Die EU Datenschutz-Grundverordnung

Auswirkungen auf die IT

von Alexander Weichselberger

Bald ist sie da – die EU (weite) Datenschutzgrundverordnung (DSGVO)! Wenn man sich die Dichte der Nachrichten und Artikel seit rund einem Jahr dazu ansieht wird klar, dass sich wohl kein Unternehmen diesem Thema entziehen bzw. dieses ignorieren kann. Vordergründig sind die Strafen bei Verletzungen deutlich angezogen worden – abhängig vom Vergehen bis zu 20 Mio. € bzw. 4% des konzernalen Umsatzes. Die bislang vergleichsweise geringen Strafen von bis zu 25.000 € haben den Aufwand für eine intensive Sicherung zumindest kalkulatorisch nicht gerechtfertigt – jetzt kommt aber mehr Druck ins System. Und hat unmittelbare Auswirkung auf IT Analyse und SW Test.

Vergleicht man die bisherigen Gesetze zum Schutz von Daten, so sind generell das Datenschutzgesetz 2000 (DSG 2000) sowie speziellere, branchenspezifische Gesetze, wie zum Beispiel das Bankwesengesetz, heranzuziehen.

Schwerpunkte der DSGVO

Abb. 1: Gültigkeit EU weit
Abb. 1: Gültigkeit EU weit (© SEQIS GmbH)

War beim DSG 2000 der Schutz des Ausspionierens durch den Staat noch wesentlicher Schwerpunkt der Gestaltung, so wird bei der DSGVO den aktuellen Möglichkeiten und Trends mehr Rechnung getragen. Höheres Datenaufkommen durch z.B. IoT, Informationen über Mobilität durch GPS, Vernetzung von Daten durch Auswertungen und Analysen (BigData) bis hin zum Umgang in den Social Networks (Facebook und Co.):

Wir werden bereits ausspioniert! Jetzt geht’s (nur noch) darum, die personenbezogenen Daten zu schützen und die Selbstkontrolle über Daten zu verbessern. Auch Kindern soll durch die DSGVO ein besonderer Schutz eingeräumt werden.

Personenbezogene Daten

... sind alle Informationen, die sich auf bereits identifizierte oder identifizierbare natürliche Personen beziehen (Anm: Juristische Personen sind ausgenommen – allerdings wird aktuell der Bezug zwischen den Vertretern der juristischen Personen und deren schützenswerte Daten diskutiert; hier werden wohl auch noch Handlungsdirektiven kommen).

Identifizieren Sie Verarbeitungen mit personenbezogenen Daten

Stellen Sie sich die Frage: Welche personenbezogene (pb) Daten verantworten, verarbeiten und/oder übertragen Sie in welche Systeme? Berücksichtigen Sie auch unbedingt Systeme in der Cloud, die Sie eingebunden haben – und fragen Sie sich nach Datenverwendungen, die Sie selbst nicht hergestellt haben (Drittdatenquellen)!

By-the-way: Ihre pb Daten werden in Ihrem Unternehmen sicherlich auch als XLS-Auswertungen und Listen in den Filesystemen, in E-Mailsystemen, etc. vorkommen. Haben Sie diese Systeme schon auf Ihrer Liste?

Abb. 2: Was sind personenbezogene Daten?
Abb. 2: Was sind personenbezogene Daten? (© SEQIS GmbH)

Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten

Hier noch eine Empfehlung: Damit Ihr Verzeichnis künftig aktuell bleibt, sollten Sie für Updates und Erweiterungen Ihrer Systeme Ihre Definition of Done (DoD) bzw. Quality Gates entsprechend anpassen.

Abb. 3: Inhalte eines Verzeichnisses von Verarbeitungstätigkeiten
Abb. 3: Inhalte eines Verzeichnisses von Verarbeitungstätigkeiten (© SEQIS GmbH)

Erweiterte Pflichten bei der Datenverarbeitung

Mit der DSGVO wurden eine Menge Grundsätze verabschiedet, die große Herausforderungen mit sich bringen (siehe Abbildung 4). Viele IT Lösungen müssen diese Anforderungen erst implementieren – falls das überhaupt (sinnvoll) möglich ist (Stichwort Legacysysteme). Darüber hinaus kommen auch neue Rollen und Verantwortlichkeiten ins Spiel – beide Punkte münden in ein Basisproblem: Wer soll das machen? Datenschutzbeauftragte mit IT Kenntnissen und noch mehr Analysten, Entwickler und Tester für die Aktualisierung – und dies vor dem Hintergrund der mangelhaften Verfügbarkeit von IT Spezialisten in der EU!

Ein weiteres Beispiel zu diesem Punkt: Unter „Integrität und Vertraulichkeit“ geht es um einen angemessenen Schutz durch geeignete technische und organisatorische Maßnahmen. Nimmt man diesen Punkt und bringt ihn mit dem „Bericht Cyber Sicherheit 2017“ zusammen so stellt sich die Frage: Wenn sich die Cyber Kriminalität weiter so rasch entwickelt, neue Geschäftsmodelle wie „Ransomware-as-a-Service“ bzw. „Crime-as-a-Service“ angeboten werden und sogar Staaten sich selbst als Hacker engagieren – wie soll dann ein Unternehmen mit vergleichsweise bescheidenem Budget dagegen ankommen?

Die Antwort ist schlicht und einfach: Sichern Sie Ihre Systeme ab:

  • Erkennen & reagieren (IDS/IPS, SIEM)
  • Kommunikation sichern (PKI, KMS)
  • Erhalten & verbessern (SDLC, ISMS)

... und führen Sie auch entsprechende Selbsttests durch.

Besser, Sie erkennen Ihre Schwachstellen selbst, bevor es andere tun.

Natürlich sollten Sie dies einem dem Risiko angemessenen und entsprechenden Schutzniveau dem angepassten Aufwand gegenüberstellen. Realisieren Sie den Änderungsbedarf bestehender Applikationen. Arbeiten Sie mit Standardsoftware? Fragen Sie bei Ihrem Anbieter nach dem entsprechenden Update nach. Haben Sie die Software selbst erstellt? Dann vergeben Sie rasch den Updateauftrag für die Individualentwicklung. Denken Sie jedenfalls in beiden Fällen daran: Viele der neuen Grundsätze, wie z.B. „Recht auf Auskunft“, „Recht auf Vergessenwerden“, „Recht auf Datenübertragung“ und das „Recht auf Beschränkung der Verarbeitung“ sollten auf Basis eines hohen Automatisierungsgrads entwickelt werden. Es geht darum, dass durch diese Services nicht zu viele Personen aus Ihrem Unternehmen gebunden werden!

Darüber hinaus wurden mit der DSGVO auch einige Fristen fixiert – Sie haben im Regelfall 1 Monat, bei entsprechender Komplexität bis zu 3 Monate, Zeit. Und was ist schon 1 Monat während der Weihnachts- und/oder Urlaubszeit... ?

 

Berücksichtigen Sie die Grenzen von Pseudonymisierung

Vereinfacht geht es bei der Pseudonymisierung darum, den Namen oder ein anderes Identifikationsmerkmal durch ein Pseudonym zu ersetzen – Ziel ist es, die Feststellung der Identität zu erschweren. Dadurch kann man eine „relative“ Sicherheit der pb Daten herstellen.

Allerdings wird durch ein Zuviel in Richtung echter Anonymisierung (= niemand im bekannten Universum kann selbst mit unbeschränkten Ressourcen heute und in Zukunft die betreffende Person identifizieren) ein wahrer Datensalat produziert – dadurch sind die Daten wertlos. Leider auch für denjenigen, der die Benutzungsberechtigungen hätte...

Beispielhaft kann man gewisse Fehler nur in Kenntnis der verwendeten Daten nachstellen. Verschlüsselte Daten führen nicht zum gleichen Fehlerverhalten oder sind aufgrund z.B. Foreign Key Constraints nicht in den Datenbestand einspielbar.

Prüfen Sie Ihre Auftragsverarbeiter

... die meisten Unternehmen verarbeiten ihre pb Daten nicht mehr allein – prüfen und überarbeiten Sie daher Ihre Dienstleisterverträge. Schauen Sie auch nach, ob ggf. auch Drittland-Verarbeitungen gegeben sind.

Abb. 4: Grundsätze der DSGVO
Abb. 4: Grundsätze der DSGVO (© SEQIS GmbH)

Wohin die Reise führt...

Zusammengefasst werden Sie sich in Richtung DatenschutzManagementsystem (DS-MS) auf den Weg machen müssen.

Wesentliche Stützen dieses DS-MS sind:

  • Strategie und Reporting
  • Prävention
  • Operation und Fehlermanagement

Auch unterschiedliche Zertifizierungen und Datenschutzprüfzeichen sind am Markt bereits vorhanden.

Diese Empfehlungen können Sie dabei unterstützen rechtzeitig und richtig auf die DSGVO vorbereitet zu sein. Hilfe gibt es darüber hinaus – wie immer – auch bei SEQIS.

Sie möchten mehr zum Thema DSGVO erfahren?

Auf unserer Website finden Sie einen ausführlichen Rückblick zu unserer „10 things“-Veranstaltung sowie Tipps und Tricks, was Sie im Rahmen der neuen DSGVO beachten müssen. 

 

 

*) Disclaimer: Bitte beachten Sie: Die Informationen, Meinungen und Rechtsansichten in diesem Artikel sind nicht als allgemein rechtsverbindliche Darstellung gedacht und können eine individuelle, auf die Besonderheiten des Sachverhaltes bezogene, rechtliche Prüfung jedenfalls nicht ersetzen.

Autor
SEQIS Autor Alexander Weichselberger

Alexander Weichselberger

Managing Partner

Newsletter

Um neue Beiträge per E-Mail zu erhalten, hier die E-Mail-Adresse eingeben.

Unsere Autoren

Informieren Sie sich über unsere Autoren und erfahren Sie mehr über unsere Spezialisten und ihre Fachbereiche:

Zu den Autoren

Sie haben eine Frage?

Zurück

Zum Seitenanfang navigieren