GlobalSign Blog

27 Apr 2016

Wie IT-Abteilungen die Datenschutzverordnung (GDPR) einhalten können

Ich glaube, ich habe über 50 verschiedene Online-Konten bei verschiedenen Diskussionsforen, E-Commerce- und Auktions-Websites, Registrierungsdatenbanken von Anbietern, Fluglinien, Eisenbahnen, Banken und Versicherungen, Gesundheitswesen, Behördendatenbanken, Cloud-Diensten, sozialen Medien, Versorgern (Energie, Breitband, Mobilfunk etc.) und IoT und verbundenen Geräten. 50 könnte sogar stark untertrieben sein, aber ich weiß es einfach nicht mehr. Ich bin überall und sie haben alle meine Daten. Sie haben vielleicht nicht die Information über meine Lieblingsfarbe, die grasgrün ist - jetzt haben wir's - selbst diese Information ist jetzt für jedermann frei zugänglich. Einige der Sites haben ihren Standort in der EU und einige außerhalb.

Was denken Benutzer über ihre Daten?

Es ist ein stetiger Kampf, auf der einen Seite alles wissen zu wollen und auf der anderen Seite die Abneigung, etwas offen zu legen. Einige der Websites, die ich nutze, haben eine Menge Müll oder veraltete Daten statt Fakten über mich. Ich habe ein "Trash" E-Mail-Konto für Registrierungszwecke und die Attribute, die ich in die Formulare eingebe, sind in der Regel sehr genau. Name: Jason Vorhees. Adresse: Elm Street 13, Ort: Chainsaw, Bundesland: Texas. Beim Blick auf meine Registrierungsdaten könnte man daraus ableiten, dass ich Filme über die dunkle Seite der menschlichen Natur mag. Für Websites und Dienste, bei denen ich tatsächlich etwas Wichtiges oder Physisches als Gegenleistung erhalte, muss ich meine echten Daten verwenden. Ich würde es hassen, wenn mein Strom an Freddy Krüger geliefert würde.

In fast allen Fällen habe ich nicht die leiseste Ahnung, wie diese Websites mit meinen Daten umgehen. Dies liegt vor allem an meiner Faulheit (erzählen Sie das bloß nicht meinem Chef). Ich kann mich einfach nicht darum scheren, die Datenschutzerklärung zu lesen und festzustellen, ob der Anbieter mein Vertrauen wert ist. Ich denke, dass ich in dieser Hinsicht zur überwiegenden Mehrheit der Online-Nutzer gehöre. Wenn ich etwas brauche oder haben möchte, hocke ich mich einfach hin und gebe meinen Namen und meine echte Adresse oder andere nicht relevante, aber obligatorische Attribute ein, die sie unbedingt benötigen, um mir die Speicherkarte zu schicken. Eine Sache, auf die ich achte, ist eine grüne Adresszeile in meinem Browser, die anzeigt, dass die Seite die fortschrittlichste Art von SSL-Zertifikaten verwendet, die die zur Seite gesendeten Daten verschlüsseln. Ohne die grüne Adresszeile suche ich in der Regel nach einem alternativen Anbieter.

Datenschutzverordnung für Unternehmen

Firmen, die meine Daten aus dem einen oder anderen Grund erfassen, arbeiten gemäß Verordnungen. Zwischen den USA und der EU gibt es große Unterschiede, wie mit personenbezogenen Daten umgegangen werden muss. In den USA sind meine Attribute, Verhaltensmuster, Einkaufsgewohnheiten usw. in der Regel vogelfrei. In der EU sind die Datenschutzgesetze und -verordnungen viel strenger. Die neue vorgeschlagene Datenschutz-Grundverordnung (GDPR) soll die älteren Datenschutzbestimmungen aktualisieren. Der Zweck ist es, ein einheitliches regulatorisches Umfeld in Europa zu schaffen und zu verdeutlichen, nach welchen Bestimmungen mit personenbezogenen Daten umgegangen werden muss. Eine sehr willkommene Änderung ist, dass Unternehmen, die mit personenbezogenen Daten umgehen, den lokalen Behörden verantwortlich sind, mit dem Vorteil des europaweiten Anwendungsbereichs. Compliance in einem Land bedeutet EU-weite Compliance.

Ein weiterer Aspekt der Verordnung ist es, den Bürgern mehr Kontrolle über ihre Daten zu geben und es ihnen einfacher zu machen, Zugang zu ihren eigenen Daten zu erhalten. Datenportabilität könnte in praktisch allen Bereichen Wettbewerbschancen eröffnen, von den sozialen Medien bis hin zur Finanzbranche. Ich habe mit der Idee geliebäugelt, eine neue revolutionäre europäische Social-Media-Website namens Facialitterature zu erstellen, auf der Menschen Bilder von Speisen und Getränken und cleveren Meme teilen könnten. Innovativ - oder? Nach der neuen Verordnung könnten Facebook-User ihre Daten auf den neuen Facialitterature Dienst übertragen, wenn sie dies wünschten.

Zugang zu Daten

Wenn Sie Daten über Ihre Kunden, User oder andere Interessensgruppen speichern müssen, haben Sie zwei Arten von Zugangsbedingungen zu prüfen: interner Zugang und externer Zugang.

Die erfassten Daten sollten nur für die in Ihrer Datenschutzerklärung aufgeführten Zwecke verwendet werden. Für den internen Zugang bedeutet dies, dass Sie die Datenbank nicht wirklich für alle Ihre Mitarbeiter und ihre Neugier zur Verfügung stellen können. Nur diejenigen, die einen wichtigen Grund haben, sollten Zugang dazu haben. Dies bedeutet normalerweise, das bestimmte Personen in Ihrem Unternehmen autorisiert sind, die Daten anzusehen oder sie sogar zu modifizieren.

Externer Zugangsbedarf bedeutet, dass Sie in der Lage sein sollten, Ihren Nutzern Zugang zu ihren eigenen Daten zu gewähren. Wenn der Dienst mehr als die einfachen Identitätsattribute erfassen muss, kann der Datensatz vertraulich werden. Der Zugang zu diesen Daten sollte entsprechend geschützt werden. Ein soziales Log-in zu einem Datensatz zu verwenden, der Bonitätsdaten, Sozialversicherungsnummern, Rechnungsdaten usw. enthält, ist eine schlechte Idee.

Schutz der inaktiven Daten

Wenn die Daten in Ihrer Datenbank gespeichert sind und Sie sichergestellt haben, dass nur autorisierte Personen in Ihrem Unternehmen sie sehen können, sollten Sie sicherstellen, dass, wenn die Daten durchsickern, sie geschützt bleiben. Die Daten zu verschlüsseln ist eine sehr kluge Sache.

Sie sollten auch Möglichkeiten für den Umgang mit Zugangsrechten von privilegierten Benutzern in Betracht ziehen. Die IT-Administratoren, die praktisch einen Ausweis für den vollen Zugang zu jedem System haben, sollten auch unter die gleiche Gruppe der Nutzer fallen, die autorisiert sind, die Daten zu sehen / Zugang zu diesen zu haben. Normalerweise sind sie nicht in dieser Gruppe.

APIs und Übertragen der Daten

Wenn Sie auf den API-Zug aufspringen und Schnittstellen ins Internet stellen, mit denen jemand eine Anfrage senden kann, sollten Sie bei folgenden Fragen besonders vorsichtig sein:

  • Wer kann diese Daten anfordern.
  • Was soll Ihre Antwort enthalten.
  • Erstellen Sie Ihre Antwort vorzugsweise so, dass sie vertraulich bleibt (wieder Verschlüsselung).

Zustimmung und Autorisierung

Ein wichtiger Punkt bei der Entscheidung, die Daten, die Sie kontrollieren, weiterzugeben, ist die Zustimmung des Benutzers. Wenn Ihre Benutzer nicht zugestimmt haben, dass Ihre Daten an Dritte weitergegeben werden, sollten Sie dies nicht tun. Die Zustimmungsklausel kann in den AGB eingebettet werden, die niemand liest. Aber ein vorbildlicher Ansatz ist es, Ihre Nutzer tatsächlich auf humane Weise zu informieren, wenn Sie ihre Daten weitergeben und sie um ihre aktive Zustimmung zu bitten - sie würden Ihnen ausdrücklich die Erlaubnis erteilen, ihre Daten weiterzugeben. Ein gutes Beispiel dafür ist, wenn ich meine Mobile ID verwende, um mich in den Online-Dienst meiner Versicherung einzuloggen. Die datenverarbeitende Stelle ist mein Mobilfunknetzanbieter und die vertrauende Partei ist der Versicherungsdienst. Wenn ich den Authentifizierungsprozess durchlaufe, ist das Letzte, was ich tun muss, meine Zustimmung zu geben, dass der Anbieter einige meiner Identitätsattribute an den Versicherungsdienst senden darf. Wenn mir das nicht gefällt, kann ich den Vorgang abbrechen.

Recht auf Vergessenwerden

Das Recht, Ihre Daten aus der Datenbank zu löschen, ist bereits umgesetzt. Ich kann Google bitten, mich zu vergessen, und wie von Zauberhand würden die Suchergebnisse nach "Petteri Ihalainen" jemand anderem mit dem gleichen oder ähnlichen Namen anzeigen.

Dieses Privileg, gelöscht werden zu können, kann schwierig umzusetzen sein, wenn Ihr Unternehmen mehrere Datenbanken mit personenbezogenen Daten betreibt. Der Rat, den ich Ihnen hier geben kann, ist Konsolidierung. Wir hatten Kunden, die ihre Datenbanken erfolgreich konsolidiert haben und die damit nicht nur Kosteneinsparungen, sondern auch einen viel einheitlicheren Umgang mit personenbezogenen Daten geschaffen haben.

Die GDPR wird die Art, wie in der EU mit personenbezogenen Daten umgegangen wird, verändern. Im nächsten Teil meines Blogs werde ich einen Blick auf konkrete Beispiele werfen, wie Identity und Access Management (IAM) Ihnen helfen kann.

Artikel teilen

Subscribe to our Blog