Noch nicht bereit für die EU-DSGVO? In 7 Schritten startklar!

GDPR

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) tritt im Mai dieses Jahres in Kraft. Die neuen Regeln stellen eine große Herausforderung für Unternehmen sowie ihre Anwendungen, Daten, Plattformen und Sicherheitsprozesse dar.

Obwohl das Datum immer näher rückt, haben einige Unternehmen noch nicht einmal mit der Vorbereitung begonnen. Spätestens jetzt sollten sie folgende Schritte durchführen:

1. Rechtslage prüfen

Bei der DSGVO geht es nicht nur um IT. Unternehmen sollten auch aus rechtlicher Perspektive Informationen zu den gespeicherten und genutzten Daten einholen. Zum Beispiel: Wie lange werden sie aufbewahrt, wo befinden sie sich und wie und warum werden sie verwendet?

2. Definieren der „Persönlich Identifizierbaren Informationen“ (PII) 

Auf konzeptioneller Ebene ist zu definieren, welche personenbezogenen Daten verwendet werden. Dazu dient das Erstellen eines PII-Datenmodells für das gesamte Unternehmen. Dies bildet die Grundlage für die weiteren Schritte.

3. Daten auf Geschäftsfunktionen abbilden

Unternehmen müssen erfassen, welche Daten von welchen Teams zu welchem Zweck verwendet werden. Zudem ist zu prüfen, ob jeder Unternehmensbereich nur die für ihn erforderlichen Daten verwendet.

4. Daten den Anwendungen zuordnen

Der nächste Schritt besteht in der genauen Lokalisierung der Daten, also wo sie tatsächlich gespeichert sind. Dazu dient zum Beispiel eine Matrix von Datenmodell-Entitäten für die Anwendungen. Dabei sollte jeder Matrix-Eintrag zeigen, ob die Anwendung die Daten erstellt, liest, aktualisiert oder löscht. Zusätzlich ist die „Reise“ der Daten durch Anwendungen und Systeme sowie Kopien dieser Daten nachzuvollziehen.

5. Bewertung von Anwendungsfällen der EU-DSGVO

Unternehmen sollten nun mögliche Anwendungsfälle der DSGVO identifizieren, die mit personenbezogenen Daten zusammenhängen, und deren Auswirkungen bewerten. So sind Fragen von Betroffenen zu beantworten, wie: „Wozu verwenden Sie meine Daten?“ Eine weitere Anforderung ist das „Recht, vergessen zu werden“, das meist Änderungen bei Anwendungen und Datenbanken erfordert.

6. Minimierung von Sicherheitsrisiken

Der nächste Schritt ist die Bewertung der Sicherheitsrisiken beim Zugriff auf die Daten. Dies muss die Geschäfts-, IT- und Betriebssicht abdecken. Damit lassen sich zahlreiche notwendige Maßnahmen erkennen, zum Beispiel Beschränkung des Datenzugriffs, Änderung der Bereitstellungsarchitektur mit Zonen erhöhter Sicherheit oder technische Schutzmaßnahmen wie Verschlüsselung.

7. Erkennung von Sicherheitsvorfällen

Dieser Schritt ergänzt die Sicherheitsmaßnahmen durch Intrusion Detection und Benachrichtigungen. Im Falle eines Verstoßes ist eine Folgenabschätzung nötig, die auf Beweisen basieren muss. Welche Informationen sind dazu nötig und wie lassen sie sich proaktiv erfassen? Laut DSGVO müssen die zuständigen Behörden innerhalb von 72 Stunden nach einem Vorfall benachrichtigt werden. Zur Erfüllung dieser Anforderung sind die entsprechenden Prozesse zu überprüfen.

Eine vollständige Vorbereitung auf die EU-DSGVO umfasst natürlich mehr als diese Punkte. Aber sie stellen die grundlegenden Schritte dar. Zudem bilden sie die Basis für eine gut organisierte und geschäftsorientierte IT. So ermöglichen sie zum Beispiel eine Rückverfolgbarkeit der Prozesse. Dies beantwortet nicht nur Fragen im Rahmen der DSGVO, sondern auch zur Unterstützung der Geschäftsziele.

Haben Sie Fragen zu diesem Thema? Kontaktieren Sie uns und einer unserer Experten kommt gerne auf Sie zurück.

LEAVE A REPLY

Please enter your comment!
Please enter your name here