Kontakt
EU-Flagge Banner – DSGVO-Compliance

EU-Compliance im Wandel

Durch die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Kommission soll der Datenschutz für Personen in der Europäischen Union (EU) verstärkt und vereinheitlicht werden. Gleichzeitig wird der Export personenbezogener Daten außerhalb der EU geregelt.

Nach der Einigung über die Verabschiedung der DSGVO im Dezember 2015 wurde die Compliance-Frist der DSGVO durch eine Abstimmung im EU-Parlament auf Mai 2018 festgesetzt.Für Unternehmen bedeuten die DSGVO-Anforderungen und die für ihre Umsetzung erforderliche interne Zusammenarbeit, dass sie die Compliance bereits jetzt planen müssen.  

Das Hauptziel der DSGVO ist, Bürgern wieder die Kontrolle über ihre personenbezogenen Daten zu geben.  Mit dem Inkrafttreten der DSGVO werden die bisherigen und anderen Datenschutzbestimmungen in der gesamten EU harmonisiert.

Bild Whitepaper – Sicherheitstechnologien für die DSGVO-Compliance – GQM GRC

Experten für Daten-Compliance kommentieren DSGVO-bezogene Sicherheitsanforderungen

Whitepaper herunterladen

Anforderungen der DSGVO-Compliance

Diese EU-Vorschriften haben für Unternehmen in aller Welt weitreichende Auswirkungen. 

Nach dem Ende von Safe Harbor müssen US-Unternehmen, die personenbezogene Daten europäischer Bürger exportieren und verarbeiten, ebenfalls die neuen Anforderungen erfüllen oder mit denselben Konsequenzen im Falle einer Nichteinhaltung rechnen.

Wenn in Ihrem Unternehmen ein Datenschutzvorfall auftritt, gelten nach der neuen EU-Regelung die folgenden Vorschriften, je nach Schweregrad des Vorfalls:

  • Ihr Unternehmen muss die lokale Datenschutzbehörde und ggf. auch die Eigentümer der kompromittierten Datensätze benachrichtigen.

  • Ihrem Unternehmen kann eine Geldstrafe von bis zu 4 % des weltweiten Umsatzes bzw. 20 Millionen Euro auferlegt werden.

EU-SterneDie DSGVO sieht jedoch Ausnahmen vor, je nachdem, ob geeignete Sicherheitskontrollen im Unternehmen vorhanden sind.  So ist beispielsweise ein Unternehmen, das seine Daten durch Verschlüsselung für unbefugte Personen unleserlich macht, nach einer Datenschutzverletzung nicht verpflichtet, die betroffenen Datensatzeigentümer zu informieren. 

Das Risiko von Geldbußen sinkt auch dann, wenn Unternehmen nachweisen können, dass es sich um ein „sicheres Datenleck“ handelt.

Zur Einhaltung der DSGVO-Anforderungen müssen Unternehmen möglicherweise sowohl vor Ort als auch in Cloud-Umgebungen ein oder mehrere unterschiedliche Verschlüsselungsverfahren einsetzen, darunter:

  • Server, Verschlüsselung von Dateien, Anwendungen, Datenbanken und Festplatten virtueller Rechner.

  • Speicher, NAS- und SAN-Verschlüsselung.

  • Medien, Festplattenverschlüsselung.

  • Netzwerke, z. B. High-Speed-Netzwerk-Verschlüsselung.

Darüber hinaus wird ein leistungsstarkes Schlüssel-Management benötigt, um nicht nur die verschlüsselten Daten zu schützen, sondern auch die Dateilöschung zu gewährleisten und das Recht eines Benutzers auf Vergessenwerden einzuhalten. 

Außerdem benötigen Unternehmen eine Möglichkeit, um die Rechtmäßigkeit von Benutzeridentitäten und Transaktionen zu überprüfen und ihre Compliance nachzuweisen.Daher müssen die eingerichteten Sicherheitskontrollen unbedingt nachweisbar und auditierbar sein.

Gemalto bietet ein umfassendes Portfolio an Datenschutzlösungen, die gemeinsam für einen dauerhaften Schutz und eine kontinuierliche Verwaltung sensibler Daten sorgen und mit dem DSGVO-Rahmenwerk im Einklang stehen.

Mit einer einzelnen Lösung können Unternehmen keine DSGVO-Compliance erzielen.Die Verordnung ist zu umfassend und deckt alle Aspekte von der Governance bis hin zu vertraglichen Verpflichtungen ab.Das SafeNet-Portfolio von Gemalto kann Unternehmen jedoch dabei unterstützen, die Datensicherheitsvorgaben der DSGVO zu erfüllen.

Die Sicherheitsanforderungen sind im gesamten Gesetzestext zu finden.Sie lassen sich in folgende Bereiche einteilen:

Die DSGVO schreibt Unternehmen vor, die Kontrolle über ihre Daten zu behalten, um sicherzustellen, dass sie nur dann von berechtigten Benutzern abgerufen und verarbeitet werden können, wenn dies angemessen ist.Diese Kontrollvorgaben finden sich in den Artikeln 5, 25 und 32.

Laut DSGVO müssen bzw. dürfen Unternehmen:

  • Daten nur für autorisierte Zwecke verarbeiten
  • Die Genauigkeit und Integrität der Daten sicherstellen
  • Die Identitäten von Datensubjekten möglichst nicht preisgeben
  • Datensicherheitsmaßnahmen implementieren

Verschlüsselungs-Keys in unlesbarer Form vorhalten, es sei denn, ein Benutzer oder Prozess verfügt über den passenden Schlüssel.Gemäß DSGVO kann diese einfache Kontrollmethode die Datenverarbeitung nur auf den autorisierten Gebrauch einschränken und die Zeitspanne, in der Personen anhand ihrer Daten identifizierbar sind, einschränken.Die Verschlüsselung verhindert zudem die unbefugte Datenmanipulation. Die Beschränkung des Datenzugriffs auf berechtigte Benutzer und die Überwachung der Schlüsselverwendung sorgt dafür, dass Daten ohne Berechtigung so gut wie nicht geändert werden können.Unternehmen, die die Verschlüsselung und Zugriffskontrolle richtig einsetzen, können die Integrität ihrer Daten nachweisen.

Die Multi-Faktor-Authentifizierung bildet stets die erste Verteidigungslinie.Die Authentifizierung steuert, welche Benutzer Zugriff auf das Netzwerk und die darin befindlichen Informationen haben.Durch die Zuweisung von Zugangsdaten an Benutzer können Unternehmen den Zugriff auf Informationen nachverfolgen, um so interne Risiken zu überwachen.Die Multi-Faktor-Authentifizierung erschwert es darüber hinaus unberechtigten Benutzern, auf sensible Informationen zuzugreifen.Sowohl bei bekannten als auch bei unbekannten Bedrohungen erschwert die Multi-Faktor-Authentifizierung den Datenzugriff und erleichtert es Unternehmen, die Kontrolle über ihre Daten zu behalten.

 
 

Die DSGVO stellt die Sicherheit in den Dienst des Datenschutzes.Die Sicherheitsvorgaben finden sich in den Artikeln 6, 25, 28 und 32.Um den Datenschutz der Subjekte zu gewährleisten, müssen Unternehmen Folgendes implementieren:

  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
  • Sicherheit als Vertragsbedingung mit Partnern und Dienstleistern
  • Verschlüsselung oder Pseudonymisierung
  • Sicherheitsmaßnahmen, die den Risiken angemessen sind
  • Schutzmaßnahmen, wenn Daten für die weitere Verarbeitung aufbewahrt werden sollen

Die DSGVO nennt die Verschlüsselung als notwendige Sicherheitsvoraussetzung.Darüber hinaus müssen Unternehmen Risikobewertungen durchführen und dann Maßnahmen ergreifen, um die erkannten Risiken zu minimieren.Da kein Unternehmen alle Risiken identifizieren kann und kein Perimeter-Sicherheitsansatz absolut sicher ist, sollten Daten verschlüsselt werden, um Verstöße „abzusichern“.Bei der Verschlüsselung spielt es keine Rolle, ob ein Verstoß vorliegt oder nicht – die Daten werden trotzdem geschützt.

Die Multi-Faktor-Authentifizierung steuert den Zugriff auf Netzwerkressourcen, die für die Datenverarbeitung verwendet werden.Um Daten vor unbefugter Verarbeitung zu schützen, können Unternehmen Authentifizierungseinstellungen zuweisen und ändern, um die weitere Verarbeitung nach Abschluss der ersten Instanz einzuschränken.Des Weiteren kann die Multi-Faktor-Authentifizierung die in der Risikobewertung des Unternehmens erkannten Risiken minimieren und den Zugriff auf Daten schützen, die mit Dritten geteilt werden.

 

Auch nach der Datenerhebung haben Personen noch immer einen Anspruch auf und eine gewisse Kontrolle über diese Daten.Das Recht auf Löschung bzw. das Recht auf Vergessenwerden findet sich in den Artikeln 17 und 28.Die DSGVO schreibt Unternehmen vor, dass Daten aus sämtlichen Speichern gelöscht werden müssen, wenn:

  • Ein Datensubjekt die Einwilligung zurückzieht („Recht auf Vergessenwerden“)
  • Ein Partnerunternehmen um Löschung bittet
  • Ein Service oder eine Vereinbarung beendet wird

Wenn eine Person ihre Einwilligung zur Nutzung ihren Daten zurückzieht, ein Unternehmen freigegebene Daten zurückverlangt oder die Laufzeit eines Dienstes beendet ist, müssen Unternehmen die betroffenen Daten vollständig löschen.Dies ist eine schwierige Vorgabe, da das einfache Löschen der Daten diese nicht vollständig von der Festplatte entfernt.Um dies zu gewährleisten, können Unternehmen Daten verschlüsseln und anschließend den Schlüssel löschen.Diese Methode der Datenlöschung macht die Daten vollständig und dauerhaft unlesbar.

 
 

Unternehmen müssen die Risiken für den Datenschutz und die Sicherheit bewerten und nachweisen, dass sie geeignete Maßnahmen zum Datenschutz ergreifen.Die Vorgaben finden sich in den Artikeln 2, 24 und 28.Um Risiken zu minimieren und ihrer Sorgfaltspflicht nachzukommen, müssen Unternehmen:

  • Eine umfangreiche Risikobewertung durchführen
  • Maßnahmen zur Sicherstellung und zum Nachweis der Compliance implementieren
  • Partner und Kunden dabei aktiv unterstützen, Vorgaben einzuhalten
  • Die volle Kontrolle über Daten nachweisen

Wenn ein Unternehmen Verträge mit einem Partner oder einem Drittanbieter abschließt, gibt es die Verantwortung für die Sicherheit der Daten nicht auf.Tatsächlich sind Unternehmen vertraglich dazu verpflichtet, sich gegenseitig bei der Sicherheit zu unterstützen und Risiken zu minimieren.Da die Verschlüsselung die Sicherheit direkt an die Daten bindet, gewährleistet sie die Sicherheit der Daten und gibt dem Unternehmen die Kontrolle über die Daten an die Hand, selbst wenn sich diese außerhalb des Unternehmens befinden.

 
 

Wenn ein Sicherheitsverstoß die Rechte und die Privatsphäre der betroffenen Person bedroht, müssen Unternehmen ihre Kunden und auch die zuständige Aufsichtsbehörde benachrichtigen.Die entsprechenden Meldevorgaben finden sich in den Artikeln 33 und 34.Laut DSGVO müssen Unternehmen:

  • Die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren
  • Die Folgen des Sicherheitsverstoßes darlegen
  • Den betroffenen Personen den Verstoß direkt melden

Wenn ein Verstoß ungeschützte Daten offenlegt, müssen Unternehmen die zuständige Aufsichtsbehörde und die betroffenen Kunden benachrichtigen.Wenn die Daten jedoch verschlüsselt sind und die Best Practices der Schlüsselverwaltung befolgt werden, können Unternehmen diese Benachrichtigungspflichten umgehen.Eine Benachrichtigung ist nur dann erforderlich, wenn die Rechte und Freiheiten der betroffenen Person gefährdet sind.

 
 

Laden Sie das E-Book von Gemalto zum Thema DSGVO herunter, wenn Sie wissen möchten, wie Gemalto Ihnen dabei helfen kann, die wichtigsten Aspekte der DSGVO zu erkennen und entsprechende Schritte einzuleiten, um den Vorgaben gerecht zu werden.

E-Book-Bild – EU-Datenschutz-Grundverordnung (EU-DSGVO)

Die EU-Datenschutz-Grundverordnung

Erweitertes E-Book herunterladen

Weitere Informationen über EU-Vorschriften

Webinar – Die neue DSGVO, Datenschutz und geeignete Sicherheitskontrollen

Webinar – Die neue DSGVO, Datenschutz und geeignete Sicherheitskontrollen

In diesem On-Demand-Webinar von (ISC)² und Gemalto erfahren Sie alles Wissenswerte über die EU-Datenschutz-Grundverordnung (EU-DSGVO) sowie über Veränderungen, Sanktionen bei Nichteinhaltung, Sicherheitsvorgaben usw.

Webinar ansehen
EU-Flagge Thumbnail – CTA DSGVO-Compliance

Vorbereitung auf die DSGVO

Mit Gemalto-Lösungen bleiben Unternehmen jederzeit geschützt, konform und behalten die volle Kontrolle – von physischen und virtuellen Rechenzentren bis hin zur Cloud.Gemalto-Produkte für die Datenverschlüsselung und das Schlüssel-Management helfen Unternehmen beim Schutz ihrer sensiblen Daten, die in Datenbanken, Anwendungen, Speichersystemen, auf virtuellen Plattformen und in Cloud-Umgebungen gespeichert sind.

Wir helfen gerne, wenn es um die DSGVO geht.

Informationen anfordern

 

Vielen Dank für Ihr Interesse an unseren Lösungen. Bitte füllen Sie das Formular aus, um weitere Informationen zu erhalten oder um von einem SafeNet Mitarbeiter kontaktiert zu werden.

 

Ihre Angaben

* E-Mail-Adresse:  
* Vorname:  
* Nachname:  
* Unternehmen:  
* Telefon:  
* Land:  
* State (US Only):  
* Province (Canada/Australia Only):  
* Stadt:  
Bemerkungen:  
 

 Mit dem Ausfüllen dieses Formulars willige ich ein, im Rahmen der beschriebenen Datenschutzbestimmungen Informationen von Gemalto und seinen Tochtergesellschaften zu erhalten.