KuppingerCole Report
Leadership Brief
By Mike Small

Vorbereitung auf die EU-DSGVO: Sechs Schlüsselaktivitäten

Mit der kommenden EU-DSGVO (Datenschutz-Grundverordnung) im Mai 2018 verändern sich die Anforderungen an den Umgang mit personenbezogenen Daten. Dieser Report identifiziert sechs zentrale Aktivitäten, die innerhalb der IT unternommen werden sollten, um auf die Erfüllung dieser Anforderungen vorbereitet zu sein.

1 Empfehlungen

Im Mai 2018, wenn die kommende EU-DSGVO (Datenschutz-Grundverordnung, engl. GDPR=General Data Protection Regulation) in Kraft tritt, ändern sich die Anforderungen für die Handhabung personenbezogener Daten. Der Bezugsrahmen dieser Verordnung ist sehr breit und betrifft beinahe jegliche Organisation, einschließlich derer außerhalb der EU, die personenbezogene Daten von EU-Bürgern speichert. Die Erfordernisse für die Gewährleistung der Privatsphäre von Konsumenten werden durch diesen neuen Rahmen bedeutend strenger. Dieser Report identifiziert sechs zentrale Aktivitäten, die innerhalb der IT unternommen werden sollten, um sich auf die Erfüllung dieser Anforderungen vorzubereiten.

  1. Personenbezogene Daten aufspüren: Der erste und wichtigste Schritt ist das Aufspüren von personenbezogenen Daten (Personally Identifiable Information, engl. PII), die in Ihren IT-Systemen gespeichert werden. Diese Daten sind wahrscheinlich über Systeme, Anwendungen und Verzeichnisse verteilt und manche werden unstrukturiert abgelegt sein. Ohne diese Daten zu kennen, können angemessene Schutzmaßnahmen weder implementiert noch auf erfolgreiche Funktion getestet werden. Manche Werkzeuge, wie etwa DLP (Data Loss Prevention)- und Data Governance-Lösungen, die Datenbanken, geteilte Verzeichnisse und Endgeräte analysieren können, können das Auffinden dieser Daten unterstützen.
  2. Zugriff kontrollieren: Es liegt in der Verantwortung des Data Controllers (Verantwortlichen) und des Data Processors (Auftragsverarbeiters) sicherzustellen, dass auf PII nur im Einklang mit der durch den Dateneigentümer (Data Subject) getroffenen Einverständnis zugegriffen werden kann. Dies erfordert Mechanismen, die den Zugriff auf diese Daten kontrollieren. Diese Mechanismen müssen autorisierte Zugriffe ermöglichen und nicht autorisierte Zugriffe verhindern. Sie müssen den Dateneigentümern das Recht auf Einsicht und Korrektur aller über sie gespeicherten Daten gewähren. Die Mechanismen müssen sowohl den Zugriff durch Anwendungen auf strukturierte Daten, als auch den individuellen Zugriff auf unstrukturierte Daten in Tabellen, Dokumenten oder Emails abdecken. Außerdem müssen sie die Möglichkeiten beschränken, wie Daten aggregiert werden können.
  3. Einwilligungen verwalten: Wo immer die Einwilligung der betroffenen Person (Data subjects) für die Verarbeitung notwendig ist, muss diese Einwilligung freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich erteilt werden. Eine Einwilligung kann jederzeit durch die betroffene Person widerrufen werden. Die Anpassung von Anwendungen, die personenbezogene Daten verarbeiten, kann notwendig werden, um sicherzustellen, dass diese Anforderungen erfüllt werden. Die Nachweispflicht einer Einwilligung liegt hierbei beim Data Controller (Verantwortlichen) oder dem Data Processor (Auftragsverarbeiters). Das bedeutet, dass Organisationen Prozesse und Technologien implementiert haben müssen, die den Lebenszyklus erteilter Einwilligungen für jede betroffene Person und den jeweiligen Verarbeitungszweck potentiell bis auf Feldebene nachverfolgen. Zugriffsrechte auf die Daten müssen hierbei mit der jeweiligen Einwilligung verknüpft sein.
  4. Cloud-Dienste verwalten: Oben gesagtes gilt auch dann, wenn Daten in Cloud-Diensten gespeichert oder verarbeitet werden. CASB (Cloud Access Security Brokers), oft in Verbindung mit DLP-Lösungen, bieten Mechanismen zur Erkennung und Steuerung, welche Daten in Cloud-Dienste verlagert werden sowie zur aktiven Zugriffskontrolle, etwa durch Verschlüsselung. Wenn Cloud-Dienste genutzt werden, ist es wesentlich, dass der CSP (Cloud Service Provider) in Kenntnis gesetzt wird, dass der Dienst zur Speicherung von personenbezogenen Daten genutzt wird. Darüber hinaus ist es wichtig sicherzustellen, dass der Dienst für diese Zwecke zertifiziert ist, zum Beispiel nach ISO/IEC 27018.
  5. Vorbereitung auf einen Data Breach: Die Verordnung erfordert, dass wenn ein Data Breach (Veröffentlichung ohne Genehmigung) erkannt wird, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden und die betroffenen Personen ohne unangemessene Verzögerung informiert werden. Um das zu ermöglichen, ist es unerlässlich, dass die Organisation einen Plan für den Data Breach-Fall vorbereitet und getestet hat.
  6. Privacy Engineering implementieren: Hierbei handelt es sich um einen Ansatz für den Entwurf und die Implementation von Datenverarbeitungssystemen, der unter anderem in NISTIR-8062 skizziert wird und der sicherstellt, dass diese verlässlich die Anforderungen an die Verarbeitung personenbezogener Daten auf vertrauenswürdige und anforderungskonforme Weise erfüllen. Die Gewährleistung von Privatsphäre ist vergleichbar der Security und kann nicht einfach nachträglich in Systeme implementiert werden die nicht schon grundlegend dafür ausgelegt wurden. Zumindest neue Anwendungen zur Handhabung von PII und deren Design und Implementation sollten diesem Ansatz folgen.

2 Analyse

Es existiert eine Vielzahl an Einführungen in die Details der EU-DSGVO und ihre möglichen Auswirkungen auf Organisationen. Dieser Report soll nich ...

Organisation sollten bereits angemessene Sicherheitsmaßnahmen auf Basis eines geeigneten Frameworks wie dem NIST Cybersecurity Framework ergriffen ...

...

Aktivität

Relevante Werkzeuge

Tabelle 1 zeigt die Kategorien an Werkzeugen die bei den Aktivitäten unterstützen können, die für die Vorbereitung der Compliance zur EU-DSGVO not ...

Login Get full Access

3 Zusammenfassung

Privatsphäre und Sicherheit sind nicht identisch, aber viele der in der Informationssicherheit genutzten Prozesse, Werkzeuge und Technologien sind au ...

Login Get full Access

Copyright

©2021 KuppingerCole Analysts AG all rights reserved. Reproduction and distribution of this publication in any form is forbidden unless prior written permission. All conclusions, recommendations and predictions in this document represent KuppingerCole´s initial view. Through gathering more information and performing deep analysis, positions presented in this document will be subject to refinements or even major changes. KuppingerCole disclaim all warranties as to the completeness, accuracy and/or adequacy of this information. Even if KuppingerCole research documents may discuss legal issues related to information security and technology, KuppingerCole do not provide any legal services or advice and its publications shall not be used as such. KuppingerCole shall have no liability for errors or inadequacies in the information contained in this document. Any opinion expressed may be subject to change without notice. All product and company names are trademarks™ or registered® trademarks of their respective holders. Use of them does not imply any affiliation with or endorsement by them.

KuppingerCole Analysts support IT professionals with outstanding expertise in defining IT strategies and in relevant decision-making processes. As a leading analyst ompany, KuppingerCole provides first-hand vendor-neutral information. Our services allow you to feel comfortable and secure in taking decisions essential to your business.

KuppingerCole, founded in 2004, is a global, independent analyst organization headquartered in Europe. We specialize in providing vendor-neutral advice, expertise, thought leadership, and practical relevance in Cybersecurity, Digital Identity & IAM (Identity and Access Management), Cloud Risk and Security, and Artificial Intelligence, as well as for all technologies fostering Digital Transformation. We support companies, corporate users, integrators and software manufacturers in meeting both tactical and strategic challenges and make better decisions for the success of their business. Maintaining a balance between immediate implementation and long-term viability is at the heart of our philosophy.

For further information, please contact clients@kuppingercole.com.

top