Hilfestellung für den CISO
Fünf Fragen zur Europäischen Datenschutz-Grundverordnung
Fortsetzung des Artikels von Teil 1
Weitere Fragen
3. Wie überwachen wir, wer auf die Daten zugreift? Könnten wir einen Datenschutzverstoß erkennen und untersuchen?
Ein Unternehmen, das von einem Datenschutzverstoß erfährt, muss diesen Verstoß öffentlich zugeben und die zuständigen Datenschutzbehörden in den Mitgliedstaaten darüber in Kenntnis setzen. Unternehmen müssen die Datenschutzbehörden innerhalb von 72 Stunden nach der Feststellung oder Bestätigung des Verstoßes benachrichtigen. Sie müssen in der Lage sein mitzuteilen, welche Daten betroffen sind und wie viele Datensätze gestohlen wurden. Zudem ist die Bereitstellung eines mitgliedstaatspezifischen Berichts über den Verstoß verpflichtend. Diese Anforderung bedeutet im Wesentlichen, dass alle Unternehmen feststellen können müssen, wer auf die Daten zugegriffen hat, welche Aktivitäten er oder sie durchgeführt hat und wann dies geschah. Starke Technologielösungen sind unabdingbar, damit das Unternehmen die verlangten Informationen problemlos innerhalb des 72-Stunden-Fensters bereitstellen kann.
4. Wie können wir das Volumen privater Daten, die in nicht-produktiven Systemen genutzt werden, minimieren?
Die DSGVO verlangt, dass Unternehmen die aufbewahrten Daten minimieren. Insbesondere wenn sie nicht wirklich für das Tagesgeschäft benötigt werden. Werden die Daten nicht für Unternehmens- oder Compliance-Zwecke benötigt, bestimmt die Verordnung, dass sie in rechtskonformer Weise zu löschen sind.
5. Wie können wir verhindern, dass auf Datenbankdaten von außerhalb des Landes oder der EU zugegriffen wird bzw. dass sie aus dem Land oder der EU übertragen werden?
Die DSGVO verlangt Beschränkungen der Übertragung personenbezogener Daten aus der Europäischen Union in Drittländer oder an internationale Organisationen. Damit wird das Schutzniveau von Einzelpersonen, das die DSGVO bewirkt, nicht untergraben. Unternehmen benötigen ein klares Verständnis davon, wohin sie Daten übertragen und ob die Rechtsordnung, in der sich der Empfänger befindet, mutmaßlich einen angemessenen Datenschutz gewährleistet. Technologie für die Datenüberwachung spielt eine wichtige Rolle bei der Überwachung von Aktivitäten in Echtzeit. So können selbst versehentliche Datentransfers verhindert werden.
Unternehmen müssen jetzt handeln
Die DSGVO wird große Auswirkungen auf die Art und Weise haben, in der Unternehmen Daten erfassen, speichern und übertragen. Die Grundlagen dafür müssen jetzt geschaffen werden.
Zur Vorbereitung müssen Bewertungen der Daten vorgenommen und Budgets für neue Technologien zur Umsetzung neuer Prozesse und Lösungen eingerichtet werde. Diese helfen den Unternehmen bei der Einhaltung der Verordnung.
Dies mag vielen Unternehmen als eine gewaltige Aufgabe erscheinen. Das Ergebnis jedoch wird eine viel sicherere Umgebung für personenbezogene Daten sein, was man nur als positiv einstufen kann.
Karl Altmann ist Area Vice President DACH bei Imperva
- Fünf Fragen zur Europäischen Datenschutz-Grundverordnung
- Weitere Fragen
Lesen Sie mehr zum Thema
