Die EU-Datenschutz-Grundverordnung (EU-DSGVO) tritt im Mai dieses Jahres in Kraft. Die neuen Regeln stellen eine grosse Herausforderung für Unternehmen sowie ihre Anwendungen, Daten, Plattformen und Sicherheitsprozesse dar. Obwohl das Datum immer näher rückt, haben einige Unternehmen noch nicht einmal mit der Vorbereitung begonnen. Spätestens jetzt sollten sie folgende Schritte durchführen:
1. Rechtslage prüfen
Bei der DSGVO geht es nicht nur um IT. Unternehmen sollten auch aus rechtlicher Perspektive Informationen zu den gespeicherten und genutzten Daten einholen. Zum Beispiel: Wie lange werden sie aufbewahrt, wo befinden sie sich und wie und warum werden sie verwendet?
2. Definieren der «Persönlich Identifizierbaren Informationen» (PII)
Auf konzeptioneller Ebene ist zu definieren, welche personenbezogenen Daten verwendet werden. Dazu dient das Erstellen eines PII-Datenmodells für das gesamte Unternehmen. Dies bildet die Grundlage für die weiteren Schritte.» Als führender Anbieter von Managed Security Services liefert Rackspace unseren GCP-Kunden einen signifikanten Mehrwert», erklärt John Foong, Managing Director, Partner Sales and Strategic Partnerships bei Google Cloud. «Rackspace ist ein etablierter Marktführer bei der Erfüllung von Sicherheitsbedürfnissen in Unternehmen. Wir freuen uns auf die Zusammenarbeit, um diesen Bedürfnissen gerecht zu werden.»
3. Daten auf Geschäftsfunktionen abbilden
Unternehmen müssen erfassen, welche Daten von welchen Teams zu welchem Zweck verwendet werden. Zudem ist zu prüfen, ob jeder Unternehmensbereich nur die für ihn erforderlichen Daten verwendet.
4. Daten den Anwendungen zuordnen
Der nächste Schritt besteht in der genauen Lokalisierung der Daten, also wo sie tatsächlich gespeichert sind. Dazu dient zum Beispiel eine Matrix von Datenmodell-Entitäten für die Anwendungen. Dabei sollte jeder Matrix-Eintrag zeigen, ob die Anwendung die Daten erstellt, liest, aktualisiert oder löscht. Zusätzlich ist die «Reise» der Daten durch Anwendungen und Systeme sowie Kopien dieser Daten nachzuvollziehen.
5. Bewertung von Anwendungsfällen der EU-DSGVO
Unternehmen sollten nun mögliche Anwendungsfälle der DSGVO identifizieren, die mit personenbezogenen Daten zusammenhängen, und deren Auswirkungen bewerten. So sind Fragen von Betroffenen zu beantworten, wie: «Wozu verwenden Sie meine Daten?» Eine weitere Anforderung ist das «Recht, vergessen zu werden», dass meist Änderungen bei Anwendungen und Datenbanken erfordert.
6. Minimierung von Sicherheitsrisiken
Der nächste Schritt ist die Bewertung der Sicherheitsrisiken beim Zugriff auf die Daten. Dies muss die Geschäfts-, IT- und Betriebssicht abdecken. Damit lassen sich zahlreiche notwendige Massnahmen erkennen, zum Beispiel Beschränkung des Datenzugriffs, Änderung der Bereitstellungsarchitektur mit Zonen erhöhter Sicherheit oder technische Schutzmassnahmen wie Verschlüsselung.
7. Erkennung von Sicherheitsvorfällen
Dieser Schritt ergänzt die Sicherheitsmassnahmen durch Intrusion Detection und Benachrichtigungen. Im Falle eines Verstosses ist eine Folgenabschätzung nötig, die auf Beweisen basieren muss. Welche Informationen sind dazu nötig und wie lassen sie sich proaktiv erfassen? Laut DSGVO müssen die zuständigen Behörden innerhalb von 72 Stunden nach einem Vorfall benachrichtigt werden. Zur Erfüllung dieser Anforderung sind die entsprechenden Prozesse zu überprüfen.
Eine vollständige Vorbereitung auf die EU-DSGVO umfasst natürlich mehr als diese Punkte. Aber sie stellen die grundlegenden Schritte dar. Zudem bilden sie die Basis für eine gut organisierte und geschäftsorientierte IT. So ermöglichen sie zum Beispiel eine Rückverfolgbarkeit der Prozesse. Dies beantwortet nicht nur Fragen im Rahmen der DSGVO, sondern auch zur Unterstützung der Geschäftsziele.
Weiterführende Informationen zum Thema DSGVO finden Sie auf der Website des Eidgenössischen Datenschutzbeauftragten.
Verfasser: Rackspace, einer der weltweit führende Anbieter von IT as a Service in der heutigen Multi-Cloud-Welt. Das Unternehmen bietet kompetente Beratung und integrierte Managed Services für Public und Private Clouds, Managed Hosting und Unternehmensanwendungen.