Herausforderung Datenschutz – 5 Tipps, wie Sie die DSGVO sicher umsetzen
Die Frist ist abgelaufen, die neue DSGVO ist in Kraft getreten. Einige Fragezeichen sind jedoch noch offen. Viele Unternehmen fragen sich, ob sie alles richtig gemacht haben oder ob bald ein paar "Strafzettel" ins Haus flattern werden und was sie jetzt noch tun können, um die neue Datenschutz-Grundverordnung optimal umzusetzen. Um so manche Fragezeichen zu beantworten, finden Sie hier 5 Tipps zur sicheren Umsetzung der DSGVO.
Maßnahmen lt. DSGVO
In Art. 32 Abs. 1 der DSGVO wird festgehalten, dass "unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen von dem Verantwortlichen und dem Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen werden sollen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten."
Doch wie sehen diese Maßnahmen aus und wie setzt man sie um? Nachfolgend finden Sie einige Tipps, die Sie gleich anwenden können.
1. Daten verschlüsseln – damit niemand unbefugt darauf zugreifen kann
Datenspeicher, die personenbezogene oder sensible Daten beinhalten, müssen verschlüsselt werden. Diese könnten zum Beispiel in Datenbanken als Passwörter gesichert sein oder auch auf mobilen Datenträgern wie externen Festplatten oder USB-Sticks. Beim Verschlüsseln werden Informationen dann so umgewandelt, dass niemand unbefugt darauf zugreifen kann.
Unter personenbezogene Daten fallen unter anderem:
- Name,
- Adresse,
- Email,
- Geburtsdatum,
- Telefonnummer,
- Kontodaten (IBAN, BIC, Code,..) und
- Standort.
Hier ist es zu empfehlen, zuerst festzulegen, welche personenbezogenen Daten gespeichert wurden und dann alle Datenspeicher zu identifizieren, die solche Daten beinhalten. Um diese dann zu verschlüsseln, gibt es verschiedene Wege. Die gängigsten Verschlüsselungsvarianten sind:
- Programme zur Verschlüsselung: Zur Verschlüsselung von Dateien, Ordnern oder Datenträger gibt es viele Programme, die man teilweise auch kostenlos herunterladen kann. Am besten sehen Sie sich dazu einige Anwendungen und deren ausführliche Beschreibung an, sowie auch die Erfahrungswerte anderer Nutzer, um sicherzugehen, eine funktionierende und vor allem schützende Software zu erhalten.
- Verschlüsselung integriert ins Betriebssystem: Die einzelnen Betriebssysteme wie Windows oder Mac OS bieten ins System integrierte Verschlüsselungen an. Bei Windows gibt es das Encrypted File System (EFS) und bei Mac OS FileVault [1]. Beides ist von Beginn an deaktiviert, da Sie ja sonst keinen Zugriff auf den Computer hätten. Wenn Sie diese Art der Verschlüsselung nutzen möchten, gilt es, diese selbst zu aktivieren.
- Datenträger mit integrierter Verschlüsselung: Viele Festplatten (HDD, SSD) bieten eine integrierte Verschlüsselung an. Am besten informieren Sie sich beim Kauf, ob Ihr gewünschter Datenträger eine eingebaute Verschlüsselungsoption hat.
2. Überprüfung der Unternehmens-Website auf Risikofaktoren
Viele Unternehmen gehen davon aus, dass alles in bester Ordnung ist, wenn die Website problemlos aufzurufen ist. Dass dahinter gerade von außen auf Daten zugegriffen werden könnte, kommt vielen natürlich nicht in den Sinn.
Es ist daher zu empfehlen, die Unternehmens-Website kontinuierlich auf Risikofaktoren überwachen zu lassen. Das muss man natürlich nicht selbst machen, sondern kann diese Überprüfung voll automatisiert im Hintergrund laufen lassen. Am effektivsten sind dazu automatisierte Penetrations-Tests. Dabei wird das gesamte System sowie auch die Anwendungen eines Netzwerkes auf ihre Sicherheit überprüft. Für die Tests werden die Methoden, die Hacker verwenden, um ein System anzugreifen, regelmäßig nachgestellt – so kann festgestellt werden, ob Sicherheitslücken vorhanden sind. Anhand des Ergebnisses erkennt man rechtzeitig, ob ein Risiko besteht – noch bevor ein echter Angriff stattfindet.
3. Erarbeiten eines Löschkonzeptes
Neu in der DSGVO ist nun auch das "Recht auf Löschung" bzw. das "Recht auf Vergessenwerden", welches im Art. 17 der DSGVO beschrieben wird. Das bedeutet, dass man als Verbraucher von einem Verantwortlichen die unverzügliche Löschung der personenbezogenen Daten verlangen darf. Sie sind dann also dazu verpflichtet, die Daten zu löschen bzw. den Verantwortlichen für die Datenverarbeitung darüber zu informieren, dass die betroffene Person die Löschung der Daten verlangt hat.
Hier ist es also sinnvoll, vorab ein Löschkonzept zu erarbeiten, damit die Daten auch schnellstmöglich und auch rückstandslos entfernt werden können. Da die Erstellung eines Löschkonzeptes komplex ist, bietet die DIN 66398 eine ausführliche Erklärung hierzu.
4. Für Vertrauen sorgen
Es ist Ihre Aufgabe, die unrechtmäßige Verarbeitung von Daten zu verhindern. Darunter fallen auch unbeabsichtigte Änderungen.
Überprüfen Sie daher Virenscanner, Software und Firewalls regelmäßig auf deren Aktualität und aktualisieren Sie diese umgehend, sollte eine Aktualisierung angezeigt werden. Neuere Versionen von Software und Anwendungen beinhalten oft Sicherheitsupdates – führen Sie diese durch, um auf der sicheren Seite zu sein.
5. Verhalten im Ernstfall planen
Vieles kann bei einem Angriff passieren – Systeme werden lahmgelegt, Daten werden gestohlen, usw. Doch wie bekommt man die Daten wieder? Und wie bringt man das System wieder zum Laufen?
- Verwenden Sie geeignete Backup-Systeme, um die Daten widerherstellen zu können.
- Proben Sie geeignete Maßnahmen zur Systemwiederherstellung, um zu sehen, wie schnell Sie das System wieder zum Laufen bekommen können und ob danach auch alle Anwendungen funktionieren.
- Organisieren Sie eine Notstromversorgung – so kann im Ernstfall ein kompletter Systemausfall vermieden werden. Nicht hinter jedem, aber hinter einigen, kurzzeitigen Strom- und Systemausfällen steckt ein Hackerangriff.
Überprüfen Sie alle Maßnahmen regelmäßig
Durch neue Technologien und fortschreitende Digitalisierung wird sich auch an der Wirksamkeit der Maßnahmen auf längere Sicht etwas ändern. Daher gilt es, diese regelmäßig zu überprüfen. Diese kurze Checkliste hilft Ihnen dabei:
- Erfüllen die gewählten Maßnahmen noch ihren Zweck?
- Wurden neue technische Fortschritte eingeführt?
- Haben sich die Risiken geändert?
Lassen Sie diese Prüfungen intern oder extern protokollieren, um auch später noch darauf zugreifen zu können.
Sicherheit muss nicht teuer sein
Verschiedene kostenlose Quickcheck-Tools bieten Unternehmen die Möglichkeit, ihre Website selbst auf Schwachstellen für Cyberangriffe zu testen und so Sicherheitslücken zu beheben, bevor sie ein Hacker entdecken könnte.