Die General Data Protection Regulation (GDPR) rückt das Thema Datenschutz in Unternehmen in einen ganz neuen Fokus. Denn sie schreibt nicht nur konkrete Meldepflichten, Prozesse zur Vorabkontrolle sowie spezifische Sprachregelungen in Lieferantenverträgen vor. Sie nimmt vielmehr jede Organisation in die Pflicht, feingranular zu prüfen, wie sie mit den personenbezogenen Daten von EU-Bürgern umgeht und „mit geeigneten organisatorischen Maßnahmen ein dem Risiko angemessenes Schutzniveau“ zu gewährleisten. Anders gesagt: GDPR will ein Bewusstsein für mögliche Risiken und gelebten Datenschutz wecken – und dabei geht sie weit über eine reine, Checkbox-gesteuerte Compliance hinaus.
Einmalige Chance für mehr IT-Sicherheit und Innovation
Was angesichts der engen gesetzlich vorgeschriebenen Fristen als Mammut-Aufgabe erscheinen mag, birgt für Unternehmen die einmalige Chance, zum ersten Mal überhaupt eine organisationsübergreifende IT-Sicherheitskultur zu schaffen. Und dafür ist es höchste Zeit, denn im Rahmen der fortschreitenden Digitalisierung werden immer mehr personenbezogene Daten vorgehalten und verarbeitet. Gleichzeitig spitzt sich die Bedrohungslage in der IT zu. Die unbekannten Risiken, die immer neue Technologien mit sich bringen, treffen auf fehlende Cyber-Erfahrung.
GDPR liefert IT-Leitern, CISOs und CIOs damit den idealen Anlass, ihre IT-Prozesse tiefgreifend zu transformieren und gezielt internes IT-Security-Know-How aufzubauen. Indem sie systematisch und im Sinne einer kontinuierlichen Verbesserung sowie unter Berücksichtigung bereits bestehender Security-Lösungen wie Data Loss Prevention (DLP) oder Security Information and Event Management (SIEM) fortlaufend für GDPR-Konformität sorgen, passen sie ihre Ressourcen den veränderten und dem laufenden Wandel unterworfenen Rahmenbedingungen an.
Damit leisten sie nicht zuletzt einen erheblichen Beitrag zur Wettbewerbsfähigkeit ihres Unternehmens, denn sowohl KMU als auch große Unternehmen setzen in zunehmendem Maße auf datengetriebene Geschäftsmodelle. Und ganz gleich, ob es in Richtung Cloud, Mobility oder dem Internet der Dinge (IoT) gehen soll – Innovation benötigt ein tragfähiges und von Grund auf integriertes Sicherheits- und Datenschutzfundament.
Von dieser Entwicklung profitieren aber auch IT-Sicherheitsteams, die schon viel zu lange gegen die wachsende Bedrohungen kämpfen und nur schwer an neue Ressourcen herankommen, um diese Herkules-Aufgabe ein wenig zu mildern. Mit dem neuen Regelwerk haben sie nun die gesetzliche Rückendeckung, um ihren Bedürfnissen Nachdruck zu verleihen.
Awareness und Informationsstrukturen schaffen
Wo aber ansetzen und wie priorisieren? Einen ersten Aufschluss liefert der kritische Blick auf den Ist-Zustand. In welchem Umfang ist im Unternehmen bereits ein Bewusstsein für Datensicherheit vorhanden? Um eine passgenaue Sicherheitskultur nachhaltig im Business-Alltag zu verankern, benötigen alle – Führungskräfte genauso wie Anwender, Administratoren und Entwickler – geeignete Trainings und Zertifizierungen. In der Regel ist es hilfreich, einen Datenschutzbeauftragten zu bestimmen, der für die Konformität der Organisation und die Kommunikation mit den Kontrollbehörden Verantwortung zeichnet. Zudem ist es angesichts der hohen Geldstrafen im Fall von Regelverstößen unumgänglich, wasserdichte interne Berichtsstrukturen zu etablieren. Die Geschäftsführung muss jederzeit über alle datenschutzrelevanten Vorgänge im Unternehmen im Bilde sein.
GDPR verstehen und schrittweise mit Leben füllen
Gleichzeitig müssen alle Beteiligten ein Verständnis für den Weg zur GDPR-Konformität entwickeln. Die Worte „geeignet“ und „angemessen“ durchziehen das gesamte Regelwerk. Um ein angemessenes Schutzniveau festzulegen, empfiehlt GDPR insbesondere, alle Risiken abzuschätzen, die sich aus dem Verarbeitungsprozess ergeben und die durch unbeabsichtigte oder unzulässige Datenzerstörung, -verlust, -änderung sowie unberechtigte Übertragung oder unberechtigten Zugriff auf personenbezogene Daten entstehen. Dies legt eine umfassende Risikobewertung nahe. Wie weit die Forderungen der GDPR allerdings tatsächlich reichen, muss sich stellenweise erst in der Praxis zeigen, beziehungsweise ist oft unternehmensindividuell zu entscheiden.
Daher sollten Unternehmen ihre Datenbestände, Datenflüsse und Datenverarbeitungsprozesse systematisch unter die Lupe nehmen, hohe Risiken identifizieren und in ein regelkonformes Datenschutz-Management umsetzen. Folgende fünf Schritte können hierbei unterstützen:
Umfang: Wer nicht weiß, was er hat, kann es auch nicht effektiv schützen. Daher gilt es im ersten Schritt, eine vollständige Bestandsaufnahme aller vorhandenen personenbezogenen Daten zu machen – und zwar nicht nur für EU-Bürger und EU-Tochtergesellschaften. Wie und wo werden diese gehalten?
Schutz: Ist der Basisschutz für diese Datenbestände vorhanden? Wo wäre mehr möglich und wie halten es vergleichbare Unternehmen? Erfolgt die vorgeschriebene Datenklassifizierung automatisiert oder liegt sie in der Hand von Mitarbeitern mit dem erforderlichen Wissen? Werden unnötige Daten konsequent gelöscht?
Überwachen und identifizieren: Sind Technologien vorhanden, die die personenbezogenen Datenbestände vor Angreifern, unbeabsichtigtem Verlust oder Lecks schützen – beispielsweise Verschlüsselungstechniken oder eine Anti-Virus-Software? Ist festgeschrieben was passiert, wenn es zu unerwünschten Vorfällen kommt?
Review: Gibt es einen Prozess der sicherstellt, dass alle neuen Anwendungen oder Cloud-Services geprüft und korrekt eingesetzt werden? Sind die Themen Privatsphäre und Sicherheit zu Beginn jedes Projekts präsent, so dass Datenschutz integraler Bestandteil davon ist?
Kontinuierlicher Prozess: GDPR versteht Datenschutz als kontinuierlichen Verbesserungsprozess. Dieser sieht regelmäßige Prüfungen und Bewertungen vor, die Aufschluss darüber geben, ob die ergriffenen technischen und organisatorischen Maßnahmen zur Verarbeitungssicherheit in der Praxis effektiv greifen.
Fazit: GDPR als Chance nutzen
Auch wenn sie vielen noch wie ein vielköpfiges Monster erscheint, ist GDPR für Unternehmen unter dem Strich doch ein Segen: Wer weiß, wie er mit den persönlichen Daten von Mitarbeitern und Kunden umzugehen hat und dies konsequent in die Tat umsetzt, braucht sich keine Gedanken mehr über schwer einzuschätzende Risiken machen, die in personenbezogenen Datenbeständen lauern könnten.
GDPR gibt flächendeckend den Anstoß dafür, dass Unternehmen ihren internen Datenschutzprogrammen auf den Zahn fühlen. Dass sie wichtige – und in Anbetracht der fortschreitenden Digitalisierung oftmals überfällige – Reformen in Angriff nehmen, die nicht nur in Sachen Sicherheit, sondern auch hinsichtlich des Geschäftserfolgs positiv zu Buche schlagen. Ein systematisches Vorgehen hilft dabei, Schritt für Schritt alle GDPR-Anforderungen zu realisieren und die Rechtskonformität zu sichern. (mb)
Lesen Sie auch:
Die Anforderungen auf einen Blick
Datenschutz-Grundverordnung - was Cloud-Nutzer wissen müssen