wer über welche Anwendungen welche Daten austauschen darf.

Eine Technologie, die Unternehmen bei der Datenhaltung unterstützt, ist Tokenization. Sie ermöglicht eine sichere Nutzung von Cloud-Applikationen, da sensible Daten mit sicheren „Token“ unterstützt werden, wenn sie das Unternehmensnetzwerk verlassen und im Internet auf Cloud-Application-Servern abgelegt werden. So verlassen diese Daten niemals das Unternehmen. Dadurch können die Anforderungen der GDPR sowie lokaler Regelungen erfüllt werden. Auch die Vorschriften des Safe Harbour Agreement und Privacy Shield hinsichtlich der Datenhaltung lassen sich damit einhalten. Zudem sind die Benutzerdaten ausreichend für den Fall geschützt, dass eine Datenschutzverletzung auftritt.

Fazit

Unternehmen sollten nicht zögern und sich der Bedeutung des Datenschutzes sowie der Konsequenzen bei Nichteinhaltung der GDPR ab der Gültigkeit im Jahr 2018 bewusst sein. Ob mit oder ohne GDPR – für eine bessere Data Governance ist es höchste Zeit, dass mehr Unternehmen die Herausforderungen in Bezug auf die Sicherheit ihrer Daten in einer sich rasant entwickelnden Cloud-Welt verstehen und lösen.

Über den Autor:
Robert Arandjelovic ist Director of Security Strategy bei Blue Coat, ein Unternehmen von Symantec.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Datenschutz-Grundverordnung: Die meisten Cloud-Apps sind nicht bereit.

EU-Datenschutz-Grundverordnung– Checklisten müssen überarbeitet werden.

Datenschutz-Grundverordnung: Worauf bei der Cloud-Migration zu achten ist.

EU-Datenschutzverordnung: Deutsche Unternehmen sind schlecht vorbereitet.

 

 

 

Erfahren Sie mehr über Datenschutz und Compliance

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close