DSGVO und IT-Sicherheit - ist das das Gleiche?
Das Schreckgespenst „Datenschutz-Grundverordnung“ (DSGVO) oder auf Englisch „General Data Protection Regulation“ (GDPR) geistert seit einigen Monaten durch alle Abteilungen die irgendetwas mit IT zu tun haben. Die abstrakte Formulierung der DSGVO lässt oft berechtigte Zweifel aufkommen, ob die Umsetzung überhaupt mit technischen Tools unterstützt werden kann. Daher wollen wir zunächst die Ausrichtung der DSGVO unter die Lupe nehmen, bevor wir Ihnen ein paar möglichst konkrete Hilfsmittel zur Umsetzung nennen.
Was steckt eigentlich dahinter?
Die DSGVO ist eine EU-Verordnung, in der der Umgang mit personenbezogenen Daten geregelt wird. So lange ein Unternehmen innerhalb der EU tätig ist und dabei personenbezogene Daten erfasst, muss es sich an die Verordnung halten. Personenbezogen sind übrigens alle Daten, „die sich auf […] eine identifizierbare natürliche Person beziehen“ – kurz: Bereits der Name einer Person genügt.
Konkret muss bei der Verarbeitung all dieser Daten geprüft werden ob sie tatsächlich nötig, rechtmäßig erfasst, korrekt, aktuell und ordentlich geschützt sind. Wie das geht ist in der Richtlinie – gesetzestypisch - nicht genau geregelt. Völlig eindeutig ist nur der letzte der 99 Artikel: „Diese Verordnung […] gilt ab dem 25. Mai 2018“.
Inwiefern betrifft das eine interne IT?
Auf den ersten Blick – überhaupt nicht. Zumindest soweit der Betrieb von CRM Systemen und ähnlichem, anderen Abteilungen obliegt. IT-Sicherheit oder auch „operative IT-Sicherheit“ wie wir sie in der IT kennen ist nämlich gar nicht unmittelbarer Gegenstand der DSGVO – tatsächlich klingt gerademal in einigen wenigen Artikeln die Notwendigkeit von IT-Sicherheit durch: Von „Integrität“ und „geeigneten technischen und organisatorischen Maßnahmen“ ist verschiedentlich zu lesen.
Warum ist IT-Sicherheit dann doch ein Thema?
Wer sich genauer mit der Richtlinie beschäftigt, stellt recht schnell fest: Ohne IT-Sicherheit geht es nicht! Sobald personenbezogene Daten im IT-System landen, müssen sie sorgfältig behandelt und eben auch geschützt werden. Sobald Daten in unberechtigte Hände gelangen muss diese Schutzverletzung unmittelbar gemeldet werden – Behörden aber auch Betroffenen. Für die IT bedeutet das: Jede Sicherheitsverletzung, also erfolgreiche Malware Attacke, jeder unberechtigte Zugriff von außen (etwa durch echte Zugangsdaten die durch Phishing entwischt sind) und jeder Verlust eines unverschlüsselten USB-Sticks muss Behörden und Kunden gemeldet werden. Passiert das nicht drohen drakonische Strafen. 10-20 Millionen Euro (je nach Art des Verstoßes) bzw. 2-4% des weltweiten Umsatzes (der höhere Wert gilt) stellt die DSGVO in Aussicht.
Was ist zu tun?
Spätestens jetzt sollte sich jede IT Abteilung (erneut) Gedanken über Gefahrenabwehr im Bereich IT-Sicherheit machen. Vernünftige Antivirenprogramme und ein Patchmanagement sind hier nur die Basis. Verschlüsselung von USB Stick und Festplatten entscheiden im Zweifel darüber ob sämtliche Kunden über den Verlust eines USB-Sticks oder Laptops informiert werden müssen oder nicht. Applikationskontrolle schützt wirksam vor der Ausbreitung von Ransomware (die inzwischen Daten in die Cloud lädt und mit Veröffentlichung statt mit Löschung droht). Begrenzung von administrativen Rechten ist die Basis dafür, dass Sicherheitsrichtlinien nachweisbar umgesetzt werden können (Ja- auch die Nachweisbarkeit ist ein großes Thema der DSGVO), die Erfassung von IT-Assets (Stichwort: Discovery) ist die Grundlage dafür, dass auch wirkliche alle Systeme geschützt werden. Sogar die definierten IT-Prozesse (Stichwort: Automatisierung) sind relevant. Denn der Zugriff eines einzigen ehemaligen Mitarbeiters auf das unternehmenseigene CRM ist – Sie ahnen es schon – ein Datenschutzverstoß, der sowohl Behörden als auch dem Kunden selbst gemeldet werden muss.
Kann ich der DSGVO entsprechen ohne mich um IT-Sicherheit zu kümmern?
Vermutlich nicht – vom Wechsel zu Papier und Stift mal abgesehen. Ein ordentlich gesichertes, aktuelles und überwachtes IT-System ist eine elementare Grundlage, ohne die es nicht möglich sein dürfte sich DSGVO-konform zu verhalten. Es ist die Grundlage, damit alle weiteren Maßnahmen überhaupt funktionieren können.
Weitere Informationen?
Melden Sie sich zu unserem Webinar über DSGVO an:
http://webinar.ivanti-marketing.com/angst-vor-der-umsetzung-der-dsgvo-gdpr/
In unseren 30-minütigen Webinaren stellen wir Ihnen wöchentlich anhand unterschiedlicher Themenbereiche den Aspekt der Unified IT vor und zeigen Ihnen, dass eindeutige Grenzen zwischen den verschiedenen IT-Disziplinen nicht existieren und ihr Zusammenspiel spannende Möglichkeiten bietet.
http://webinar.ivanti-marketing.com
Ivanti Informationen zur DSGVO-Compliance:
https://www.ivanti.de/solutions/needs/simplify-gdpr-compliance