1 Empfehlungen
Im Mai 2018, wenn die kommende EU-DSGVO (Datenschutz-Grundverordnung, engl. GDPR=General Data Protection Regulation) in Kraft tritt, ändern sich die Anforderungen für die Handhabung personenbezogener Daten. Der Bezugsrahmen dieser Verordnung ist sehr breit und betrifft beinahe jegliche Organisation, einschließlich derer außerhalb der EU, die personenbezogene Daten von EU-Bürgern speichert. Die Erfordernisse für die Gewährleistung der Privatsphäre von Konsumenten werden durch diesen neuen Rahmen bedeutend strenger. Dieser Report identifiziert sechs zentrale Aktivitäten, die innerhalb der IT unternommen werden sollten, um sich auf die Erfüllung dieser Anforderungen vorzubereiten.
- Personenbezogene Daten aufspüren: Der erste und wichtigste Schritt ist das Aufspüren von personenbezogenen Daten (Personally Identifiable Information, engl. PII), die in Ihren IT-Systemen gespeichert werden. Diese Daten sind wahrscheinlich über Systeme, Anwendungen und Verzeichnisse verteilt und manche werden unstrukturiert abgelegt sein. Ohne diese Daten zu kennen, können angemessene Schutzmaßnahmen weder implementiert noch auf erfolgreiche Funktion getestet werden. Manche Werkzeuge, wie etwa DLP (Data Loss Prevention)- und Data Governance-Lösungen, die Datenbanken, geteilte Verzeichnisse und Endgeräte analysieren können, können das Auffinden dieser Daten unterstützen.
- Zugriff kontrollieren: Es liegt in der Verantwortung des Data Controllers (Verantwortlichen) und des Data Processors (Auftragsverarbeiters) sicherzustellen, dass auf PII nur im Einklang mit der durch den Dateneigentümer (Data Subject) getroffenen Einverständnis zugegriffen werden kann. Dies erfordert Mechanismen, die den Zugriff auf diese Daten kontrollieren. Diese Mechanismen müssen autorisierte Zugriffe ermöglichen und nicht autorisierte Zugriffe verhindern. Sie müssen den Dateneigentümern das Recht auf Einsicht und Korrektur aller über sie gespeicherten Daten gewähren. Die Mechanismen müssen sowohl den Zugriff durch Anwendungen auf strukturierte Daten, als auch den individuellen Zugriff auf unstrukturierte Daten in Tabellen, Dokumenten oder Emails abdecken. Außerdem müssen sie die Möglichkeiten beschränken, wie Daten aggregiert werden können.
- Einwilligungen verwalten: Wo immer die Einwilligung der betroffenen Person (Data subjects) für die Verarbeitung notwendig ist, muss diese Einwilligung freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich erteilt werden. Eine Einwilligung kann jederzeit durch die betroffene Person widerrufen werden. Die Anpassung von Anwendungen, die personenbezogene Daten verarbeiten, kann notwendig werden, um sicherzustellen, dass diese Anforderungen erfüllt werden. Die Nachweispflicht einer Einwilligung liegt hierbei beim Data Controller (Verantwortlichen) oder dem Data Processor (Auftragsverarbeiters). Das bedeutet, dass Organisationen Prozesse und Technologien implementiert haben müssen, die den Lebenszyklus erteilter Einwilligungen für jede betroffene Person und den jeweiligen Verarbeitungszweck potentiell bis auf Feldebene nachverfolgen. Zugriffsrechte auf die Daten müssen hierbei mit der jeweiligen Einwilligung verknüpft sein.
- Cloud-Dienste verwalten: Oben gesagtes gilt auch dann, wenn Daten in Cloud-Diensten gespeichert oder verarbeitet werden. CASB (Cloud Access Security Brokers), oft in Verbindung mit DLP-Lösungen, bieten Mechanismen zur Erkennung und Steuerung, welche Daten in Cloud-Dienste verlagert werden sowie zur aktiven Zugriffskontrolle, etwa durch Verschlüsselung. Wenn Cloud-Dienste genutzt werden, ist es wesentlich, dass der CSP (Cloud Service Provider) in Kenntnis gesetzt wird, dass der Dienst zur Speicherung von personenbezogenen Daten genutzt wird. Darüber hinaus ist es wichtig sicherzustellen, dass der Dienst für diese Zwecke zertifiziert ist, zum Beispiel nach ISO/IEC 27018.
- Vorbereitung auf einen Data Breach: Die Verordnung erfordert, dass wenn ein Data Breach (Veröffentlichung ohne Genehmigung) erkannt wird, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden und die betroffenen Personen ohne unangemessene Verzögerung informiert werden. Um das zu ermöglichen, ist es unerlässlich, dass die Organisation einen Plan für den Data Breach-Fall vorbereitet und getestet hat.
- Privacy Engineering implementieren: Hierbei handelt es sich um einen Ansatz für den Entwurf und die Implementation von Datenverarbeitungssystemen, der unter anderem in NISTIR-8062 skizziert wird und der sicherstellt, dass diese verlässlich die Anforderungen an die Verarbeitung personenbezogener Daten auf vertrauenswürdige und anforderungskonforme Weise erfüllen. Die Gewährleistung von Privatsphäre ist vergleichbar der Security und kann nicht einfach nachträglich in Systeme implementiert werden die nicht schon grundlegend dafür ausgelegt wurden. Zumindest neue Anwendungen zur Handhabung von PII und deren Design und Implementation sollten diesem Ansatz folgen.