Originalbeitrag von Renaud Bidou

Der Countdown für das Inkrafttreten der DSGVO hat begonnen und Unternehmen müssen sich darauf vorbereiten. Denn die neue Verordnung zum Schutz personenbezogener Daten wird die Art und Weise revolutionieren, wie Unternehmen die persönlichen Daten ihrer Kunden und Mitarbeiter erfassen, speichern, verarbeiten und austauschen. Dieser neue Ansatz bei der Datenverarbeitung wird in den Unternehmen eine hierfür geeignete interne Organisation und Maßnahmen erforderlich machen, um den gesetzlich vorgeschriebenen Richtlinien gerecht zu werden.

Erfordert die DSGVO ein riesiges Projekt? Das hängt vom Unternehmen und dessen Nutzung der in seinem Besitz befindlichen personenbezogenen Daten ab, doch auf alle Fälle handelt es sich um einen obligatorischen Übergang, den die Organisationen in mehreren Etappen angehen müssen, um die persönlichen Daten zu sichern.

1. Etappe: methodischer Ansatz oder Einleiten eines ersten Schritts

Zunächst muss ein Unternehmen Überlegungen anzustellen hinsichtlich schon vorhandener Strategien und deren Fähigkeit, den Leitlinien der DSGVO durch Einbeziehung aller Betroffenen des Unternehmens gerecht zu werden. Zu den Fragen gehören auch folgende: Welche Sicherheitslösungen werden „in situ“ entwickelt? Sind sie neu und werden sie regelmäßig aktualisiert? Entsprechen sie sie den Anforderungen für den Schutz vor neuen Bedrohungen gerecht? Eine vorgeschaltete Risikoanalyse macht es möglich, die potenziellen Schwachstellen des Unternehmens aufzuzeigen und die Auswirkungen auf Rechte und Freiheiten zu bestimmen, um dann die geeigneten Maßnahmen zu treffen. Da der Begriff der Verantwortung in der DSGVO sehr weit gefasst ist, ist es empfehlenswert, schon frühzeitig interne Fortbildungen der Mitarbeiter einzuleiten, um sie für die neuen Anforderungen und die aktuelle Bedrohungslandschaft zu sensibilisieren.

2. Etappe: rechtlicher Ansatz bzw. Nachweis der „Untadeligkeit“ bei den Aufsichtsbehörden

Der Verantwortliche muss im Fall der meisten Datenschutzverletzungen diese innerhalb von 72 Stunden nach Kenntnisnahme den zuständigen Aufsichtsbehörden melden. Um dem Gesetz Genüge zu tun, müssen Unternehmen einen Plan für die Meldung von Datenschutzverletzungen bereitstellen, der alle Abteilungen umfasst, um einen Angriff sehr früh zu erkennen. Darüber hinaus besagt Artikel 32, dass der Verantwortliche und der Auftragsverarbeiter im Falle eines Sicherheitsvorfalls zusätzlich zu den zuständigen Behörden die Einzelpersonen informieren müssen, wenn „die Datenschutzverletzung ein hohes Risiko für ihre Rechte und Freiheiten darstellt“, es sei denn, sie haben geeignete technische und organisatorische Maßnahmen neuerer Generation umgesetzt, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich „Pseudonymisierung“ und Verschlüsselung. Um den verschiedenen Artikeln der Verordnung zu entsprechen, wird es von Bedeutung sein, eine gründliche Sicherheit zu implementieren, die die Prävention, Aufdeckung und Betreuung neuer Bedrohungen wie Ransomware beschleunigt und die Gesamtsteuerung der Sicherheitsinfrastruktur verbessert.

3. Etappe: technologischer Ansatz oder die Entwicklung einer ganzheitlichen Verteidigungslinie

Während die Techniken zum Schutz personenbezogener Daten dem Wortlaut der Verordnung entsprechend standardmäßig implementiert sein müssen, weiß jeder, dass das „Wundermittel“ zur Abwehr jeglicher Bedrohung noch immer nicht existiert. Daher ist es wichtig, mehrere fortschrittliche Techniken zu kombinieren, um das höchste Schutzniveau zu erreichen – Anti-Malware, URL-Filterung, Verhaltensanalyse, Anwendungssteuerung, Sandbox, Signaturen usw. – und in koordinierter Weise zu arbeiten, um Prävention, Reaktion und Erkennung im Hinblick auf Bedrohungen zu optimieren. Die Umsetzung eines gründlichen Sicherheitsansatzes, der auf einem integrierten, datenzentrierten Schutz im gesamten Unternehmen, auf Verschlüsselung, virtuellem Patching und leistungsfähiger Überwachung basiert, um ständig den Sicherheitsstatus der IT-Infrastruktur zu kennen, wird dabei helfen, leistungsstarke Verteidigungsbarrieren aufzubauen und Bedrohungen schneller und genauer zu erkennen.

Die Einhaltung der DSGVO ist folglich die erste Etappe auf dem Wege zu einer besseren betrieblichen Sicherheit.