Die DSGVO einhalten - wie Sie es noch schaffen können

Kategorie:
 | Autor: Alexander Rubinstein
Die DSGVO einhalten - wie Sie es noch schaffen können

Worum geht es in der DSGVO?

Ziel der DSGVO ist der Schutz personenbezogener Daten. Weil die bisherigen Bestimmungen nicht dazu geführt haben, das in den meisten Unternehmen irgendetwas in dieser Richtung passiert, sind die neuen Regelungen sehr viel konkreter - und im Schadensfall mit schmerzhafteren Strafen für die Nichteinhaltung belegt.

Kurz zusammengefasst geht es in der DSGVO einfach nur darum, dass Sie sich Gedanken machen,

  • bei welchen Abläufen im Unternehmen Sie
  • aus welchem Rechtfertigungsgrund
  • welche Arten von personenbezogenen Daten verarbeiten,
  • ob Sie sich dazu Dritter bedienen,
  • wie Sie diese Daten speichern,
  • welches Risiko dabei jeweils besteht und
  • mit welchen technischen Maßnahmen Sie diese Daten entsprechend dem festgestellten Risikoniveau schützen.

Formale Anforderungen

  • Ihre Überlegungen und Feststellungen sowie die ergriffenen Maßnahmen müssen Sie in vorgegebener Form dokumentieren.
  • Unnötige Nutzungen personenbezogener Daten ohne ausreichenden Rechtfertigungstatbestand müssen Sie einstellen.
  • Dort, wo der gegenwärtige Schutz nicht ausreicht, müssen Sie tätig werden und den Schutz verbessern.

Was sind personenbezogene Daten?

Personenbezogene Daten sind zum Beispiel:

  • Personaldaten ihrer Mitarbeiter
  • Bewerbungen
  • Ansprechpartnerdaten Ihrer Geschäftspartner (Namen, Mailadressen, Telefonnummern, Anschriften etc.)
  • Kreditkartendaten und ähnliches
  • Alle personenbeziehbaren Daten aus ihren Geschäftsprozessen, wenn Sie für private Kunden arbeiten, z.B. medizinische Daten, Kaufhistorie, Interessen
  • Empfängerlisten von Newslettern
  • Website-Logs (sofern nicht anonymisiert)

Vorsicht - die Bedrohung ist ungezielt

Leider ist die größte Gefahr meist gar nicht, dass Sie gezielt angegriffen werden, sondern dass Sie Opfer einer ungezielten, internetweiten "Schleppnetz"-Kampagne zur Erbeutung personenbezogener Daten werden oder einfach ein Versehen aus mangelndem Sicherheitsbewusstsein bei einem Mitarbeiter passiert. "Wir sind doch kein lohnendes Ziel" ist also keine praktikable Ausrede für Nichtstun.

Die DSGVO als Chance

Die IT-Sicherheit ist auch aus Unternehmenssicht extrem wichtig - und bisher oft nicht ausreichend umgesetzt. Begreifen Sie die DSGVO daher durchaus auch als Chance: wenn Sie personenbezogene Daten identifizieren und schützen, können Sie das bei der Gelegenheit gleich für Ihre sonstigen Daten auch tun - die Schutzmechanismen sind die gleichen.

Schutzmaßnahmen

Maßnahmen zum Schutz könnten zum Beispiel sein:

  • Bedarfsorientierte Rechtevergabe auf Daten, Dokumente, Verzeichnisse, Anwendungen statt "alle dürfen weil es so einfacher ist"
  • Regelungen treffen, wer wir mit welchen Daten arbeiten darf und wie damit umzugehen ist
  • Einführung von technischen Maßnahmen zu Device Control und Data Leakage Prevention, so dass Daten nicht mehr einfach aus dem Unternehmen "mitgenommen" werden können
  • Verschlüsselung von personenbezogenen Daten unabhängig von der technischen Netzadministration
  • Verschlüsselung des Email-Verkehrs
  • Absicherung der Firewall durch restriktive Konfiguration
  • Einführung von Verfahren zur Erkennung von Spähangriffen
  • Verbesserung des Sicherheitsbewusstseins Ihrer Anwender durch Workshops

Bei der Umsetzung dieser Schutzmaßnahmen beraten und unterstützen wir Sie natürlich gerne.

Achtung Auftragsdatenverarbeitung

Besondere Beachtung erfordert es, wenn Sie personenbezogene Daten für Ihre Kunden im Auftrag verarbeiten oder wenn Sie selbst sich zur Verarbeitung personenbezogener Daten Dritter Unternehmen bedienen. Hierfür gilt dann der Tatbestand der "Auftragsdatenverarbeitung" - entsprechende Vertragliche Regeln sind hier in beiden Fällen verpflichtend zu treffen, die bestimmten Anforderungen genügen müssen.

Auch für Daten, die Sie außer Haus verarbeiten lassen, sind Sie sicherheitstechnisch verantwortlich. Achtung - Auftraggeber und Auftragnehmer haften neuerdings bei Datenschutzvorfällen gemeinsam (gesamtschuldnerisch) gegenüber geschädigten Personen! Achten Sie daher darauf, in ihren ADV-Verträgen die Zuständigkeiten und Verantwortungsbereiche klar zu regeln, damit Sie im Innenverhältnis im Schadensfall eine klare Rechtslage haben.

Weitere vertiefende Informationen zur DSVGO

Weitere vertiefende Informationen, Anweisungen, Vorlagen etc. möchten wir hier nicht zum x-ten Male wiederholen, sondern empfehlen Ihnen die Lektüre folgender Seiten bzw. Dokumente:

  • Neue und alte Grundsätze
  • Recht auf Vergessenwerden
  • Recht auf Datenübertragbarkeit (Datenportabilität)
  • Auch neu: Die Rechenschaftspflicht
  • Einwilligungen einholen
Diesen Artikel weiterempfehlen: 

Warum SYMPLASSON für Sie die richtige Wahl ist:

  • HornetSecurity Gold Partner Logo
    "SYMPLASSON verfügt als Partner der ersten Stunde über einen wertvollen Erfahrungsschatz, umfassendes Wissen im Bereich der E-Mail-Sicherheit und tiefe Produktkenntnisse. In Projekten mit komplexen individuellen Anforderungen ist SYMPLASSON zu Hause und liefert uns immer wieder Erkenntnisse aus der Praxis, die uns bei der Weiterentwicklung und Qualitätssicherung sehr helfen. Die langfristige Kundenzufriedenheit mit SYMPLASSON ist beispielhaft. Wir möchten SYMPLASSON als starken Partner daher nicht missen!"
    Tassilo Totzeck, Partner Account Manager
    Hornetsecurity GmbH
  • Jadranko Injic
    "Die SYMPLASSON Informationstechnik GmbH ist ein langjähriger und loyaler Partner und überzeugt vor allem durch Expertise sowie Professionalität."
    Jadranko Injic, Territory Sales Manager Nord-Ost
    WatchGuard Technologies GmbH
  • Horst Müther, Managing Partner GCI Health
    "SYMPLASSON ist sei vielen Jahren eine feste Größe in unserem Arbeitsalltag: Stets zuverlässig und stets beispielhaft professionell. SYMPLASSON bietet uns für die ständig wachsenden IT-Anforderungen immer wieder Lösungen, die sich langfristig hervorragend bewähren."
    Horst Müther, Managing Partner
    GCI Health
    Unternehmensberatung für Kommunikation GmbH
  • Daniel Müller
    "Wir arbeiten seit 2019 mit SYMPLASSON zusammen und sind sehr zufrieden. Egal welchen Bereich es betrifft, die laufende IT-Betreuung, technische Herausforderungen, die Kaufberatung für Hard- und Software oder die Lizenzberatung – alles klappt, unsere Ziele stehen im Mittelpunkt und wir fühlen und rundum perfekt betreut!"
    Daniel Müller, Geschäftsführer
    Management Angels
  • Axel-Rüdiger Schmidt
    "Bereits seit 2007 unterstützt SYMPLASSON das BG Klinikum Hamburg in der Bewältigung der täglichen IT-Aufgaben. Ob im Bereich IT-Sicherheit, Firewall, Netzwerk, Softwareverteilung, Hardwarebeschaffung oder Erarbeitung zukunftsorientierter Lösungen. Stets werden die Ziele erreicht und wir fühlen uns hervorragend, kompetent beraten und unterstützt. Mit Device Control von Endpoint Protector, der Konzeption, Umsetzung und Betreuung durch SYMPLASSON sind wir vollauf zufrieden. Wir haben die Kontrolle über alle Geräte und Schnittstellen und können das Ein- und Ausschleusen von Daten sehr granular regulieren."
    Axel-Rüdiger Schmidt
    BG Klinikum Hamburg gGmbH
Abonnieren Sie jetzt einfach und kostenfrei unseren SYM-Newsletter!
Arbeiten bei SYMPLASSON? Bewerben Sie sich jetzt auf eine unserer attraktiven Stellenausschreibungen!  
anschauen >
©2024 | SYMPLASSON Informationstechnik GmbH

Cloudservice

Development

IT-Magazin