Die DSGVO kommt: Ab März 2018 gilt sie für alle Organisationen, die in der EU aktiv sind. Egal ob persönliche Daten hier gespeichert werden oder eingebundene Parteien sich in der EU befinden. Unternehmen müssen künftig Datenbewegungen, die noch dazu von der Datenschutzbehörde (DSB) prüfbar sein müssen, quer durch die EU verwalten können.
Einiges anders, aber nicht alles neu
IT-Verwantwortliche müssen ihre Prozesse an die Neuregelung anpassen. Beispielsweise gelten Datenschutzfolgenabschätzungen als verpflichtend. Ab nächstem Jahr müssen Datenschutzverantwortliche eine solche Einschätzung durchführen, wenn mit dem Auftreten bestimmter Risiken für die Rechte und Freiheiten von „Datensubjekten” (in der Regel die betroffenen Personen) zu rechnen ist. Die Ergebnisse muss das Unternehmen der entsprechenden Datenschutzbehörde mitteilen. In Deutschland sind hier die Datenschutzbeauftragten der Länder und des Bundes die wichtigsten Ansprechpartner.
Weitere vier Aspekte verlangen Anpassungen:
Privacy by Design
Datenschutzkonzepte müssen standardmäßig in alle Geschäftsprozesse einfließen. Dadurch erweitert sich das Thema Datenschutz über die Firmengrenzen hinaus. Konkret kommen neue Arten der Kundendienst-Interaktionen und Änderungen richtlinienbasierter Systeme auf Unternehmen zu. Durch das Recht auf Löschung und Datenportabilität entstehen neue Workflows. Sie erfordern die Programmierung neuer Funktionen in Erfassungssystemen, wie Customer-Relationship-Management-Systemen (CRM). Neben der nachweislichen Terminierung von Daten können Nutzer beispielsweise die gesicherte Weitergabe ihrer Informationen verlangen.
Datenschutzbeauftragte
Unternehmen mit mehr als 250 Mitarbeitern müssen einen Datenschutzbeauftragten (DSB) ernennen. Der DSB verfügt über eine ähnliche Funktion wie der Chief Compliance Officer - setzt sich allerdings schwerpunktmäßig für den Schutz von persönlichen Daten von natürlichen Personen ein. Allerdings muss er Kompetenzen in IT- und InfoSec-Themen mitbringen. Er soll in etwa die Rolle einer unternehmensinternen Regulierungsbehörde übernehmen. Diese Position darf aber auch durch einen Dienstleister ausgeführt werden.
Recht auf Löschung
Das wahrscheinlich bekannteste Thema ist das neue Recht auf Löschung. Zukünftig besitzen EU-Bürger ein „Recht auf Vergessenwerden“. Es sieht einen Mechanismus zur Entfernung von Hinweisen auf die eigene Person aus digitalen Quellen vor. Damit kann eine Person unter bestimmten Umständen die Löschung persönlicher Daten beantragen, zum Beispiel wenn eine Datenerfassungsstelle die Compliance-Bedingungen der DSGVO nicht erfüllt.
Die DSGVO verpflichtet den Datenschutzbeauftragten gesetzlich, die jeweilige Aufsichtsbehörde in seinem jeweiligen Land innerhalb von 72 Stunden über den Verstoß zu informieren. In Deutschland übernimmt das BSI diese Funktion. Privatpersonen müssen auch informiert werden, falls ihre persönlichen Daten entwendet wurden oder dies zumindest möglich gewesen wäre - etwa in Folge einer Cyberattacke.
Erweiterte Meldepflicht
Organisationen müssen einer erweiterten Meldepflicht nachkommen. IT-Verantwortliche werden erklären müssen, wie lange persönliche Daten gespeichert werden. Im Rahmen dieses Meldeverfahrens erwerben EU-Bürger das Recht, Entscheidungen, von denen sie betroffen sind und die auf Basis von Algorithmen getroffen wurden, anzufechten.
Harte Strafen sollen abschrecken
Die neue Verordnung fällt in den alleinigen Kompetenzbereich der EU und daher sollten Organisationen keine Rücksicht bei der Umsetzung erwarten. Die Gesetzgeber legen großen Wert auf Durchsetzung und Glaubwürdigkeit ihres Gesetzes. Zuwiderhandelnden drohen deshalb höhere Strafen als bisher. Nach Verwarnungen können fortgesetzte Verstöße zu Geldstrafen von 20 Millionen Euro oder bis zu 4 Prozent des Umsatzes führen. Ein Graubereich bleibt die Frage, wie diese Sanktionen auf Regierungen, Gesundheitsdienstleister und Strafverfolgung angewandt werden, die keine Umsätze erwirtschaften. Dieser Punkt steht auf lokaler Ebene noch zur Diskussion und gilt als kritisch für den Erfolg der DSGVO.
In Deutschland finden bereits verschiedene Datenschutzgesetze Anwendung. Unter der neuen europaweiten Regelung stellen Compliance-Nachweis und Audits Herausforderungen für Unternehmen dar. Die DSGVO integriert Datenschutzregeln in den komplexen Mix aus IT- und Sicherheitsprozessen. Sie wird Folgen für Datenmanagement, Datenschutz, Softwareentwicklung und Systemadministration haben. Wichtig ist, dass deutsche Gesetze durch die EU-Verordnung nicht außer Kraft gesetzt werden. Bestehende Rechtsprechung bleibt grundsätzlich bestehen, falls dortige Schwellenwerte über den Vorgaben der EU liegen sollten.
Trotzdem sind die meisten deutschen Organisationen bereits gut aufgestellt. Normale Nutzer erhalten grundsätzlich eingeschränkten Zugriff auf Daten. Unternehmen in Deutschland mussten bereits mehrere Mechanismen einführen, um Datenschutz zu gewährleisten. Datenschutzregelungen, die Nutzer und Kunden unterstützen, haben zu einer breiten Anwendung von Sicherheitstools geführt. Kritischer ist der Schutz privilegierter Nutzer, die oft unzureichend verwaltet werden.
Compliance & Sicherheit mit PAM
Mit “Privileged Access Management” oder “Privileged Account Management” (PAM) bezeichnet Sicherheitslösungen, die genau solche Konten mit erhöhter Sicherheitsfreigabe schützen. Manchmal wird auch Privileged Session Management besprochen, im Grunde geht es aber bei allen Begriffen um den Schutz vor dem bewussten oder unbewussten Missbrauch von privilegierten Benutzerrechten.
PAM bietet eine Lösung, um sämtliche Nutzer mit entsprechenden Freigaben einfach zu verwalten und Policies entsprechend durchzusetzen:
- Echtzeit-Monitoring von Zugriffen mit der Möglichkeit zur Verfolgung und Terminierung von verdächtigem Verhalten
- Granulare Freigabe für genau abgestimmte Netzwerksegmente und Systeme für einzelne User
- Zeitliche Planung von Freigaben und Limitierung Zugriffsrechten
- Zentrale und direkte Verwaltung über alle vernetzen Systeme hinweg
- Erstellung von präzisen Audit-Trails
Wie sieht die richtige PAM-Lösung aus?
Eine umfassende PAM-Lösung sollte aus mindestens drei Modulen bestehen: einem Access Manager, einer Passwortsicherung und einem Session Manager. Dazu sollte die Lösung leicht installierbar und integrierbar sein. Wallix hat eine entsprechen PAM-Lösung entwickelt. Sie arbeitet agentenlos und lässt sich besonders leicht in bestehende Netzwerke und Systeme integrieren.
