DSGVO-Compliance

Was ist die DSGVO?

Text

Inwiefern unterscheidet sie sich von der EU-Datenschutzrichtlinie?

Die DSGVO (Datenschutz-Grundverordnung) ist der rechtliche Rahmen in der EU und im Vereinigten Königreich und hat 2018 die bis dahin gültige EU-Datenschutzrichtlinie ersetzt. Der wichtigste Unterschied zwischen den beiden ist der Unterschied zwischen einer Verordnung und einer Richtlinie.

Eine Verordnung ist ein Gesetz und rechtsverbindlich, während eine Richtlinie eine Empfehlung und somit nicht rechtsverbindlich ist. Das bedeutet, dass die DSGVO ein Gesetz ist, das von allen europäischen Mitgliedsstaaten befolgt werden muss.

Alternativ kann diese Unterscheidung auch so erklärt werden, dass eine Verordnung ein einziger Satz von Regeln ist, die befolgt werden müssen, während eine Richtlinie ein Satz von Regeln ist, der Raum für Interpretationen lässt.

Während die frühere EU-Datenschutzrichtlinie keine Definition von Datenschutzverletzungen enthielt, enthält die DSGVO eine sehr weit gefasste Definition, die besagt, dass eine Datenschutzverletzung „eine Verletzung der Sicherheit ist, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.“

Die Definitionen von Datenschutzverletzungen und personenbezogenen Daten sind entscheidend, da sie bedeuten, dass viele verschiedene Ereignisse oder Aktivitäten als Verstöße gegen die DSGVO eingestuft werden können. Personenbezogene Daten sind definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen – nicht nur Daten, die für Betrug oder Identitätsdiebstahl verwendet werden könnten.“

Was ist der Zweck der DSGVO?

Media
Image
lock with GDPR on it
Text

Die DSGVO soll personenbezogene Daten und die Art und Weise schützen, wie Unternehmen sie verarbeiten, speichern und schließlich vernichten, wenn die Daten nicht mehr benötigt werden. Das Gesetz gibt Einzelpersonen die Kontrolle darüber, wie Unternehmen Informationen nutzen können, die direkt mit ihnen persönlich in Verbindung stehen, und sieht acht spezifische Rechte vor.

Sie legt auch sehr strenge Regeln fest, was passiert, wenn der Zugang zu persönlichen Daten verletzt wird, und welche Konsequenzen (Geldstrafen) Unternehmen zu erwarten haben.

Wie definiert die DSGVO „personenbezogene Daten“?

Wenn es um Datenschutz geht, sind die DSGVO-Bestimmungen die strengsten der Welt. Der Begriff „personenbezogene Daten“ wird sehr weit gefasst und umfasst praktisch alle Informationen, die eine Person identifizieren können. Die DSGVO kann auf viele Arten angewandt werden, darunter Beispiele wie die folgenden:

Direkte/indirekte Identifizierung

Wenn die betroffene Person direkt/indirekt durch ihren Namen, ihre Identifikationsnummer, ihre Adresse, ihr Online-Profil oder andere eindeutige physische, genetische, mentale, kommerzielle oder kulturelle Merkmale identifiziert werden kann

Zugeordnete Daten

Alle Daten, die einer Person zugeordnet sind, wie z. B. eine Telefonnummer, ein Kennzeichen, eine Kunden-ID, eine Kreditkartennummer usw.

IP-Adresse

IP-Adresse, wenn sie vom Verantwortlichen eines Unternehmens auf Anfrage übergeben wird

Für wen gilt die DSGVO?

Media
Image
Reporting software simplifies IT security audits
Text

Die personenbezogenen Daten, die unter die DSGVO fallen, beginnen mit den Daten, die einer natürlichen Person bei der Geburt zugeordnet werden, umfassen alle identifizierbaren Daten dieser Person während ihres gesamten Lebens und enden mit dem Tod dieser Person. Sie gilt jedoch nicht für Organisationen, Unternehmen, Institutionen usw.

Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen speichern oder verarbeiten, sind verpflichtet, die DSGVO einzuhalten, auch wenn sie außerhalb der EU ansässig sind.

Denken Sie daran, dass die Verordnung personenbezogene Daten definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.

Die Auswirkung der DSGVO auf IT-Mitarbeiter kann nicht minimiert werden. Die für die Verarbeitung Verantwortlichen, die Datenschutzbeauftragten, die Auftragsverarbeiter und andere spielen alle eine Rolle bei der Erleichterung und Durchsetzung der Einhaltung der Datenschutz-Grundverordnung. Definition der mit DSGVO-Compliance verbundenen Aufgaben:

Verantwortlicher

Ein Verantwortlicher bestimmt, alleine oder gemeinsam mit anderen, wie und warum personenbezogene Daten verarbeitet werden. Diese Rolle ähnelt der früheren Rolle des für die Datenverarbeitung Verantwortlichen im Rahmen der alten EU-Datenschutzrichtlinien, wurde jedoch erweitert. Rechtlich gesehen trägt der Verantwortliche die letzte Verantwortung dafür, dass die Auftragsverarbeiter die Regeln einhalten.

Die 8 Rechte der DSGVO

Recht, informiert zu werden

Bevor Daten gesammelt werden, hat eine betroffene Person das Recht zu erfahren, wie sie gesammelt, verarbeitet und gespeichert werden und zu welchen Zwecken dies geschieht.

Recht auf Zugriff

Nachdem Daten gesammelt wurden, hat eine betroffene Person das Recht zu erfahren, wie sie gesammelt, verarbeitet und gespeichert wurden, welche Daten existieren und zu welchen Zwecken dies geschah.

Recht auf Berichtigung

Eine betroffene Person hat das Recht, falsche oder unvollständige Daten korrigieren zu lassen.

Recht auf Löschung (Recht auf Vergessenwerden)

Eine betroffene Person hat das Recht, personenbezogene Daten permanent löschen zu lassen.

Recht auf Einschränkung der Verarbeitung

Eine betroffene Person hat das Recht, die Verarbeitung oder Verwendung personenbezogener Daten einzuschränken.

Recht auf Datenübertragbarkeit

Eine betroffene Person hat das Recht, personenbezogene Daten in einem allgemein gebräuchlichen und maschinenlesbaren Format auf sichere Weise von einem für die Datenverarbeitung Verantwortlichen zu einem anderen zu verschieben, zu kopieren oder zu übertragen. Soweit technisch möglich, umfasst dies auch das Recht, die Daten direkt von einem Verantwortlichen an einen anderen zu übermitteln, ohne dass die betroffene Person Umgang mit den Daten haben muss.

Widerspruchsrecht

Eine betroffene Person hat das Recht, der Verarbeitung ihrer Daten durch Behörden oder Unternehmen ohne ausdrückliche Zustimmung zu widersprechen. Sie hat auch das Recht, die Aufnahme persönlicher Daten in Datenbanken für Direktmarketing zu verhindern. 

Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Eine betroffene Person hat das Recht, ein menschliches Eingreifen zu verlangen, anstatt wichtige Entscheidungen ausschließlich von einem Algorithmus treffen zu lassen. 

Checkliste für DSGVO-Compliance

Die DSGVO ist in der Tat ein Schwergewicht. Mit dieser Checkliste erhalten Sie einen einfachen Überblick über die ersten Schritte hin zu Compliance. Hinweis: Die folgenden Informationen sind allgemeiner Natur und stellen keine Rechtsberatung dar. Sie sollten sich mit einem Anwalt in Verbindung setzen, der sich auf die Einhaltung der DSGVO im Rahmen der speziellen Situation Ihres Unternehmens spezialisiert hat.

Text

Zugriff auf Ihre Daten

  • Beginnen Sie mit einem Audit der Informationen, die Sie derzeit verarbeiten, einschließlich der Details darüber, wer darauf zugreifen kann.
  • Vergewissern Sie sich, dass Sie eine rechtliche Grundlage für die Erfassung dieser Daten haben.
  • Führen Sie Ihre Verarbeitung und die rechtliche Begründung in Ihrer Datenschutzrichtlinie auf.

Sicherung Ihrer Daten

  • Verwenden Sie Verschlüsselungsprotokolle und andere Methoden zur Gewährleistung der Anonymität personenbezogener Daten, wo dies möglich ist.
  • Erstellen Sie eine Datensicherheitsrichtlinie und sorgen Sie dafür, dass Ihre Mitarbeiter darin geschult werden. Überprüfen Sie Ihre Richtlinie regelmäßig und setzen Sie die darin enthaltenen Bestimmungen durch.
  • Stellen Sie sicher, dass Sie über einen Plan zur Reaktion auf Vorfälle verfügen, um Verstöße zu melden, Probleme zu entschärfen und Abhilfemaßnahmen zu ergreifen, damit ähnliche Vorfälle in Zukunft vermieden werden können.

Überwachung Ihrer Daten

  • Wählen Sie eine Person aus, die dafür verantwortlich ist, dass die DSGVO-Compliance unternehmensweit umgesetzt wird.
  • Vergewissern Sie sich, dass Sie mit allen Dritten, die Daten für Ihre Organisation verarbeiten, eine Vereinbarung zur Datenverarbeitung aufsetzen und unterzeichnen.
  • Wenn Sie außerhalb der EU tätig sind, sollte ein Vertreter aus der EU ernannt werden.
  • Bei Bedarf sollten Sie einen Datenschutzbeauftragten ernennen.

Überlegungen zum Datenschutz

  • Stellen Sie sicher, dass personenbezogene Daten einfach gelöscht werden können, wenn betroffene Personen dies fordern.
  • Machen Sie es den Kunden leicht, die Verarbeitung ihrer Daten zu stoppen, wenn sie dies wünschen.
  • Stellen Sie sicher, dass Ihre Kunden die personenbezogenen Daten, die Sie über sie haben, in einem Format erhalten, das leicht übertragen werden kann.
  • Ermöglichen Sie ein einfaches Widerspruchsverfahren, wenn Sie aufgefordert werden, die Datenverarbeitung zu stoppen.
  • Wenn Ihre automatisierten Prozesse eine Entscheidungsfindung beinhalten, stellen Sie sicher, dass Sie über Verfahren zum Datenschutz verfügen.

Herausforderungen für DSGVO-Compliance

Text

Die Einhaltung der strengen DSGVO bringt jede Menge Herausforderungen mit sich. Länder auf der ganzen Welt haben jedoch erkannt, dass die strengen Richtlinien zum Schutz personenbezogener Daten nicht nur im Interesse des Einzelnen, sondern auch im Interesse des Unternehmens sind. Viele Länder entwickeln daher Compliance-Vorschriften nach dem Vorbild der DSGVO. Einige nennenswerte sind der California Consumer Privacy Act (CCPA), der vorgeschlagene kanadische Digital Charter Implementation Act und der brasilianische Lei Geral de Protecao de Dados (LGPD).

Um die Vorschriften einzuhalten, müssen Unternehmen die schwierige Arbeit leisten, die Rechte der betroffenen Personen zu schützen, Folgenabschätzungen durchzuführen, Vorfälle wie Datenschutzverletzungen zu melden und sicherzustellen, dass sie über Prüfverfahren verfügen. Darüber hinaus ist die DSGVO zwar eine EU-Verordnung, aber ihre Auswirkungen sind global, da auch Unternehmen, die Mitarbeiter oder Kunden außerhalb der EU haben oder die Daten verwenden, die außerhalb der EU verarbeitet werden, die Vorschriften einhalten müssen.

IT-Mitarbeiter haben bei der Einführung der DSGVO vielleicht manuelle Prozesse oder sogar vorübergehende Kontrollen eingesetzt, um die Anforderungen zu erfüllen, aber dieser Ansatz ist nicht nachhaltig. Stattdessen erfüllt eine robuste, automatisierte und optimierte Datenschutztechnologie besser die strengen gesetzlichen Anforderungen an die Beschränkung des Zugriffs auf personenbezogene Daten und die Sicherung von Daten im Ruhezustand und in Bewegung. 

Sicherheit

Angesichts von Datenschutzverletzungen, die Millionen kosten und weitreichende PR-Kosten nach sich ziehen, ist die Gewährleistung der Sicherheit von Daten, die unter die DSGVO fallen, von entscheidender Bedeutung. Die beste Vorgehensweise für IT-Teams besteht darin, in Sicherheitslösungen wie Verschlüsselung, sichere Dateiübertragung und Identitäts- und Zugriffsmanagement zu investieren.

Datenmanagement

Da die DSGVO dem Einzelnen das Recht einräumt, den Zugriff auf seine Daten, deren Übertragung, Löschung oder sonstige Verarbeitung zu verlangen, stehen IT-Teams vor der Herausforderung, effiziente und transparente technische Lösungen zur Verwaltung dieser Anfragen zu finden. Darüber hinaus muss die IT-Abteilung sicherstellen, dass jede gewählte Lösung den Anforderungen entspricht und auditierbar ist. Und um den Anforderungen nach einem Datenschutzverstoß gerecht zu werden, muss die IT-Abteilung sicherstellen, dass sie über ausreichend Personal verfügt und geschult ist, um alle Vorfälle zu melden und zu entschärfen.

Automatisierung

Ein weiteres Problem ist die sichere Speicherung und Verwaltung des Einwilligungsstatus der betroffenen Personen im gesamten Unternehmen. Artikel 30 der DSGVO schreibt vor, dass die Verarbeitung von personenbezogenen Daten aufgezeichnet werden muss. Ursprünglich taten viele Unternehmen dies manuell. Da diese Datensätze jedoch regelmäßig aktualisiert werden müssen, trägt die Automatisierung jedoch dazu bei, diese Anforderung zu rationalisieren, und ermöglicht es der IT-Abteilung, sich auf übergeordnete Aufgaben zu konzentrieren. Plattformen und Tools für die Zusammenarbeit sowie die Einrichtung von Arbeitsabläufen und Geschäftsregeln können dazu beitragen, die Artikel 30-Datensätze leichter auf dem neuesten Stand zu halten. Auch die Workflow-Automatisierung kann integriert werden, um eine schnelle Reaktion der IT-Abteilung auf den Wunsch von Personen zu gewährleisten, die ihre Daten aus mehreren internen und externen Systemen entfernen oder löschen möchten. Automatisierung kann auch dazu beitragen, die Einführung des Datenschutzes für Dritte zu beschleunigen, der unter die DSGVO fällt.

DSGVO-Anforderungen mit einer Suite Sicherheitslösungen erfüllen

Die Einhaltung der DSGVO erfordert einen mehrschichtigen Ansatz, der am besten mit einer Reihe von Sicherheitslösungen erfüllt wird, die nahtlos in Ihr Unternehmen integriert werden können, um die festgelegten Richtlinien durchzusetzen. Die Sicherheitssuite von Fortra bietet eine Vielzahl von sicherheitsorientierten Lösungen, die Ihnen helfen, Ihre GDPR-Verpflichtungen zu erfüllen.

Adaptive Data Loss Prevention (A-DLP)

Bevor personenbezogene Daten überhaupt ausgetauscht werden, wendet Clearswift A-DLP die optimale Sicherheitsbehandlung auf der Grundlage des Inhalts Ihrer Daten und der DSGVO-Datenschutzrichtlinien an. Es ermöglicht die Bereinigung/Redaction, Verschlüsselung und Sperrung oder Löschung sensibler Daten in Echtzeit auf der Grundlage der von Ihnen definierten Geschäftsregeln zur Einhaltung der DSGVO-Vorschriften.

Datenklassifizierung

Die Datenklassifizierungslösungen von Fortra helfen bei der Einhaltung der DSGVO, indem sie die Metadaten einer Datei visuell kennzeichnen, um ihre Verwendung zu schützen und zu kontrollieren. Durch die Hinzufügung einer Klassifizierung können Benutzer besser bestimmen, wie ein bestimmter Teil der Daten behandelt, bearbeitet, gespeichert und schließlich gelöscht werden soll. Die Klassifizierung sorgt für einen optimierten Funktionsumfang sowie eine verbesserte Datensicherheit und Compliance.

Bewertung von Sicherheitslücken und Verhindern von Hackerangriffen

DSGVO-Compliance ist einfacher mit den Sicherheitslösungen von Powertech. Unternehmen können die Sicherheitsschwachstellen ihrer Systeme automatisch identifizieren und quantifizieren sowie ihr System gegen Eindringlinge härten. Darüber hinaus tragen robuste Audit-Funktionen für Benutzer und Systemfunktionen dazu bei, die Audit-Anforderungen gemäß DSGVO zu erfüllen.

Datensichere Dateiübertragung

Umfassende MFT-Lösungen können dazu beitragen, mehrere wichtige Grundsätze der DSGVO zu erfüllen, nämlich die sichere Übertragung personenbezogener Daten durch Verschlüsselung, die Durchführung von Integritätsprüfungen der Übertragungen zum Schutz der Genauigkeit und die Bereitstellung detaillierter Prüfpfade und Berichte über alle Übertragungen. Personenbezogene Daten sind bei der Übertragung und im Ruhezustand geschützt, wobei granulare Benutzerzugriffsrollen für zusätzliche Datensicherheit sorgen.

Infrastrukturschutz

Die Infrastrukturschutz-Suite von Fortra umfasst Tools für Schwachstellenmanagement, Penetrationstests, Simulation von Angreifern und das Erkennen von Hackerangriffen. Diese Lösungen gewährleisten die Einhaltung von Vorschriften, indem sie sicherstellen, dass sensible Daten sicher sind, und indem sie Ihre Infrastruktur überwachen und bewerten, um Risiken zu identifizieren und zu priorisieren. Dank umfassender Berichterstellung können diese Lösungen auch externen Prüfern gegenüber die Einhaltung der Vorschriften problemlos nachweisen.

Wir können Sie bei DSGVO-Compliance unterstützen

Kontaktieren Sie die Experten von Fortra für eine kostenlose 30-minütige Beratung darüber, welche Lösungen für Ihr Unternehmen am besten geeignet sind. Wir helfen Ihnen herauszufinden, was Sie als Nächstes tun müssen, um die DSGVO einzuhalten.

IHRE DSGVO-BERATUNG PLANEN