Artikel rund um die neue EU Datenschutzgrundverordnung (EU-DSGVO) oder spriessen aus dem Boden wie die Frühlingsblumen bei warmen Temperaturen. Die Verunsicherung der Unternehmen ist gross und endet oft in einer Art Schockstarre. Wir möchten euch deshalb nicht auch noch Paragraphen um die Ohren werfen, sondern die Thematik auf drei Hauptpunkte runterbrechen um euch in diesem Prozess zu unterstützen.
Mal vorneweg: Die Idee hinter dem DSGVO wiederspiegelt meines Erachtens dem “Common sense” zum Thema Datenschutz. Wenn ich bei Digitec ein Smartphone oder bei Zalando neue Schuhe bestelle, dann möchte ich, dass meine persönlichen Daten erstens sicher aufbewahrt werden und zweitens nicht in die falschen Hände geraten. DSGVO kümmert sich im Grunde genau darum. Ich hoffe und gehe davon aus, dass die meisten Firmen diesen Gedanken teilen und ihre Kundendaten bereits jetzt nach bestem Wissen und Gewissen schützen. Zugegeben: Teilweise schiesst das Gesetz im KMU Bereich mit Kanonen auf Spatzen. KMUs haben es wiederum aber im Gegensatz zu Grossfirmen sehr einfach, die schützenswerten Daten zu identifizieren. Das Thema wird im letzten Abschnitt näher behandelt.
Wenn wir uns die Verordnung genauer anschauen dann erkennen wir, dass natürlichen Personen mit Wohnsitz in der EU hauptsächlich folgende drei Grundrechte erteilt werden:
- Recht auf Auskunft
- Recht auf Löschung
- Recht auf Schutz vor unbefugtem Zugriff
Somit sind von DSGVO alle Firmen betroffen, welche personenbezogene Daten von natürlichen Personen aus der EU speichern und/oder verarbeiten.
Um diese drei Grundrechte zu erfüllen, muss ich als Firma zuerst wissen wo diese Daten genau liegen. Damit wären wir schon bei der Kernherausforderung angekommen.
Problematik: Wo liegen den meine Kundendaten?
In den meisten Firmen besteht dafür kein laufender Prozess. In der Vergangenheit wusste meist die IT-Abteilung (zumindest ungefähr) wo die Kundendaten liegen. CRM und ERP sind die Klassiker. Vielleicht noch ein externes Newsletter-Tool. Ein Webshop. Aber oft gibts keine Dokumentation darüber, welche Daten wo liegen. Gibt es vielleicht noch Excel Sheets von denen nur die Aussendienstmitarbeiter wissen? Und mit zunehmender Grösse der Firma wird es noch undurchsichtiger. Zudem: Im Cloud-Zeitalter abonnieren Abteilungen oftmals eigenständig externe Services und Applikationen von denen die IT nichts mehr weiss. Das Chaos ist perfekt.
Genau hier setzt DSGVO an.
Die DSGVO zwingt Firmen dazu, sich Gedanken zu machen welche Kundendaten wo liegen und dies als zentralen Prozess in die Unternehmenskultur einzubinden. Daten müssen identifiziert und klassifiziert werden. Je nach Firmengrösse eine sehr komplexe Aufgabe. Bei kleineren Firmen und KMU’s hält sich der Aufwand in der Regel in Grenzen. Oftmals ist dieser Prozess aber auch der Startschuss für eine Konsolidierung der Services, was somit dazu dient, die IT wieder übersichtlicher und einfacher zu gestalten.
Recht auf Auskunft und Löschung
Sobald ich weiss welche Kundendaten wo liegen kann ich die eigentlichen Anforderungen und Prozesse in Angriff nehmen. Recht auf Auskunft und Löschung bedeutet: Der Kunde hat ein Recht zu erfahren welche Daten die Firma über Ihn gespeichert hat. Die Firma hat nach einer solchen Anfrage 30 Tage Zeit die Informationen zu liefern. Das Gesetz verlangt einen definierten Prozess dafür. Der Kunde kann auf gleichem Weg seine Daten auch löschen lassen.
Recht auf Schutz vor unbefugtem Zugriff
Wer hat Zugriff auf meine persönlichen Daten? Gibt es Personen in der Firma, die diese Daten bei der täglichen Arbeit nie benötigen, aber trotzdem Zugriff haben? Wie sind diese Zugriffe abgesichert? Passwort? Multi-Factor Authentication? Wie sind die Server geschützt? Werden die Kundendaten verschlüsselt in die Cloud übertragen? Verfügt mein Kundenportal über eine Web Application Firewall? Fragen, welche ihr euch unbedingt stellen solltet, unabhängig davon ob eure Firma von der DSGVO betroffen ist oder nicht.
Was nun?
Das DSGVO Projekt kann auf den ersten Blick durchaus erschlagend wirken. Lasst euch davon nicht entmutigen. Nutzt die Chance, eure Services zu analysieren und wo nötig vielleicht sogar Services zu konsolidieren. In kleineren Firmen können IT Abteilung und die Geschäftsführung gemeinsam eine erste Aufstellung der Daten vornehmen und sehen so relativ schnell, welche Komplexität das ganze Projekt aufweist und wo es Optimierungspotential gibt. In kleinen Umgebungen kann DSGVO problemlos innerhalb weniger Tagen umgesetzt werden. Grössere Firmen mit komplexeren Umgebungen sind meist auf externe Hilfe angewiesen. Spezialisierte und erfahrene IT Dienstleister unterstützen euch auf diesem Weg und sorgen dafür, dass eure Umgebung den aktuellen Sicherheitsanforderungen genügen.
Hauptaugenmerk auf die Identifizierung der Daten legen!
Wir durften in den letzten Monaten einige Kunden dabei unterstützen, die aktuellen Sicherheitsmassnahmen zu analysieren und basierend darauf Inputs und Optimierungsmöglichkeiten aufzuzeigen. Dank unserem herstellerneutralen Blick können wir unabhängig beraten. Wir empfehlen beim Thema “Schutz vor unbefugtem Zugriff” ein Hauptaugenmerk auf folgende Themen:
- Werden die Daten verschlüsselt von und in die Cloud übertragen?
- Gibt es personalisierte Zugriffe auf Server, Applikationen, etc, sodass eingeschränkt werden kann welcher Benutzer auf welche Daten Zugriff hat?
- Werden meine Server regelmässig aktualisiert?
- Verfügt mein Server über Endpoint Protection?
- Wird eine aktuelle Firewall mit Features wie beispielsweise einem IPS für Zero-Day Protection eingesetzt?
- Werden meine Web Applikationen durch eine Web Application Firewall vor Attacken wie SQL Injection, Crosssite Scripting, etc geschützt?
- Nutze ich ein zentrales Log Correlation Tool (SIEM), um potentielle Gefahren schnell erkennen zu können?
Viele unserer Kunden sind glücklicherweise in diesem Bereich bereits gut unterwegs und müssen wenn überhaupt nur punktuell Verbesserungen vornehmen, sodass das Hauptaugenmerk auf die Identifizierung der Daten und das Aufsetzen der Prozesse gelegt werden kann. Wir haben euch einige Links zusammengestellt, welche euch in diesem Prozess ebenfalls unterstützen können.
- Infinigate: Informationen zur DSGVO
- digitaleschweiz: Was die Schweiz das EU-Recht angeht
Ihr möchtet nochmals in Ruhe über das Thema sprechen? Kontaktiert uns!
Die Verordnung tritt am 25. Mai 2018 in Kraft. Falls ihr nicht sicher sind ob und in welcher Form die Firma betroffen ist, oder falls ihr ganz allgemein die Sicherheit der Umgebung analysieren möchten wird es höchste Zeit für ein erstes Gespräch. Wir unterstützen unsere Kunden gerne, sowohl bei einer ersten Analyse, als auch bei weiterführenden Umsetzungen. Dank unserem Netzwerk an IT Systemintegratoren können wir bei Bedarf auch auf ein breites Kontaktnetz zurückgreifen, und einen passenden Partner für euer Anliegen hinzuziehen.
Simon Kilchmann
.svg){kind=small}
Xelon AG Poststrasse 15, 6300 Zug Switzerland
