In weniger als 18 Monaten - im Mai 2018 - müssen die Unternehmen vollständig mit der EU-Datenschutz-Grundverordnung (GDPR - General Data Protection Regulation) konform sein. Es sieht zwar so aus, als hätte man noch viel Zeit für die Umsetzung. Tatsächlich werden viele Unternehmen aber auch viel Zeit benötigen, um sich GDPR-konform aufzustellen. Schutz von Daten ist nicht etwas, das an einem Tag erreicht werden kann, es braucht Zeit, um die richtigen Prozesse zu etablieren und die richtige Einstellung im gesamten Unternehmen zu aufzubauen.
Bisher hatten Unternehmen beim Verlust von Kunden- oder Mitarbeiterdaten Glück und mussten keine großen Folgen fürchten. Die neue Gesetzgebung gibt den Behörden nun aber die Macht, hohe Geldbußen zu verhängen. Gerade kleinere und mittlere Unternehmen sind gefährdet, im Mai 2018 nicht konform zu sein. Wir erwarten eine starke Zunahme an Unternehmen, die im Laufe dieses Jahres Verschlüsselungstechnologien einsetzen werden, um zumindest einen Teilaspekt der GDPR zu erfüllen.
10 Tipps von Sophos
Bis zur Einführung der GDPR im Mai 2018 raten wir IT-Security-Dientsleitern daher Folgendes zu tun:
Nehmen Sie die GDPR und alle Aspekte der neuen Regelung wirklich ernst.
Planen Sie bereits jetzt konsequent genügend Zeit ein für Planung und Umsetzung der GDPR, noch ist es rechtzeitig genug.
Die Hilfe von vertrauenswürdigen IT-Sicherheitsberatern mit Rechtskenntnissen in können Ihnen eine gute Hilfe im gesamten Prozess sein. Nehmen sie diese in Anspruch.
Die Hilfe von vertrauenswürdigen IT-Sicherheitsberatern mit Rechtskenntnissen in können Ihnen eine gute Hilfe im gesamten Prozess sein. Nehmen sie diese in Anspruch.
Die enge Zusammenarbeit mit Ihrer HR-Abteilung ist unerlässlich, um sicherzustellen, dass auch die Mitarbeiter verstehen, welche Schritte das Unternehmen unternimmt, um Mitarbeiterinformationen zu schützen
Machen Sie Ihren Mitarbeiter rechtzeitig und nachvollziehbar klar, was von ihnen beim Schutz geschäftskritischer Daten erwartet wird.
Mitarbeiter sollten keinen Zugriff auf Daten haben, die sie nicht benötigen, um ihre tägliche Arbeit zu tun. Unter der GDPR wird selbst das Lesen von sensiblen Daten als Datenverletzung eingestuft.
Im Zweifel für den Datenschutz. Wenn Unklarheit besteht, ob bestimmte Daten unter die Datenschutzverordnung fallen oder nicht, sollten diese zum eigenen Schutz grundsätzlich wie sensible Daten behandelt werden.
Lassen Sie Ihre Kunden in verständlichen Worten wissen (kein Juristendeutsch), ob und welche ihrer Daten Sie sammeln, für wie lange und zu welchem Zweck. Offenheit und Verständlichkeit wird Ihrem Unternehmen zugute kommen und Kunden vertrauensvoll binden.
Kennwörter sollten nie mit anderen geteilt werden und sie sollten stark und einzigartig sein. Dies macht nicht nur schwerer Daten zu stehlen, sondern bietet auch eine Absicherung beim Missbrauch von Privilegien.
Verschlüsselung schützt davor, dass Daten von Dieben gelesen werden können. Die Verschlüsselung ist eine gute Vorgehensweise, um im Sinne der GDPR zu beweisen, dass man alles getan hat, um die relevanten Daten zu schützen.
Was droht, wenn die Vorgaben des GDPR nicht erfüllt werden?
Die Datenschutz-Grundverordnung (GDPR) ist ein historischer Schritt in Richtung eines besseren Schutzes der Daten von EU-Bürgern, indem grenzübergreifende Konsistenz gewährleistet wird. Die GDPR gilt für Unternehmen jeder Größenordnung überall auf der Welt, die Informationen über EU-Bürger besitzen, und zeigt, dass Europa das Thema Datenschutz ernst nimmt.
Wer diese Verordnung nicht befolgt, wird mit hoher Sicherheit 'erwischt'. Unternehmen müssen ihre Datenschutzrichtlinien und -Technologien dahingehend überprüfen, ob sie die Vorschriften erfüllen, und sollten sich nicht scheuen, sich an ihre lokale Regulierungsbehörde oder einen vertrauenswürdigen Berater zu wenden, um sicherzustellen, dass sie alles richtig gemacht haben.
Gehen Sie aktiv vor und schützen Sie die Daten. Verschlüsseln Sie die Daten und halten Sie Ihre Sicherheitslösungen stets auf dem neuesten Stand. Datenmissbrauch ist an der Tagesordnung und die EU hat gerade die Konsequenzen verschärft, die sich aus unangemessenen Sicherheitsvorkehrungen ergeben.
Durch die neue Richtlinie sollte nun die Bedeutung des Themas Datenschutz auf der Vorstandsebene angekommen sein. Die Richtlinie ist ein Signal an alle in der EU tätigen Unternehmen, dass sie den Schutz der personenbezogenen Daten ihrer Kunden noch ernster nehmen müssen. Zwar bedeutet dies für viele Unternehmen zunächst weitere Investitionen; dennoch wird die europäische Wirtschaft letztlich davon profitieren, da Kunden bei Online-Transaktionen mit EU-Unternehmen mehr Vertrauen haben werden.
Konsequente Strafen innerhalb der EU - bis zu vier Prozent des weltweiten Umsatzes - sorgen für einen faireren, transparenteren Ansatz bei der Umsetzung des Datenschutzes. Darüber hinaus dürfte der Vorschlag, nationale Datenschutzbehörden zu ermächtigen, den Unternehmen direkt Strafen aufzuerlegen, anstatt den Rechtsweg beschreiten zu müssen, die leichtere und raschere Ergreifung von Maßnahmen unterstützen.
Auch Unternehmen außerhalb der EU müssen die Richtlinie beachten, da das Gesetz für alle Unternehmen gilt, die Daten europäischer Bürger vorhalten, unabhängig davon, ob das betreffende Unternehmen in der EU ansässig ist oder nicht. (rw)