Fünf Beispiele für IT-Umgebungen, die die GDPR-Anforderungen nicht erfüllen
Mit der Einführung der Datenschutz-Grundverordnung haben Sie wahrscheinlich einen ständigen Strom von E-Mails erhalten, in denen Ihnen mitgeteilt wird, dass die Unternehmen, mit denen Sie in Kontakt stehen, ihre Datenschutz- und Cookie-Richtlinien aktualisiert haben. Aber sind all diese Unternehmen wirklich praktisch gerüstet, um die Anforderungen der Datenschutz-Grundverordnung zu erfüllen? Auf den ersten Blick fehlt oft die technische Grundlage, um die Richtlinien mit der Realität in Einklang zu bringen. Bislang erfüllen viele Unternehmen die DSGVO nur auf dem Papier...
Unzureichender Schutz von mobilen Geräten
Eine der Anforderungen der Datenschutz-Grundverordnung ist, dass Daten auf unseren mobilen Geräten und Computern verschlüsselt werden müssen. Die Verschlüsselung gilt heute als Standardmaßnahme zum Schutz von Daten, und Sie sollten über eine IT-Umgebung verfügen, die die Möglichkeit dazu bietet. Auf einem ungeschützten Computer ohne Verschlüsselung können Sie einfach das Betriebssystem neu installieren und dann alle Daten auf dem Datenträger lesen. Wenn Ihre Daten jedoch verschlüsselt sind, kann niemand ohne Verschlüsselungscode auf den Inhalt des Geräts zugreifen.
In vielen IT-Umgebungen gibt es keine Möglichkeit, Firmencomputer und mobile Geräte zentral zu kontrollieren. Wenn ein Gerät verloren geht oder anderweitig in die falschen Hände gerät, können Sie nicht überprüfen, ob die Verschlüsselung aktiviert ist, oder die Verschlüsselung aus der Ferne aktivieren.
Natürlich können Sie Ihre Daten auch auf andere Weise angemessen schützen - wenn die Geräte vollständig stationär sind, das Bürogelände nie verlassen und die Räumlichkeiten auch über einen starken physischen Einbruchsschutz verfügen. Aber wir leben heute in einer mobilen Welt, und wenn Sie die Geräte Ihres Unternehmens nicht aus der Ferne kontrollieren können, sind sie ungeschützt, sobald sie Ihre Räumlichkeiten verlassen. Per Definition erfüllen Sie dann nicht mehr die GDPR-Anforderungen an den Datenschutz.
Ihre E-Mails sind nicht verschlüsselt
Auch die Verschlüsselung von E-Mails wird von vielen Unternehmen in ihren IT-Umgebungen nicht unterstützt. Wenn personenbezogene Daten unverschlüsselt per E-Mail übertragen werden, verstößt dies gegen die Anforderungen der Datenschutz-Grundverordnung, da E-Mails eine relativ unsichere Art der Kommunikation sind.
Um die Anforderungen zu erfüllen, sollten Sie daher die Möglichkeit haben, alle E-Mails zu verschlüsseln. Alternativ muss Ihr E-Mail-Programm erkennen, ob Ihre E-Mail personenbezogene Daten enthält, so dass sie aus diesem Grund automatisch verschlüsselt wird. Eine dritte Möglichkeit ist die manuelle Verschlüsselung bei jedem Versand einer E-Mail.
Viele E-Mail-Anbieter bieten keinen Verschlüsselungsschutz an. Anstatt einen Drittanbieter für die Verschlüsselung zu verwenden, ist ein E-Mail-Dienst mit integrierter Verschlüsselungsfunktion vorzuziehen.
Audit-Protokolle - eine Voraussetzung für eine umfassende Berichterstattung über Vorfälle
Die Datenschutz-Grundverordnung stellt hohe Anforderungen an die Rückverfolgbarkeit und die Fähigkeit, Verstöße oder andere Arten von Vorfällen zu untersuchen. Dies ist eine Voraussetzung dafür, dass Sie einen Vorfall innerhalb von 72 Stunden korrekt an die schwedische Datenschutzbehörde melden können. Um eine umfassende Berichterstattung zu gewährleisten, benötigen Sie daher eine IT-Umgebung, in der Sie die Benutzeraktivitäten anhand von Ereignisprotokollen verfolgen können.
In einer gehosteten Umgebung, in der Ihre Server von einem IT-Partner mit einem Netzwerk gehostet werden, das sowohl Ihre Daten als auch die Daten anderer Kunden umfasst, ist es schwierig, Firewall-Protokolle zu erhalten. Das liegt daran, dass sich Ihre Protokolle nicht von denen anderer Kunden unterscheiden lassen. Das macht es schwierig, wenn nicht gar unmöglich, eine ordnungsgemäße Untersuchung eines Vorfalls zu gewährleisten.
Durchsuchbarkeit erleichtert Anträge auf Auszüge und Löschung von Datensätzen
Um Anfragen zur Extraktion oder Löschung personenbezogener Daten effektiv zu verwalten, müssen Ihre Systeme die Suche nach strukturierten und unstrukturierten Daten unterstützen. In einer herkömmlichen IT-Umgebung können Sie beispielsweise eine Reihe von Dateisystemservern in Ihrem Unternehmen haben. Möglicherweise haben Sie auch eine separate Cloud-Service-Lösung für die gemeinsame Nutzung von Dateien, um auf Daten außerhalb des Arbeitsplatzes zuzugreifen, z. B. Dropbox. Und dann haben Sie noch E-Mail - entweder auf einem lokalen Server oder bei einem anderen E-Mail-Anbieter.
Normalerweise können Sie nicht nach Informationen suchen, die in Ihren Dateien auf einem Server enthalten sind. Die Alternative ist, Datei für Datei manuell zu durchsuchen, was natürlich zu zeitaufwändig ist. Wenn es jedoch ein funktionierendes Ökosystem verschiedener Funktionen gibt - Dokumente, E-Mail, Chat usw. - können Sie die Suche zentral durchführen und müssen nicht Datei für Datei und System für System durchgehen.
Können Sie darauf vertrauen, dass Ihre Mitarbeiter alte Daten immer löschen?
Die DSGVO schreibt auch vor, dass Daten, die Sie nicht mehr benötigen, innerhalb eines bestimmten Zeitraums gelöscht werden müssen. Diese Arbeit kann natürlich manuell erledigt werden - Sie können z. B. von Ihren Mitarbeitern verlangen, dass sie in regelmäßigen Abständen ihre Posteingänge oder ältere Dokumente bereinigen.
Das Problem ist, dass Sie nicht sicherstellen können, dass dies auch wirklich geschieht. Die einzige Möglichkeit, um sicherzustellen, dass die zu löschenden Daten auch wirklich gelöscht werden, ist eine automatisierte Lösung mit Erinnerungen, Benachrichtigungen und zentral verwalteten Löschroutinen.
Wir von WeSafe wissen, was von Ihrer IT-Umgebung verlangt wird, um die Anforderungen der DSGVO zu erfüllen. Möchten Sie mehr darüber erfahren, wie wir Ihnen helfen können, die Einhaltung der Vorschriften in Ihrem Unternehmen zu gewährleisten? Zögern Sie nicht, uns zu kontaktieren!
Inspiration und Wissen direkt in Ihren Posteingang
Melden Sie sich für unseren monatlichen Newsletter an, der Ihnen Tipps, Einblicke und Ratschläge zu neuen Arbeitsweisen, Prozessen und Sicherheit im Zusammenhang mit Microsoft 365, Azure und verschiedenen Tools der Cloud-Plattform von Microsoft gibt.
Kostenlose Sicherheitsanalyse Ihrer Microsoft 365-Umgebung
Erhalten Sie konkrete und praktische Tipps, wie Sie Ihr Unternehmen besser schützen können!