DSGVO Datenschutz-Checkliste: Sieben wichtige Maßnahmen für Unternehmen

München, Starnberg, 16. Juni 2020 - DSGVO-Arbeitshilfe: uniscon – ein Unternehmen der TÜV SÜD Gruppe - stellt sieben essentielle Datenschutz-Maßnahmen vor...

Zum Hintergrund: Die Digitalisierung der Wirtschaft hat Cyber-Kriminellen zahlreiche neue Möglichkeiten eröffnet. Um sich und die Daten ihrer Stakeholder zu schützen, müssen Unternehmen also geeignete Schutzmaßnahmen ergreifen. Was müssen sie dabei primär beachten? Die meisten Vorgaben des Bundesdatenschutzgesetz (BDSG) und der Datenschutz-Grundverordnung (DSGVO) laufen auf die folgende Forderung hinaus: Verantwortliche haben die Sicherheit sensibler Daten zu gewährleisten. Zuwiderhandlungen können dann schnell teuer werden: Bei besonders schwerwiegenden Datenschutz-Verstößen sieht die DSGVO Bußgelder in Höhe von bis zu 20 Millionen Euro bzw. von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes vor (vgl. DSGVO Art. 83).

Die uniscon GmbH - ein Unternehmen der TÜV SÜD Gruppe - bietet als Teil der Digitalisierungsstrategie von TÜV SÜD hochsichere Cloud-Anwendungen und Lösungen für sicheren und gesetzes-konformen Datenverkehr. Das Unternehmen stellt in diesem Zusammenhang für Sie sieben essentielle Datenschutz-Maßnahmen für Unternehmen vor:

1. Compliance-Evaluierung

  • Compliance – also die Einhaltung von Gesetzen und regulatorischen Vorgaben – betrifft alle Unternehmen, jedoch in unterschiedlichem Ausmaß. Je nach Branche können neben DSGVO und BDSG zusätzliche Richtlinien gelten, etwa aus dem Wettbewerbs- oder Finanzrecht.

2. Risikobewertung

  • Als nächsten Schritt sollten Unternehmen eine Risikobewertung durchführen. Denn je schutzbedürftiger die Daten sind, die erhoben und/oder verarbeitet werden sollen, desto aufwändiger müssen die Maßnahmen zu ihrem Schutz ausfallen. Bewertungen dieser Art erfordern häufig die Unterstützung eines Datenschutzbeauftragten.

3. Verschlüsselung

  • Es sollte eigentlich selbstverständlich sein: Sensible Daten gehören verschlüsselt, und zwar sowohl bei der Übertragung als auch bei der Speicherung. [1] Ausreichend verschlüsselte Daten gelten per se als sicher; selbst im Falle eines Datenverlusts sind die Daten für Angreifer ohne den passenden Schlüssel nicht lesbar oder wiederherstellbar.

4. Pseudonymisierung

  • Bei der Pseudonymisierung von personenbezogenen Daten werden gezielt identifizierende Informationen aus Datenschnipseln entfernt. Beispielsweise ersetzt man die Namen von Personen durch zufällig generierte Zeichenketten. So bleiben zwar noch nützliche Daten übrig, diese enthalten allerdings keine sensiblen Informationen mehr.

5. Zugangskontrollen

  • Die Einführung von Zugriffskontrollen in den Arbeitsablauf Ihres Unternehmens ist ebenfalls eine effiziente Methode zur Risikominimierung. Je weniger Personen Zugriff auf die Daten haben, desto geringer ist das Risiko einer versehentlichen oder vorsätzlichen Verletzung oder eines Datenverlusts.

6. Backups

  • Backups können helfen, Datenverluste zu verhindern, die durch Benutzerfehler oder technische Störungen auftreten können. Sie sollten regelmäßig erstellt und aktualisiert werden. Regelmäßige Backups verursachen zwar zusätzliche Kosten für Ihr Unternehmen, aber potenzielle Unterbrechungen des Geschäftsbetriebs sind meist weitaus kostspieliger. (2)

7. Löschung

  • Laut DSGVO sind Unternehmen dazu verpflichtet, die Daten zu löschen, die Sie nicht benötigen (vgl. Art. 5 („Datenminimierung“) und Art. 17 („Recht auf Vergessenwerden“)). Unternehmen sollten daher ein entsprechendes Löschkonzept aufstellen. Darin sind abhängig von der Datenart beispielsweise auch Löschfristen und Laufzeiten festzulegen.

Dazu Ulrich Ganz, Director Software Engineering bei der TÜV SÜD-Tochter uniscon: „Letztlich stehen Unternehmen vor der Wahl, entweder selbst geeignete Maßnahmen zu treffen oder Dienste von Drittanbietern in Anspruch zu nehmen, die sich auf Datenschutz und Datensicherheit spezialisiert haben. Je nach Branche, Unternehmensgröße und Art der erhobenen bzw. verarbeiteten Daten lassen sich dadurch Kosten sparen und Prozesse vereinfachen. Nutzen Unternehmen etwa entsprechend zertifizierte Dienste, erfüllen Sie damit bereits nachweisbar ihre vom Gesetzgeber geforderten Kontroll- und Sorgfaltspflichten...“

[1] Anmerkung: Bei der Verarbeitung müssen die Daten zwar unverschlüsselt vorliegen, können aber durch entsprechende Infrastrukturen so geschützt werden, als wären sie weiterhin verschlüsselt. Beim Confidential Computing oder Sealed Computing erfolgt die Verarbeitung etwa in speziell versiegelten Hardware-Umgebungen, die einen unbefugten Zugriff auf unverschlüsselte Daten zuverlässig ausschließen. Quelle: https://de.wikipedia.org/wiki/Sealed_Cloud


Querverweis:


(2) Hinweis auf Live-Webinar: "Modernes Speicher- und Backup Management für mehr Kostentransparenz an Hand eines Fallbeispiels aus der Versicherungswirtschaft"

  ANZEIGE