Eine Publikation der Swissprofessionalmedia AG
Ausgabe 05/2018, 10.05.2018

Keine Angst vor dem Datenschutz

Ab 25. Mai 2018 gilt die europäische Datenschutzgrundverordnung (EU-DSGVO). Sie hat auch Auswirkungen auf Schweizer Unternehmen. Die Verordnung produziert viel Unsicherheit, bietet aber auch grosse Chancen. Rohde & Schwarz Cybersecurity hat sich die positiven Seiten näher angesehen.

Die DSGVO ist eine Modernisierung für wirksamen und konkreten Schutz personenbezogener Daten in Europa. «Unternehmen haben die Chance, ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu untermauern, wenn sie die Richtlinie umsetzen», sagt Helko Kögel, Director Consulting von Rohde & Schwarz Cybersecurity. Ein weiterer Vorteil: Um nachweisen zu können, dass ein Unternehmen datenschutzrechtliche Vorgaben einhält, muss es ein Datenschutzmanagementsystem einführen. Diese notwendige Bedingung der Verordnung, stellt einen hohen Nutzen für das Unternehmen dar. Denn: «Der Datenschutzbeauftragte erhält über ein risikobasiertes Managementsystem schnell eine Übersicht über die laufende Verarbeitung von personenbezogenen Daten und kann darauf seine datenschutzrechtliche Prüfung aufbauen», benennt Helko Kögel die positiven Aspekte. Hinzu kommt: Die EU-DSGVO schliesst Backdoor-Lösungen rigoros aus.

Das heisst: Die normale Zugriffssicherung zu einem Computer oder einer sonst geschützten Funktion eines Computerprogramms kann nicht umgangen werden; unbefugter Zugang wird also verhindert. «Damit verschafft sie europäischen Unternehmen einen Vorteil gegenüber dem globalen Wettbewerb», sagt Datenschutzprofi Kögel. Die zentralen Prinzipien der neuen Verordnung lauten:

  • Rechtmässigkeit und Transparenz: Ohne eine Ermächtigungs- oder Rechtsgrundlage dürfen keine personenbezogenen Daten erhoben und benutzt werden.
  • Zweckbindung: Die personenbezogenen Daten, für die eine Ermächtigungsgrundlage vorhanden ist, dürfen nur zu dem Zweck verwendet werden, für den ebendiese Ermächtigung erteilt wurde.
  • Datenminimierung: Die Datenverarbeitung muss auf das notwendigste Mass beschränkt werden.
  • Richtigkeit von Daten: Bei falschen und unsachlichen Daten hat das Datensubjekt sofortigen Anspruch auf Berichtigung oder Löschung.
  • Speicherbegrenzung: Die neue Verordnung besagt, dass die Datenspeicherung auf den Zeitraum der Verarbeitung beschränkt ist und unbegrenzte Datenspeicherung vermieden werden muss.
  • Integrität und Vertraulichkeit: Die personenbezogenen Daten müssen angemessen gesichert werden vor Manipulation oder Fälschung.
  • Rechenschaftspflicht: Die Einhaltung dieser Grundsätze muss nachgewiesen werden.

Die neuen Prinzipien stellen Unternehmen vor konkrete Herausforderungen. Sie müssen Massnahmen ergreifen, die die Vertraulichkeit, Integrität und Belastbarkeit der Systeme und Dienste sicherstellen und die Verfügbarkeit der personenbezogenen Daten gewährleisten sowie eine Wiederherstellung der Daten ermöglichen. «Vor allem die Abschätzung des Risikos nach einer festgelegten Methodik – das Fachwort lautet: Datenschutzfolgenabschätzungen – stellt eine erhöhte Anforderung an Unternehmen dar», erläutert Helko Kögel. «Eine weitere Herausforderung sind die erweiterten Informations- und Auskunftspflichten gegenüber Betroffenen sowie eine generelle Ausweitung der Betroffenenrechte.»

Um sich diesen Herausforderungen zu stellen, empfiehlt er die Einführung eines sogenannten Informationssicherheitsmanagementsystems (ISMS). Darin werden Verfahren und Regeln aufgestellt, die dafür sorgen, dass die benötigte Informationssicherheit im Unternehmen zunächst definiert, dann umgesetzt und kontinuierlich verbessert wird. «Um dem erhöhten Anspruch der EU-DSGVO gerecht zu werden, bedarf es zudem eines breit aufgestellten Portfolios an IT-Sicherheitslösungen, die auf allen Ebenen zusammenarbeiten und ineinandergreifen. Dazu gehört das Einrichten sicherer Netzwerke, des Monitorings, der Endpoints, Applikationen und Clouds. Verantwortlich für die Initiierung und Umsetzung der oben genannten Massnahmen ist immer der Datenschutzbeauftragte und teilweise der IT-Sicherheitsbeauftragte.»(pi)


Roschi Rohde & Schwarz AG
3063 Ittigen, Tel. 031 922 15 22
sales@roschi.rohde-schwarz.com,
rohde-schwarz.com/ch



Helko Kögel, Director Consulting von Rohde & Schwarz Cybersecurity, sieht in der EU-DSGVO Vorteile für die Unternehmen: «Das Vertrauen seitens der Kunden kann gestärkt und die nötige Transparenz gegenüber Dritten untermauert werden.» (Bild: Rohde & Schwarz)

Am Rande bemerkt

Hilfreiche Leitfäden

Rohde & Schwarz Cybersecurity bietet eine ausführliche Beratung rund um die Umsetzung der EU-DSGVO an. Unter der unten genannten www-Adresse findet man hilfreiche Leitfäden, Ansprechpartner und auch das Webinar «EU-DSGVO konkret umsetzen».

http://t1p.de/nvug