Aufrufe
vor 5 Monaten

Netzwoche 08/2018

16 Focus EU-DSGVO Die

16 Focus EU-DSGVO Die EU-DSGVO und die Cloud: Drei Schlüssel zur Compliance Dank Cloud-Lösungen werden Unternehmen immer vernetzter und globaler. Doch die zunehmende Abhängigkeit von Cloud-Technologien birgt für Unternehmen hinsichtlich der Datensicherheit auch einige Herausforderungen. Aus diesem Grund hat die Europäische Union die neue Datenschutz-Grundverordnung (EU-DSGVO) erlassen, die am 25. Mai 2018 EU-weit in Kraft treten wird. DER AUTOR Klaus-Peter Kaul Regionaldirektor Schweiz, Riverbed Technology Am 25. Mai 2018 wird sich zeigen, wie Unternehmen trotz der neuen Vorschriften noch von den Vorteilen der Cloud profitieren. Die neue Datenschutz-Grundverordnung ist für alle Unternehmen bindend, die personenbezogene Daten innerhalb der EU verwalten. Sie wird also auch auf Schweizer Unternehmen erhebliche Auswirkungen haben. Nachfolgend finden Sie einige Tipps, mit denen Unternehmen sich für die bevorstehende EU-DSGVO rüsten können. 1. Erstellen Sie ein Mapping für Ihren Datenfluss Für Unternehmen geht mit der Einführung der neuen Datenschutz-Grundverordnung ein neues Spannungsfeld auf: Einerseits müssen sie natürlich den neuen Anforderungen an den Schutz der Kundendaten gerecht werden. Gleichzeitig müssen sie jedoch sicherstellen, dass ihre Mitarbeitenden diese Daten weiterhin für den Geschäftsbetrieb nutzen können. Bisher haben die meisten Unternehmen zwar Mitarbeiter- und Kundeninformationen verarbeitet, hatten aber keinen konkreten Plan, wie diese Daten letztlich gespeichert und verwendet werden können. Diese Unternehmen müssen nun ein Mapping erstellen, das den Fluss personenbezogener Daten in ihrem Netzwerk nachvollziehbar darstellt. Viele Unternehmen sammeln Nutzerdaten auf einem Kanal, zum Beispiel auf ihrer Website, und verarbeiten sie dann in einem anderen Teil ihres Netzwerks – etwa einer Cloud. Es ist deshalb für Firmen zentral zu verstehen, welchen Weg ihre Daten durchlaufen. 2. Führen Sie regelmässige Risikobewertungen durch Es gibt viele Tools für eine höhere Netzwerksicherheit, darunter etwa Schwachstellen-Scanner oder Intrusion-Detection- und Prevention-Firewalls. Keines dieser Werkzeuge garantiert jedoch eine hundertprozentige Sicherheit. Es ist daher unerlässlich, regelmässig Risikobewertungen durchzuführen und zu dokumentieren. Mithilfe neuer Technologien können IT-Teams das Netzwerk überwachen, Zugriffe melden, nachweisen oder widerlegen und potenzielle Problembereiche identifizieren. Dank dieser Informationen wissen Unternehmen jederzeit, was in ihrem gesamten Netzwerk passiert. So können sie Sicherheitslücken verhindern und den Schaden bei unberechtigten Zugriffen minimieren. 3. Entwickeln Sie einen starken Datenschutz Unternehmen müssen den Schutz der Privatsphäre vollumfänglich gewährleisten. Durch die Schaffung ganzheitlicher End-to-End-Transparenz im gesamten Netzwerk kann die IT-Abteilung in Echtzeit einen klaren Überblick über die Leistung der Anwendungen in der Cloud und On-Premise gewinnen. Mithilfe von Tools zur Anwendungsüberwachung kann die IT-Abteilung dann die Ursache von Performance-Problemen identifizieren. So können solche Probleme sofort behoben und die Leistung proaktiv verbessert werden. Diese optimierte Transparenz gewährleistet die Einhaltung der Datensicherheitsvorschriften und erhöht die Produktivität sowie den Umsatz des Unternehmens. Da immer mehr Unternehmen ihren betrieblichen Workload in die Cloud verlegen, wird die Transparenz in öffentlichen, privaten und hybriden Clouds immer wichtiger. Am 25. Mai 2018 wird sich zeigen, wie gut Unternehmen auf die neuen EU-DSGVO-Regeln vorbereitet sind und wie sie trotz der neuen Vorschriften noch von den Vorteilen der Cloud profitieren. 08 / 2018 www.netzwoche.ch © netzmedien ag

Focus EU-DSGVO 17 Wer speichert, muss auch löschen können Mit Inkrafttreten der Europäischen Datenschutz-Grundverordnung rücken Altsysteme sowohl technisch als auch auf Kostenebene in den Fokus von Datenschutzverantwortlichen. Dabei gilt es, den ganzen Lebenszyklus von Informationen zu managen und nicht mehr in Betrieb befindliche Systeme dauerhaft abzuschalten. Damit Unternehmen die neuen Datenschutzbestimmungen einhalten können, bedarf es einer Bestandsaufnahme. Diese darf aber nicht bei den Produktivsystemen halt machen, wird doch wegen diverser Aufbewahrungspflichten ein Teil der schützenswerten personenbezogenen Daten in Altsystemen gespeichert. Aufgrund der Modernisierung der ERP-Landschaften in den vergangenen Jahren wurden zwar viele Altsysteme auf wenige zentrale Live-Systeme migriert. Doch nur ein Teil der Daten wird jeweils in die neue Umgebung übernommen. Betrieb der Altsysteme beenden Einer der Hauptgründe für die Konsolidierung und Zentralisierung ist sicher die Kostenersparnis. Denn der Umstieg auf neue Softwaregenerationen kostet Geld, das eigentlich nicht vorhanden ist. Zwar sind die IT-Budgets in vielen Unternehmen gewachsen. Die Steigerung reicht aber bei Weitem nicht aus, um den IT-Abteilungen die Mittel bereitzustellen, die sie eigentlich für die Digitalisierung ihrer Unternehmen und deren Geschäftsmodelle benötigen. Dass nicht mehr Mittel zur Verfügung stehen, liegt unter anderem daran, dass erfahrungsgemäss rund 80 Prozent der Budgets der reine IT-Betrieb verbraucht, während nur 20 Prozent für Innovationen zur Verfügung stehen. Ideal wäre hingegen eine Aufteilung von 60 Prozent für den IT-Betrieb und 40 Prozent für Innovationen. Dieses Ziel ist jedoch nur zu erreichen, wenn Altsysteme dauerhaft abgeschaltet werden. Die Unternehmen können es sich nämlich einfach nicht leisten, diese wegen der Datenschutz-Grundverordnung wieder in Betrieb zu nehmen. Hinzu kommt, dass viele Altsysteme gar keine Möglichkeit bieten, gezielt Datensätze zu löschen. Auch die Nachrüstung ist in vielen Fällen nicht möglich, weil die Systeme vom Hersteller nicht mehr gewartet werden oder sich im rein lesenden Betrieb befinden. Es bleibt eigentlich nur ein Ausweg: Den teuren Betrieb von Altsystemen zu beenden und so die operativen Kosten dauerhaft zu senken. Historisierung, nicht Archivierung Voraussetzung dafür ist ein neuer Ansatz für das Datenmanagement. Das betrifft nicht nur Daten, sondern auch Dokumente, die personenbezogene Daten enthalten. Daten und Dokumente existieren darüber hinaus nicht für sich allein, sondern stehen in einem spezifischen Geschäftskontext. Um entscheiden und rechtfertigen zu können, ob personenbezogene Informationen zu Recht erhoben wurden und aufbewahrt werden, muss dieser Kontext mit erhalten bleiben. Es geht bei der EU-DSGVO also nicht einfach um Archivierung, sondern um das Management des gesamten Lebenszyklus von Informationen. Bezogen auf Altdaten und -dokumente ist es deshalb sinnvoller, von Historisierung zu sprechen. Hilfe dafür bietet etwa die Plattformen JiVS, mit der sich die aus stillgelegten Altsystemen übernommenen Informationen mit Aufbewahrungsfristen belegen und nach Ablauf der gesetzlichen Aufbewahrungsfristen unwiederbringlich und automatisch löschen lassen. Dieses «Retention Management» erlaubt zudem das automatisierte Löschen für Ausnahmefälle wie laufende Gerichtsverfahren auf der Ebene der einzelnen Datensätze und Dokumente im Sinne eines sogenannten «Legal Hold» auszusetzen. Fazit In der Praxis können nach der Stilllegung der Altsysteme Betriebskosten um 80 bis 90 Prozent gesenkt werden. Mit den restlichen 10 bis 20 Prozent lassen sich die aus Compliance-Gründen aufzubewahrenden Altdaten inklusive Geschäftslogik weiterhin nutzen. Das bietet überdies eine einmalige Gelegenheit, die vorhandenen Datensätze und insbesondere die Stammdaten zu bereinigen. Damit genügt man gleich auch dem Grundsatz der Datensparsamkeit der EU-DSGVO. DER AUTOR Thomas Failer Gründer von Data Migration Services Es geht bei der EU-DSGVO nicht einfach um Archivierung, sondern um das Management des gesamten Lebenszyklus von Informationen. Bild: sturti / iStock.com www.netzwoche.ch © netzmedien ag 08 / 2018