#DSGVO: In zehn Schritten checken, worauf es ankommt

Noch immer sind sich viele Unternehmen nicht im Klaren darüber, welche Maßnahmen sie im Zusammenhang mit der Vorbereitung auf die DSGVO ergreifen müssen. Der Anbieter sicherer Anwendungsdienste A10 Networks gibt eine Checkliste an die Hand.

Am 25. Mai 2018 tritt die DSGVO in Kraft. Eine Umfrage des Anbieters von sicheren Anwendungsdiensten A10 Networks hatte 2017 ergeben, dass fast 80 Prozent der IT-Entscheider in Unternehmen nicht wissen, welche Konsequenzen das für sie hat. Lediglich 20 Prozent derjenigen, die sich mit den neuen Verordnungen auseinandergesetzt haben, erfüllten die Auflagen damals bereits.

"Große Unwissenheit"

„Im Gespräch mit den Kunden sehen wir, dass auch kurz vor der Einführung der DSGVO noch große Unwissenheit herrscht. Die Bedrohungen durch Angriffe auf sensible Daten sind jedoch allgegenwärtig. Allein aus diesem Grund sollten Unternehmen die neuen Sicherheitsvorgaben schnell umsetzen“, kommentiert Frank Schumann, Regional Sales Manager T.I.S.P. bei A10 Networks.

„Wem das als Grund nicht reicht, der sollte einen Blick auf die Konsequenzen werfen, die bei Nichterfüllen der Auflagen auf einen zukommen. Die Bußgelder können bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen. Wer die Daten seiner Mitarbeiter oder Kunden nicht richtig schützt, der spielt auch mit seiner Reputation und kann dem Unternehmen signifikante Schäden zufügen.“

Checkliste zur DSGVO – zehn Schritte zur richtigen Umsetzung

• Stellen Sie sicher, dass die von Ihnen implementierten Sicherheitslösungen sich nicht nachteilig auf die Performance auswirken – machen Sie es den Nutzern so einfach wie möglich. Je komplexer Ihre Sicherheitsverfahren für die Nutzer sind, oder je mehr sie sich auf die Performance auswirken, desto eher schaffen sich die Nutzer ihre eigenen Workarounds, was wiederum ein größeres Risiko für Datenlecks durch eigenmächtiges Handeln darstellt.
• Stellen Sie insgesamt sicher, dass Sie über effektive Sicherheitsrichtlinien und die Technologie verfügen, um Ihr Risiko zu minimieren – Dazu gehört auch die Akkreditierung. Ziehen Sie die Implementierung interner Standards für die Informationssicherheit in Erwägung, wie etwa die ISO27001, da die DSGVO zum Großteil auf diesen Standard ausgerichtet ist.
• Klare Kommunikation an die betroffenen Personen – die DSGVO schreibt vor, dass alle betroffenen Personen in klar verständlicher Form darauf hingewiesen werden müssen, dass ihre persönlichen Daten erhoben werden, zu welchem Zweck, und wie lang diese gespeichert werden. Betrachten Sie hierzu jeden Ort, an dem Daten erhoben werden.
• Überlegen Sie, zu welchem Zweck Daten erhoben werden – die DSGVO kennt keine Ausnahmen, wenn es darum geht, welche persönlichen Daten erhoben werden dürfen und welche nicht. Sprechen Sie auch mit den anderen Abteilungen, um zu verstehen, welche persönlichen Daten erhoben wurden, und ob diese unbedingt erforderlich sind. Machen Sie sich auch Gedanken darüber, wie diese Daten wieder gelöscht werden sollen.
• Seien Sie sich über die Rechte der betroffenen Personen im Klaren – Die betroffenen Personen haben das Recht, Zugriff auf die mit Ihnen verbundenen persönlichen Daten zu verlangen, die eine Organisation eventuell speichert oder verarbeitet. Der Zeitrahmen, um solchen Anfragen nachzukommen, wurde von 40 auf 30 Tage gesenkt und damit verbundene Bearbeitungsgebühren wurden abgeschafft. Überprüfen Sie die Prozesse und Arbeitsabläufe für jede dieser Funktionen in Ihrer Organisation. Die DSGVO verlangt, dass diese Funktionen von den betroffenen Personen leicht zugänglich sind.
• Geben Sie den betroffenen Personen die Möglichkeit, ihre persönlichen Daten abzuziehen – Das ist eine neue und bislang unerforschte Vorgabe, daher müssen Organisationen über ein gemeinsames Rahmenwerk untereinander nachdenken, um diese Portabilität von Daten zu gewährleisten. 
• Bewusstsein schaffen – stellen Sie sicher, dass die Entscheidungsträger die Gründe für die Erfüllung dieser Vorgaben verstehen und welche Maßnahmen hierfür erforderlich sind. Die komplette Belegschaft muss über die neuen Arbeitsweisen unterrichtet werden, insbesondere über den Umgang mit persönlichen Daten.
• Führen Sie ein Daten-Audit durch – hierbei sollten alle persönlichen Daten, die von betroffenen Personen gesammelt werden, auditiert und dokumentiert werden, um nachzuvollziehen, welche Daten vorgehalten werden. Die Implementierung effektiver Sicherheitsmaßnahmen ist nur möglich, wenn man versteht, welche Daten man vorhält und den relativen Wert verschiedener Datentypen kennt.
• Führen Sie unbedingt ein Assessment zum Datenschutz durch – Insbesondere für Szenarien, bei denen die Verarbeitung der Daten mit großer Wahrscheinlichkeit ein hohes Risiko für die Rechte der betroffenen Personen birgt.
• Die Vertraulichkeit, Integrität und Verfügbarkeit von Datenverarbeitungssystemen müssen gewährleistet sein und dokumentiert werden – Es müssen Sicherheitsvorkehrungen getroffen werden. Persönliche Daten müssen sowohl während der ruhenden Speicherung als auch bei Bewegungen verschlüsselt werden.