Zurzeit werden gefühlt wöchentlich neue Studien, Untersuchungen und Umfragen zum Stand der Vorbereitungen auf die DSGVO veröffentlicht. Der einhellige Tenor: Es sieht nicht gut aus. Es soll tatsächlich noch Unternehmen geben, die von dem Thema nichts mitbekommen haben. Viele schieben die Beschäftigung mit der DSGVO auf die lange Bank oder sind so weit von der Umsetzung entfernt, dass sie Mühe haben werden, sie zum Stichtag zu schaffen. Aber Negativ-Meldungen am laufenden Meter bringen die Dinge nicht voran.
Auch wenn beim Datenschutz die Geschäftsleitung den Hut auf hat, ist es die Aufgabe der IT, sich um die technische Umsetzung zu kümmern. Dabei müssen die folgenden Aspekte einbezogen werden:
- Was alle Unternehmen im Hinblick auf die DSGVO berücksichtigen müssen, ist das Risiko von Verlust und Diebstahl personenbezogener Daten durch die eigenen Mitarbeiter. Die Möglichkeiten reichen von der versehentlich per E-Mail verschickte Datei mit sensiblen Daten über Kopien auf USB-Sticks bis zur nicht genehmigten Nutzung von Cloud-Anwendungen.
- Die Benutzung tragbarer Speicher muss reguliert werden. USB-Sticks gehören nach wie vor zu den beliebtesten Medien für den Datentransport. Ihre geringen Abmessungen machen sie allerdings anfällig dafür, dass sie unbemerkt verloren, vergessen oder gestohlen werden. Unverschlüsselt sind die gespeicherten Daten für den Finder oder Dieb lesbar. Zudem kann über fremde USB-Sticks Malware an den Antiviren-Lösungen vorbei ins Unternehmensnetz gelangen.
- Die Verantwortlichen im Unternehmen müssen wissen, wo personenbezogene Daten in unstrukturierter Form liegen, auf den Desktops der Mitarbeiter oder in Cloud-Speichern. Denn das Unternehmen muss laut Kapitel 3 der DSGVO in der Lage sein, betroffenen Personen Auskunft über gespeicherte Daten zu geben, Daten zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken. Dafür müssen neben Melde- und Dokumentationsprozessen für Anfragen und Auskünfte auch Suchverfahren eingerichtet werden.
- Die meisten Unternehmen arbeiten heute mit Sicherheitsrichtlinien. Sie müssen daraufhin abgeklopft werden, ob sie die Anforderungen der DSGVO berücksichtigen, und ggf. ergänzt werden. Aber im Grund weiß im Unternehmen jeder, dass sie nur so lange eingehalten werden, wie sie den Mitarbeitern keine Umstände machen. Mit anderen Worten: Ohne die Möglichkeit, ihre Einhaltung zu überwachen, ist Compliance mit der DSGVO nicht zu erreichen. Die Überwachung ist nur auf technischer Grundlage möglich.
Hierfür sind Lösungen für Data Loss Prevention wie unser Produkt Endpoint Protector Stand der Technik. Die Software stellt die Umsetzung der Sicherheitsrichtlinien an den Arbeitsplatzrechnern im Unternehmen sicher und überwacht deren Einhaltung. So lokalisiert sie unstrukturierte Daten und ermöglicht dem Unternehmen die Entscheidung, was damit geschehen soll. Zudem greift sie bei riskanten Aktivitäten mit DSGVO-relevanten Daten ein. Beispielsweise erzwingt sie bei zugelassenen Transfers von sensiblen Daten auf USB-Sticks ihre Verschlüsselung und blockiert ihren Upload in Cloud-Speicher oder ihren Versand per E-Mail.
Was komplex und aufwendig klingt, ist in der Anwendung kinderleicht. Vorinstallierte Appliances ermöglichen die Installation in kürzester Zeit. Und bei der Einrichtung sorgen vorinstallierte Richtlinien dafür, dass die Lösung schnell in Betrieb gehen kann und keine DSGVO-relevanten Aspekte vergessen werden. Bei der Umsetzung von technischem Datenschutz kann es sich die IT tatsächlich mal einfach machen.
