Der DSGVO-Countdown – Diese Bereiche sollten Sie zunächst angehen

In rund zwei Monaten tritt die DSGVO endgültig in Kraft. Mittlerweile sehen sich die meisten Unternehmen auch auf einem guten Weg in Richtung Konformität. Sollten Sie jedoch noch nicht so weit sein und in Ihrem Unternehmen Defizite erkennen, verfallen Sie nicht in Panik oder Agonie!

Die DSGVO (Datenschutzgrundverordnung) ist kein Zustand, den man (irgendwann zu 100 Prozent) erreicht, sondern ein fortwährender Prozess und man kann innerhalb recht kurzer Zeit deutliche Fortschritte erzielen sowie den „rechten Weg“ in Richtung mehr Datensicherheit einschlagen.

1. Priorisieren und bewerten Sie Ihre Risiken

Die DSGVO verändert auf signifikante Weise den Umgang von Unternehmen mit personenbezogenen Daten. Dabei ist eine der größten Herausforderungen, dass viele der sensiblen Daten mittlerweile „unstrukturiert“ vorliegen, das heißt sie sind nicht in Datenbanken gespeichert, sondern liegen (chaotisch) verteilt auf den unterschiedlichsten Speicherorten wie File- und E-Mail-Servern.

Der erste und wichtigste Schritt ist es, herauszufinden, wo sich diese Daten befinden. Wenn Sie in den nächsten zwei Monaten nur eine Sache tun können, dann sollten Sie Ihre Umgebung abbilden und ein Datenregister einrichten, in welchem Sie Ihre Bestände und die entsprechenden Speicherorte erfassen. Dies bildet die Basis für alle weiteren Schritte und Prozesse.

2. Erstellen Sie einen Notfallplan

Darauf zu hoffen, dass das eigene Unternehmen nicht Opfer eines Cyberangriffs oder einer Datenschutzverletzung wird, ist keine Strategie! Rechnen Sie mit dem Schlimmsten und planen Sie entsprechende Maßnahmen. Nutzen Sie die Einführung der DSGVO und erstellen Sie einen Notfallplan, der festlegt, wann was von wem zu tun und wer wie zu informieren ist (Behörden, Mitarbeiter, Betroffene). Dabei sollten Sie auch genau bestimmen, wer für den Ablauf verantwortlich ist und welche Daten priorisiert wiederhergestellt werden müssen.

3. Schränken Sie Zugriffsrechte ein

Eines der Grundprinzipien der DSGVO ist die Minimierung. Sie sollten deshalb den Umfang der gespeicherten Verbraucherdaten, den Personenkreis, der darauf zugreifen kann, und die Aufbewahrungsdauer minimieren. Der zentrale (und auch verhältnismäßig rasch umzusetzende) Punkt ist dabei die Begrenzung der Zugriffe nach dem „Need-to-know“-Prinzip. Nur diejenigen Mitarbeiter, die für ihre Arbeit tatsächlich Zugriff benötigen, sollen ihn auch erhalten. In der Realität sieht dies jedoch oftmals anders aus. So zeigt der Datenrisiko-Report 2017, dass in 47 Prozent der Unternehmen die Mehrzahl der Mitarbeiter Zugriff auf mehr als 1.000 sensible Dateien hat und durchschnittlich 20 Prozent der Ordner – und damit oftmals eben auch personenbezogene Daten – für alle Mitarbeiter zugänglich sind. Auch jenseits der DSGVO sind diese Zahlen alarmierend, da sich etwa auch Ransomware-Infektionen auf diese Weise gravierend einfach und weit ausbreiten können.

4. Identifizieren Sie nicht mehr benötigte Daten und sperren, archivieren oder löschen sie diese

Die Zeiten des (wahllosen) Datensammelns (Stichwort Big Data) gehen zu Ende. Die DSGVO bedeutet in dieser Hinsicht einen echten Paradigmenwechsel, sie fordert – wie oben schon erwähnt – eben das genaue Gegenteil. Für Unternehmen bedeutet dies eine Chance, (endlich) Ordnung in ihr Datenchaos zu bekommen und gründlich aufzuräumen. Daten, die lange nicht genutzt wurden und eigentlich auch nicht mehr benötigt werden, stellen für Angreifer ein interessantes Ziel dar. Und Unternehmen haben hiervon eine ganze Menge: So zeigte der Datenrisiko-Report 2017, dass mehr als die Hälfte der gespeicherten Daten in diese Kategorie fallen. Im Hinblick auf die DSGVO sind diese Daten (je nach Branchen-Richtlinien und nach zuvor festgelegten Regeln) zu archivieren oder zu löschen. Angesichts der Zehn- bis Hundertausenden von Unternehmensdateien ist dies ohne Automatisierung jedoch kaum zu stemmen.

5. Schulen Sie Mitarbeiter und Partner

Mitarbeiter (wie auch Partner) spielen eine Schlüsselrolle in der Datensicherheit. So ist Phishing nach wie vor einer der beliebtesten, weil erfolgversprechendsten Angriffsvektoren. Entsprechend müssen die Mitarbeiter immer wieder geschult und sensibilisiert werden. Übrigens gerade auch Führungskräfte. Aktuelle Studien, etwa von Dr. Zinaida Benenson von der Friedrich-Alexander-Universität (FAU) Erlangen-Nürnberg, legen nahe, dass diese besonders gefährdet (aus IT-Sicht: gefährlich) sind. Zum einen liegt das an ihrer „Prominenz“: Je mehr Informationen ein Hacker über eine Person zur Verfügung hat (LinkedIn und Xing sind hier hervorragende Quellen), umso gezielter kann er seine Mails an die Opfer anpassen. Und je zielgerichteter und plausibler die Phishing-Mail, desto erfolgreicher ist sie. Zum anderen liegt dies auch am Charakterbild: In aller Regel gelten Führungskräfte als risikobereiter und selbstsicherer als durchschnittliche Angestellte (und lassen sich oftmals ungern etwas von anderen sagen). Eine entsprechende profunde Schulung kann hierbei etwas ändern.

Neben all den technischen und prozessualen Änderungen verlangt die DSGVO vor allem ein anderes Verständnis von Daten. Personenbezogene Daten werden nun auch nicht mehr als Eigentum des Unternehmens betrachtet, welches sie erstellt, sammelt und verarbeitet, sondern sie gehören dem Bürger. Sie sind ein überaus wertvolles Gut, das dem Unternehmen anvertraut wurde und das Unternehmen muss alles in seiner Macht stehende tun, es zu schützen. Entsprechend respektvoll sollte der Umgang der Mitarbeiter und Partner mit diesen Daten auch sein.

2018-04-19T14:56:45+00:00