Gastbeitrag zur DSGVO: Bei Fehlern drohen hohe Strafen, warnt Christoph Heichinger
Foto: ACP
Der Autor Christoph Heichinger ist Leiter der Business Unit Cloud bei ACP
Die neue Datenschutz-Grundverordnung der EU (DSGVO) tritt am 25. Mai 2018 in Kraft und regelt den Umgang mit Daten europaweit neu. Unternehmen wird eine höhere Eigenverantwortung übertragen, während sie gleichzeitig zu dichteren Datenschutz-Compliances angehalten sind. Im Falle von Nichteinhaltung drohen hohe Strafen: Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des Konzern-umsatzes im vorangegangenen Geschäftsjahr.
Was ändert sich für Unternehmen?
Die DSGVO betrifft alle Unternehmen, die in irgendeiner Form personenbezogene Daten erfassen und verarbeiten. Intern muss genau geprüft werden, welche Mitarbeiter in welchen Funktionen Zugriff auf welche Daten haben. Der unvorsichtige Umgang mit sensiblen Daten – zum Beispiel, wenn Mitarbeiter firmenbezogene Dokumente in der privaten Dropbox speichern – kann teuer werden. Für Unternehmen gilt es daher, unbefugte Zugriffe auf sensible Daten zu verhindern. Das passiert in erster Linie durch Anpassung der Zugriffsrechte und Spezialsoftware.
Datensicherheit in der Cloud.
Die IT-Security beruht auf den drei Säulen Technik, Organisation und Mensch. Ein großer Teil der Sicherheitsvorfälle wird durch menschliches Versagen ermöglicht oder verursacht. Eine entsprechende Sensibilisierung und Schulung der Mitarbeiter ist also unerlässlich.
Weitere Schritte zur Datensicherheit in der Cloud sind einfach umzusetzen. Viele Anbieter setzen aus Gründen der Usability auf simple Anmeldeprozesse – das ist sicherheitstechnisch bedenklich, da Angreifer leichter an die Zugangsdaten und damit an sensible Daten gelangen können. Für mehr Datensicherheit sollte die Multi-Faktor-Authentifizierung verwendet werden, die zwei oder mehr unabhängige Berechtigungshinweise kombiniert.
Ganzheitliche Verschlüsselung sollte bei sensiblen Daten mit hohem Schutzbedarf angewendet und entsprechend beim Cloud-Anbieter gespeichert werden. Das schließt auch ein umfassendes Rechte- und Identity-Management mit ein, welches an allen Arbeitsstationen umgesetzt wird.