Als weiteres Validierungskriterium sollte zudem der Schutzbedarf der involvierten Daten herangezogen werden - wobei personenbezogene Information, die dem Datenschutzgesetz unterliegt, in der Regel zu einer höheren Risikoeinstufung führt.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Einheitliche Regelwerke
Selbstverständlich sind vorgefertigte Risikoregelwerke, etwa für SAP-Standardtransaktionen, eine wertvolle Grundlage für das hauseigene Berechtigungsrisikomanagement. Dennoch sollte jedes Unternehmen prüfen, ob die dort hinterlegten Risiken und Risikoeinstufungen auch wirklich zur Spezifik der eigenen Geschäftstätigkeit passen. Sofern parallel dazu noch Eigenentwicklungen laufen, muss das Regelwerk um daraus resultierende Berechtigungsrisiken ergänzt werden.
Solange Unternehmen nur die Risiken einzelner Berechtigungen betrachten, erscheint deren Evaluierung möglicherweise noch manuell beherrschbar. Anders sieht es jedoch aus, wenn - und das ist der Alltag in vielen Unternehmen - Kombinationsrisiken zu bewerten sind: Welches Risiko ergibt sich zum Beispiel aus zwei risikobehafteten Aktionen, die zwei unterschiedlichen Rollen zugeordnet sind und über ein oder mehrere Rollenbündel einem bestimmten Benutzer zugewiesen wurden? Die Komplexität dieser Kombinationsvielfalt ist ohne toolgestützte automatisierte Risikoanalyse nicht mehr zu bewältigen.
Allerdings ist es keineswegs zwingend, zur Prävention und Überprüfung dieselben Automatisierungswerkzeuge zu verwenden. Es spricht sogar einiges dafür, internen Auditoren ein hohes Maß an Unabhängigkeit im Unternehmen zuzubilligen. Zumindest eine Schnittstelle zur Prävention ist dabei aber unentbehrlich, und zwar ein gemeinsames, unternehmensweit konsolidiertes Risikoregelwerk. Auf dieser Basis kann der Einsatz unterschiedliche Tools im Präventions- und Überprüfungsbereich durchaus sinnvoll sein. Denn anders als für Auditoren werden im Präventionsbereich zusätzliche Funktionen benötigt, die über die reine Risikoanalyse hinausgehen - etwa zur Automatisierung der Rechtevergabe oder zur Protokollierung der Nutzung bei kritischen Berechtigungsrisiken.
Individualisierung sparsam einsetzen
Im Risikoregelwerk sind nicht nur die Einstufungen risikobehafteter Berechtigungen von "niedrig" bis "kritisch" hinterlegt, sondern auch deren Handhabung - also Maßnahmen, die im Zuge der Berechtigungsprozedur zur Risikovermeidung oder -minderung vorgesehen sind. Abzuraten ist hierbei von einer mitarbeiterindividuellen Risikohandhabung. Theoretisch könnte beispielsweise ein Anfänger bei fahrlässigem Umgang mit Authentifizierungsdaten, die ihn zur Wahrnehmung der betreffenden Rechte legitimieren, eine zusätzliche Belehrung erhalten, während ein Experte im selben Fall mit einer Rüge rechnen müsste.
Eine solche Vorgehensweise ist in der Praxis jedoch derart personalintensiv, dass sie insbesondere in großen Organisationen zu einem unvertretbar hohen Aufwand führen würde. Mitarbeiterbezogene Unterscheidungen empfehlen sich hingegen bei der eigentlichen Berechtigungsvergabe für bestimmte Aktionen: Bei hohem Risiko mit Protokollierungspflicht könnten Rechte zum Beispiel ausschließlich an Experten übertragen werden. Doch handelt es sich hier bereits um eine Frage, die über das Berechtigungsrisikomanagement hinausgeht und das Berechtigungskonzept betrifft.
Zu guter Letzt ist die Einrichtung einer zentralen Risikomeldestelle für Mitarbeiter ratsam. Denn mancher Mitarbeiter, dem beispielsweise Daten angezeigt werden, die er nach eigener Auffassung nicht hätte sehen dürfen, meldet dieses vermeintliche Berechtigungsrisiko sofort nach ganz oben - ein authentischer Fall, der für erheblichen Aufruhr im gesamten Mittelbau des betroffenen Unternehmens sorgte.