EU-Datenschutz-Grundverordnung: Unbefugte werden zum teuren Risiko

Posted by:Evelyn Seeger
26 April 0
  • Geldbuße: Bis zu vier Prozent des Jahresumsatzes
  • Access Rights Management wesentlicher Bestandteil der DS-GVO

Berlin, 26. April 2016 – Die digitale Transformation basiert auf Daten – nicht nur über Maschinen, Produkte, Fertigungsprozesse, sondern auch über Personen, Unternehmen und Netzwerke. Die EU-Datenschutz-Grundverordnung DS-GVO ist nun endgültig verabschiedet, das teuerste Problem der Wirtschaft ist der „Unbefugte“ geworden. „Ein Mitarbeiter, der in Daten Einblick hat, obwohl er diese spezifischen Informationen für seine Tätigkeit nicht benötigt, kann mit dem DS-GVO zum teuren Krisenfall werden. Die Bußgelder für Datenschutzverstöße betragen bis zu vier Prozent vom weltweit erwirtschafteten Jahresumsatz“, warnt Matthias Schulte-Huxel, CSO bei 8MAN. Bei einem Konzern wie Siemens könnte ein ernsthafter Datenskandal also eine Strafzahlung von mehr als drei Milliarden Euro nach sich ziehen. Als ernsthafter Verstoß gilt dabei die Nichteinhaltung der Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) sowie der Bestimmungen zur Einwilligung betroffener Personen (Artikel 7). „Es ist wichtiger denn je, im Unternehmen genau zu prüfen und festzulegen, welche Person in welcher Funktion Zugriff auf welche Daten und Informationen hat“, sagt Matthias Schulte-Huxel.

Access Rights Management wesentlicher Bestandteil

Unternehmen werden per Gesetz auch dazu angehalten, in wichtigen Datenverarbeitungsbereichen regelmäßige Compliance-Audits durchzuführen, um das Risiko kostenträchtiger Datenschutzverstöße zu minimieren. Unbefugte Zugriffe auf sensible oder persönliche Daten sind damit dringlich zu verhindern, schaffbar ist das nur mit einer firmeninternen Lösung für das Access Rights Management. Schließlich geht es nicht nur um den Schutz vor Zugriffen, sondern auch um den Nachweis, dass ein Zugriff nicht möglich war. „Wir haben unsere Lösung bereits lange vor der DS-GVO so entwickelt, dass auf Knopfdruck ersichtlich ist, wer welche Berechtigungen im Unternehmen hat. Änderungen der Zugriffsrechte sind dabei ebenso leicht möglich, jeder Eingriff wird dabei protokolliert und ist revisionssicher verwahrt“, sagt Schulte-Huxel von 8MAN. Über einfache Nutzerschnittstellen können auch Fachabteilungen die Rechtevergabe umsetzen – jederzeit durch ein Vieraugen-Prinzip abgesichert. „Die wesentlichen Forderungen der DS-GVO sind damit erfüllt, um unbefugte Zugriffe auszuschließen“, so der 8MAN CSO.

72 Stunden Meldefrist

In Artikel 31 der DS-GVO ist geregelt, dass eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden ist, unter der Bedingung, dass die Verletzung zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen führen kann. Allerdings müssen auch kleinere sicherheitskritische Vorfälle intern dokumentiert werden und jederzeit nachvollziehbar sein. „Auch hier bietet 8MAN aktive Hilfe, denn auch die Zugriffe und Veränderungen werden protokolliert. Selbst wenn der CIO sich selber alle nötigen Rechte verleiht, Daten kopiert und nachher die Berechtigungen wieder löscht: 8MAN weiß das“, sagt Matthias Schulte-Huxel.