EU-Datenschutz-Grundverordnung macht Unbefugte zum teuren Risiko für Unternehmen

Betriebe müssen nun genau prüfen und festzulegen, welche Person in welcher Funktion Zugriff auf welche Daten und Informationen hat

[datensicherheit.de, 27.04.2016] Die Digitale Transformation basiert auf Daten, aber eben nicht nur – auch auf Maschinen, Produkten, Fertigungsprozessen und eben Personen, Unternehmen und Netzwerken. Im Kontext der kürzlich endgültig verabschiedeten EU-Datenschutz-Grundverordnung (DS-GVO) werde der „Unbefugte“ nun zum „teuersten Problem der Wirtschaft“, warnt die Protected Networks GmbH aus Berlin.

Verarbeitung personenbezogener Daten als Fußangel

„Ein Mitarbeiter, der in Daten Einblick hat, obwohl er diese spezifischen Informationen für seine Tätigkeit nicht benötigt, kann mit dem DS-GVO zum teuren Krisenfall werden. Die Bußgelder betragen bis zu vier Prozent vom weltweit erwirtschafteten Jahresumsatz“, erläutert Matthias Schulte-Huxel, „CSO“ bei Protected Networks. Bei einem Konzern könnte ein ernsthafter Datenskandal also eine Strafzahlung in Milliarden-Höhe nach sich ziehen. Als ernsthafter Verstoß gelte dabei die Nichteinhaltung der Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5) sowie der Bestimmungen zur Einwilligung betroffener Personen (Artikel 7).

„Access Rights Management“ wichtiger als je zuvor

„Es ist wichtiger denn je, im Unternehmen genau zu prüfen und festzulegen, welche Person in welcher Funktion Zugriff auf welche Daten und Informationen hat“, erläutert Schulte-Huxel.
Unbefugte Zugriffe auf Daten seien damit dringlich zu verhindern, schaffbar sei das nur mit einer firmeninternen Lösung für das „Access Rights Management“. Schließlich gehe es nicht nur um den Schutz vor Zugriffen, sondern auch um den Nachweis, dass ein Zugriff nicht möglich gewesen sei.
Protected Networks habe eine Lösung bereits lange vor der DS-GVO so entwickelt, dass auf Knopfdruck ersichtlich sei, wer welche Berechtigungen im Unternehmen hat. Anpassungen der Zugriffsrechte seien dabei ebenso leicht möglich, jeder Eingriff werde dabei protokolliert und ist revisionssicher verwahrt, so Schulte-Huxel über „8MAN“. Über einfache Nutzerschnittstellen könnten auch Fachabteilungen die Rechtevergabe umsetzen – jederzeit durch ein Vieraugen-Prinzip abgesichert. Die wesentlichen Forderungen der DS-GVO seien damit erfüllt, um unbefugte Zugriffe auszuschließen.

Ambitionierte 72-Stunden-Meldefrist

In Artikel 31 der DS-GVO ist geregelt, dass eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden ist – unter der Bedingung, dass die Verletzung zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen führen kann.
Allerdings müssten auch kleinere Verletzungen intern dokumentiert werden und jederzeit nachvollziehbar sein. Auch hierzu biete „8MAN“ aktive Hilfe, denn auch die Zugriffe würden protokolliert. „Selbst wenn der CIO sich selber alle nötigen Rechte verleiht, Daten kopiert und nachher die Berechtigungen wieder löscht: 8MAN weiß das“, betont Schulte-Huxel.