Die wichtigsten Schritte zur Erfüllung der gesetzlichen Anforderungen zur DSGVO

Die neue DSGVO sieht im Wesentlichen ein Verbot der Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten vor. Um dies dennoch tun zu dürfen sieht sie Ausnahmen vor, nämlich eine explizite Einwilligung der betroffenen natürlichen Person oder auch möglich durch diverse Gesetze.

Die Erhebung von Daten einer Person hat unter der Devise der „sparsamkeit“ zu erfolgen. Es sollen nur die Daten abgefragt und gespeichert werden, welche für einen bestimmten Zweck benötigt werden.

Alle erhobenen und gespeicherten Daten müssen inhaltlich und sachlich richtig und aktuell gehalten werden.

Die gespeicherten Daten müssen ihrer Schutzbedürftigkeit entsprechend gesichert werden. Die Risikoanalyse unterliegt dabei dem Speicherer der Daten. Im Falle eines Datenlecks wird die Verhältnismäßigkeit der Sicherung der Daten geprüft und abgewogen ob das Schutzniveau als angemessen angesehen wird.

Die Person deren Daten erhoben wurden hat gegenüber jeder Stelle die personenbezogene Daten verarbeitet das Recht auf „vergessenwerden“. Das bedeutet bei Inanspruchnahme dieses Rechts müssen jegliche Daten der Person gelöscht und endgültig „vergessen“ werden.

Jede Person deren Daten gespeichert sind hat das Recht ihre Daten in einer geeigneten Form zu einem anderen Datenerhebenden mitzunehmen. Zu diesem Zweck müssen Daten entsprechend aufbereitet an den neuen Datenerhebenden übergeben werden können.

Nach Aufforderung muss der entsprechenden Person Rechenschaft über Verbleib, Verarbeitung und Einhaltung der Datenschutzrichtlinien abgelegt werden.

In einem Unternehmen sollt Anhand dieser Punkte der Ablauf bei der Erhebung von personenbezogenen Daten untersucht werden und diese Punkt auf den betrieblichen Ablauf adaptiert werden.

Ein Datenschutzbeauftragter ist dafür verantwortlich, geeignete Maßnahmen aufzuzeigen und unterstützt die einzelnen Stellen bei der Umsetzung der Form der Datenerhebung, Datenspeicherung und dem Datenmanagement sowie in Fällen der Auskunftspflicht bei der Dokumentation und Präsentation der eingehaltenen Vorschriften.

Eine Umsetzung der DSGVO Kriterien sollte aus den folgenden Punkten bestehen:

  • Ermittlung, welche personenbezogenen Daten wie, wann und warum verarbeitet werden
  • Ermittlung, welche Verarbeitung datenschutzrechtlich problematisch sein kann
  • Vereinbarungen mit Geschäftspartnern und Angestellten die Zugriff auf Daten haben
  • Einwilligungen der Mitarbeiter zur Verarbeitung personenbezogener Daten
  • Anpassung der betriebsinternen Dokumentation und der Prozesse
  • Beachtung und Einhaltung der Pflichten wie Unterrichtungspflicht und Löschpflicht
  • Unterweisung der Mitarbeiter

Das Internet als Gefährdungspotential für Unternehmen und Organisationen

In modernen Unternehmen ist für PC Arbeitsplätze, Mobilgeräte und Serversysteme eine Internetanbindung unumgänglich. Doch in den letzten Jahren kommen viele neue Geräte in den Infrastrukturen hinzu. Durch Industrie 4.0 sind auch Arbeitsplätze in der Produktion, Maschinen und andere fertigende Systeme an das Netzwerk und den Internetzugang angeschlossen und benötigen diesen um zu funktionieren.

Dies führt im Bereich der IT Sicherheit zu weitreichenden Konsequenzen bei der Sicherung der Netzwerke im Unternehmen.

Das moderne Internet bietet für Unternehmen fast unendliche Möglichkeiten der Vernetzung, Prozessoptimierung und Kommunikation. Doch mit der immer weiteren Digitalisierung, auch ehemals analoger Prozesse, steigt die Gefahr aus dem Internet in vielfältigen Formen.

Eine kontinuierliche Versorgung mit neuesten Updates von Software und Betriebssystemen in einer Betriebsumgebung ist ein Standard, den die meisten Unternehmen heutzutage pflegen und realisieren. Doch mit der Vielzahl neuer Geräte welche durch Firmware – bzw. Softwareupdates automatisch aktualisiert werden steigt auch das Durcheinander von Software die eingesetzt wird. Kommt es bei einer Systemaktualisierung einer eingesetzten Maschine oder eines Geräts zu einer Sicherheitslücke, so ist dies wesentlich schwerer zu erkennen als bei z.B. einer Windows Sicherheitslücke.

So kann eine eigesetzte Webcam mit nicht abgesichertem root Zugriff eine lang nicht bemerkbare Sicherheitslücke darstellen, welche im schlimmsten Fall ein offenes Tor zum firmeninternen Netzwerk darstellt.

Einen wesentlich größeren Teil des Gefährdungspotenzials durch das moderne Internet stellen Cyberangriffe dar. Hier sind die direkten Angriffe auf Maschinen zu benennen, wie Portscans und die Ausnützung von offenen Ports, DOS Attacken welche die Firmenkommunikation in fast allen Bereichen lahmlegen können, sowie das Ausnutzen von Sicherheitslücken in Routern, Firewalls oder auch WLAN Systemen Vorort.

Aber auch das Sicherheitsrisiko, welches von Mitarbeitern ausgehen kann. Das Öffnen einer E-Mail mit beinhalteter Schadsoftware oder auch nur einem Phishing Link kann fatale Folgen für die Sicherheit im Unternehmen haben. Fake Internetseiten welche Userdaten und Passworte erfragen oder aber ein gefälschter Anruf eines Support Mitarbeiters der Daten erfragt. Die Gefährdung aus dem Internet ist nicht mehr nur eine in schlechtem Deutsch geschriebene E-Mail mit der Bitte die Kontodaten für eine größere Überweisungssumme preis zu geben, sondern ein für Cyberkriminelle lukrativer Weg viel Geld zu verdienen.