Für Unternehmen bedeutet das, sie müssen Datenbewegungen, die noch dazu von der Datenschutzbehörde (DSB) prüfbar sein müssen, quer durch die EU verfolgen.
Einige Änderungen machen Anpassung von Prozessen notwendig. Beispielsweise werden Datenschutzfolgenabschätzungen verpflichtend, wobei bereits mehrere Unternehmen mit den Datenschutzbehörden zusammenarbeiten. Ab 2018 müssen Datenschutzverantwortliche eine Datenschutzfolgenabschätzung durchführen, wenn mit dem Auftreten bestimmter Risiken für die Rechte und Freiheiten von "Datensubjekten" (in der Regel die betroffenen Personen) zu rechnen ist. Die Abschätzungen müssen der entsprechenden Datenschutzbehörde mitgeteilt werden. In Deutschland sind diese Behörden regional unterschiedlich und auf Bundesebene organisiert. Jedes einzelne der 16 Bundesländer hat seine eigene Institution.
Folgen der DSGVO für IT und Sicherheit
Mit der neuen Verordnung möchte die EU wirklich etwas bewirken. Zuwiderhandelnden wird deshalb mit höheren Strafen gedroht. Im Vergleich zur aktuellen Datenschutzregelung der EU verschärft die DSGVO die Sanktionen für Verstöße erheblich. Nach Verwarnungen können fortgesetzte Verstöße zu Geldstrafen von 20 Millionen Euro oder bis zu 4 Prozent des Umsatzes führen, je nachdem, welcher Betrag höher ist.
Ein Graubereich bleibt die Frage, wie diese Sanktionen auf Regierungen, Gesundheitsdienstleister und die Strafverfolgung angewandt werden, die gar keine Umsätze erwirtschaften. Dieser Punkt wird auf lokaler Ebene noch diskutiert und gilt als kritisch für den Erfolg der DSGVO.
In Deutschland werden bereits verschiedene Datenschutzgesetze angewandt. Unter der neuen DSGVO stellen Compliance-Nachweis und Audits neue Herausforderungen für Unternehmen dar. Die DSGVO integriert Datenschutzregeln in den komplexen Mix aus IT- und Sicherheitsprozessen. Sie wird Folgen für Datenmanagement, Datenschutz, Softwareentwicklung und Systemadministration haben.
Jeder, der Personendaten anfasst, hat jetzt eine gewisse Verpflichtung, die Datenschutzbehörde über Entscheidungen und Aktivitäten im Zusammenhang mit der Einhaltung der DSGVO zu informieren. Als zuständige Person für Datenschutz in der gesamten Infrastruktur kann der DSB mehr Einblick in Prozesse verlangen, die zuvor ausschließlich der Person vorbehalten waren, die mit der eigentlichen Arbeit betraut war.
Diese neuen Vorschriften haben auch Folgen für die Beziehungen zwischen einzelnen Beteiligten. Beispielsweise läuft die Abwicklung eines Großteils des E-Mail-Marketings und der algorithmischen Werbung über dritte Parteien. Serviceanbieter und externe Mitarbeiter müssen in die Compliance-Strategien miteinbezogen werden, um den vollständigen Schutz von persönlichen Daten, Geschäftsprozessen und systemischen Integrationen zu gewährleisten, die für das Funktionieren dieser Beziehungen sorgen und die sich aufgrund der DSGVO ebenfalls ändern werden.
Vier einfache Schritte zur Vorbereitung
Viele Firmen versuchen, ihre Sicherheitsarchitektur darauf vorzubereiten. Der Rummel um das neue EU-Gesetz ist beängstigend, aber eigentlich sind nur vier grundlegende Schritte erforderlich:
Verhindern, dass das falsche Ereignis eintritt
Verstehen, wie das falsche Ereignis eintrat
Das falsche Ereignis so schnell wie möglich korrigieren
Nachweisen, dass das falsche Ereignis korrigiert wurde.
Unternehmen sollten keine Angst vor Cyberangriffen und Eindringlingen haben, die sich Zugang zu ihrem Netzwerk verschaffen. Sie sollten lieber dafür sorgen, nachweisen zu können, dass sie die erforderlichen Maßnahmen zur Minimierung der Bedrohung getroffen haben. Datenschutz hat einen strategischen Aspekt und ist mit höchster Priorität zu behandeln.
Die meisten deutschen Organisationen müssen nicht viel verändern. Normale Nutzer haben eingeschränkten Zugriff auf Daten, und Unternehmen in Deutschland mussten bereits mehrere Mechanismen einführen, um Datenschutz zu gewährleisten. Datenschutzregelungen, die Nutzer und Kunden unterstützen, haben zu einer breiten Anwendung von Sicherheitstools geführt. Kritischer ist der Schutz privilegierter Nutzer, die oft unzureichend verwaltet werden.
Ein privilegierter Nutzer hat administrativen oder "Root"-Zugriff auf ein System. Er ist die Person, die beispielsweise E-Mail-Accounts im Server von Microsoft Exchange hinzufügen, ändern oder löschen kann. Zugriffsprivilegien sollten in der Praxis nur auf vertrauenswürdige Personen erweitert werden. Und wie jedes andere Privileg kann auch der administrative Zugriff wieder entzogen werden. Diese speziellen Nutzer werden immer wichtiger, weil die Entwicklung hin zu mehr Outsourcing und gemeinsamen Konten geht. Deshalb müssen die Strategien zum Erreichen der Compliance und zum Bestehen der Audits angepasst werden.
Normalerweise gibt es verschiedene Freigaben, wobei einige Nutzer mehr administrative Privilegien haben als andere. Ein "Super-Administrator" kann das Recht haben, sich über die Arbeit normaler privilegierter Nutzer hinwegzusetzen. Er ist in der Lage, privilegierte Zugriffsrechte anderer hinzuzufügen oder zu löschen. Einige sind sogar berechtigt, Sicherheitsprotokolle außer Kraft zu setzen. Das ist ein wichtiger Punkt und muss bei der Vorbereitung auf die DSGVO berücksichtigt werden.
Einige Neuerungen, aber nicht alles neu
Privacy by Design: Datenschutzkonzepte müssen standardmäßig in alle Geschäftsprozesse integriert werden. Dadurch wird das Thema Datenschutz deutlich umfassender. Konkret kommen neue Arten der Kundendienst-Interaktionen und Änderungen richtlinienbasierter Systeme auf Unternehmen zu. Durch das Recht auf Löschung und Datenportabilität entstehen völlig neue Workflows, die die Programmierung neuer Funktionen in Erfassungssystemen, wie den Customer-Relationship-Management-Systemen (CRM), erfordern.
Unternehmen mit mehr als 250 Mitarbeitern müssen einen Datenschutzbeauftragten (DSB) ernennen. Der DSB hat eine ähnliche Funktion wie der Chief Compliance Officer. Allerdings wird vom DSB Kompetenz in IT- und InfoSec-Themen erwartet. Er soll in etwa die Rolle einer unternehmensinternen Regulierungsbehörde übernehmen.
Das wahrscheinlich bekannteste Thema ist das neue Recht auf Löschung - EU-Bürger haben ein "Recht auf Vergessenwerden", das einen Mechanismus zur Entfernung von Hinweisen auf die eigene Person aus digitalen Quellen, wie Webseiten, vorsieht. Die DSGVO sieht zudem ein "Recht auf Löschung" vor. Damit kann eine Person unter bestimmten Umständen die Löschung persönlicher Daten beantragen, zum Beispiel wenn eine Datenerfassungsstelle die Compliance-Bedingungen der DSGVO nicht erfüllt.
Der DSGVO zufolge ist der Datenschutzbeauftragte gesetzlich verpflichtet, die "Aufsichtsbehörde" in seinem jeweiligen Land innerhalb von 72 Stunden über den Verstoß zu informieren. In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) diese Funktion. Privatpersonen müssen auch informiert werden, falls ihre persönlichen Daten entwendet wurden oder dies zumindest möglich gewesen wäre - etwa in Folge einer Cyberattacke.
Organisationen müssen einer erweiterten Meldepflicht nachkommen - Datenverantwortliche werden erklären müssen, wie lange persönliche Daten gespeichert werden. Im Rahmen dieses Meldeverfahrens erwerben EU-Bürger das Recht, Entscheidungen, von denen sie betroffen sind und die auf Basis von Algorithmen getroffen wurden, anzufechten.
Zusammenfassung
Die DSGVO harmonisiert Datenschutzstandards in der EU, weshalb Unternehmen in die Aktualisierung ihrer Sicherheitsarchitekturen investieren müssen. Glücklicherweise verfügt Deutschland bereits über ein umfassendes Netzwerk an geltenden Richtlinien, und die meisten Sicherheitsverfahren erfordern lediglich geringfügige Anpassungen, um Compliance gewährleisten und Audits bestehen zu können.
Privilegierte Zugriffsrechte werden immer wichtiger, da IT heutzutage mehr administrative Aufgaben erfordert. Größere Netzwerke, eine wachsende Anzahl an Endpunkten und verstärktes Outsourcing machen es schwer, Einblick in alle Aktionen zu bekommen. Gegebenenfalls muss ein Unternehmen einer Datenschutzbehörde nachweisen, wie es die DSGVO-Vorschriften umsetzt. Das kann durch den Austausch der Dokumentation über privilegierte Zugriffsrichtlinien und einen Audit-Bericht erfolgen, der die Compliance verifiziert. Auch wenn die Datenschutzbehörde das nicht fordert, sollte jedes große Unternehmen seine Richtlinien für privilegierten Zugriff dokumentieren, um den eigenen internen Anforderungen zur Einhaltung der DSGVO zu entsprechen.
Download: Broschüre zur Europäischen Datenschutz-Grundverordnung (Andrea Voßhoff, Bundesdatenschutzbeauftragte)