E-BOOK EU-Datenschutz-GrundverordnungWas steht drin?

Warum wurde sie verabschiedet?

Wie können sich Unternehmen vorbereiten?

2

Entwicklung der EU-Datenschutz-Grundverordnung und Bedeutung für UnternehmenIn der EU gibt es seit über zwanzig Jahren Datenschutzrichtlinien. Diese werden sich demnächst jedoch ändern. Die 1995 verabschiedete Datenschutzrichtlinie diente dem Schutz natürlicher Personen in der EU bei der Verarbeitung personenbezogener Daten außerhalb der Mitgliedsstaaten.

Sie wird durch die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) abgelöst, um den Schutz personenbezogener Daten zu optimieren und die Datenschutzanforderungen in allen EU-Ländern zu standardisieren.

Im Zuge der neuen Verordnung sind Unternehmen gezwungen, ihre Abläufe, Verfahren und Sicherheitsrichtlinien anzugleichen. Sicherheits- und Compliance-Experten müssen die neuen Anforderungen der DSGVO genau kennen, um den Vorschriften für Mitarbeiter, Prozesse, Richtlinien und Technologien nachkommen zu können.

3

„Mit der Verordnung werden die in der Datenschutzrichtlinie von 1995 verankerten Grundsätze aktualisiert und modernisiert, um den Schutz der Privatsphäre sicherzustellen. Der Schwerpunkt dabei liegt darauf, die Rechte der Bürger als auch den EU-Binnenmarkt zu stärken, Vorschriften stärker durchzusetzen, die internationale Übermittlung personenbezogener Daten zu vereinheitlichen und weltweit gültige Datenschutzstandards einzuführen.“1

1Europäische Kommission – Factsheet: Fragen und Antworten – Datenschutzreform, 21. Dezember 2015, URL: http://europa.eu/rapid/press-release_MEMO-15-6385_de.htm

4

Warum gibt es EU-Datenschutzvorschriften? Seit der Verabschiedung der EU-Datenschutzrichtlinie im Jahr 1995 haben die Mitgliedsstaaten das Gesetz auf unterschiedliche Weise implementiert, was zu einer inkonsistenten Durchsetzung führte. Die Richtlinie brachte vielerorts Komplexität, Rechtsunsicherheit und hohe administrative Kosten mit sich.

Die Europäische Kommission hat die neue DSGVO nicht nur zur Optimierung der Sicherheit personenbezogener Daten auf den Weg gebracht, sondern auch, um einen einheitlicheren Standard in allen EU-Ländern zu schaffen. Die DSGVO wurde im April 2016 verabschiedet. Die Anforderungen müssen innerhalb der nächsten zwei Jahre erfüllt werden. Dann ersetzt die DSGVO die bisherige Datenschutzrichtlinie.

5

Oktober 1995Die EU verabschiedet die Datenschutzrichtlinie, um die Verarbeitung und Übermittlung personenbezogener Daten zu regeln.

April 2016Die Europäische Kommission verabschiedet die DSGVO.

Dezember 2015EU-Datenschutz-Reform – neue europaweite Richtlinien

Mai 2018Die DSGVO tritt für alle EU-Mitgliedsstaaten in Kraft.

6

Zentrale Aspekte der EU-Datenschutz-Grundverordnung

7

1. Datenschutz für Bürger > Recht auf Vergessenwerden. Bürger haben ein Recht darauf, dass Unternehmen personenbezogene Daten löschen und diese Daten nicht weitergeben. Das heißt, Unternehmen müssen Kundendaten nicht nur aus Datenbanken, sondern auch aus Backups, Archiven usw. entfernen.

> Schnelle und unparteiische Streitschlichtung. Die DSGVO gibt Bürgern eindeutige Strukturen für den Umgang mit Beschwerden und die Streitschlichtung an die Hand. Bürger haben die Möglichkeit, ihr Recht unentgeltlich auszuüben. Sie können beispielsweise Widerspruch gegen die Verwendung von und den Zugriff auf Daten erheben und Beschwerden beilegen.

> Schutz für Kinder. In der neuen Verordnung ist ein besonderer Schutz für personenbezogene Daten von Kindern verankert. Für Kinder bis zum vollendeten 13. Lebensjahr müssen die Eltern oder ein Vormund ihre Einwilligung erteilen.

> Vorherige Zustimmung. Die DSGVO sieht vor, dass die Verarbeitung personenbezogener Daten nur unter bestimmten Bedingungen rechtmäßig ist, z. B. „Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben.“2 Geschäftliche Vertreter können keine Einwilligung erteilen. Somit müssen viele Websites Cookies (Code, der zur Nachverfolgung des Benutzerverhaltens dient) standardmäßig deaktivieren; einer Nachverfolgung muss vom Besucher der Site zunächst expliziert zugestimmt werden.

2Europäische Kommission, „VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)”, 25. Januar 2012, Seite 50, URL: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52012PC0011&from=en

8

2. Empfindliche Strafen > Für Unternehmen, die den DSGVO-Vorschriften nicht nachkommen, sind empfindliche Strafen vorgesehen.

> Die administrativen Sanktionen der neuen Verordnung beinhalten z. B. hohe Geldstrafen, die dann verhängt werden können, wenn ein Unternehmen den Bestimmungen absichtlich oder unabsichtlich nicht nachgekommen ist.

3. Leistungsstarke Kontrollen > Die DSGVO sieht für Unternehmen strenge Kontrollen für personenbezogene Daten vor. Die Unternehmen sind für diese Kontrollen allein verantwortlich und rechenschaftspflichtig.

> Die Verordnung stellt zudem eindeutige Anforderungen an Unternehmen „zum Schutz personenbezogener Daten vor unbeabsichtigter oder widerrechtlichen Zerstörung oder vor unbeabsichtigtem Verlust sowie zur Vermeidung jedweder unrechtmäßigen Verarbeitung, insbesondere jeder unbefugten Offenlegung, Verbreitung beziehungsweise Einsichtnahme oder Veränderung.“3

> Vorhandene Datenschutzrichtlinien und -verfahren müssen überprüft und an den vorgegebenen Standard angeglichen werden.

4. Datenhoheit > Diese Vorschrift gilt für Verantwortliche und Datenverarbeiter mit Sitz in der EU und für Organisationen, die Daten von Personen mit Sitz in der EU verarbeiten.

> Um die DSGVO einhalten zu können, muss der Speicherort von Daten bekannt sein, nachverfolgt und kontrolliert werden können.

5. Transparenz > Die Verordnung sieht Folgendes vor: „Der für die Verarbeitung Verantwortliche verfolgt in Bezug auf die Verarbeitung personenbezogener Daten und die Ausübung der den betroffenen Personen zustehenden Rechte eine nachvollziehbare und für jedermann leicht zugängliche Strategie.“4

> Eine dauerhafte Überwachung gewinnt zunehmend an Bedeutung. Im Falle eines vermeintlichen Verstoßes muss dieser erkannt und schnell gehandelt werden.

³Europäische Kommission, „VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)”, 25. Januar 2012, Seite 69, URL: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52012PC0011&from=en4Europäische Kommission, „VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)”, 25. Januar 2012, Seite 54, URL: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52012PC0011&from=en

9

10

1. Speicherorte vertraulicher Daten kennen

Zunächst ist es wichtig zu bestimmen, wo alle vertraulichen, personenbezogenen Daten gespeichert sind.

> Außerdem sollte für alle Systeme und Services bekannt sein, wer Zugriff auf die Daten hat. Wie werden der Zugriff und andere Aktivitäten nachverfolgt und bestimmten Personen zugewiesen?

> Wie viele verschiedene Umgebungen und Speicherorte vertraulicher Daten gibt es? Dazu zählen auch die geografischen Standorte sowie Speicherorte in Rechenzentren, virtuellen und Cloud-Umgebungen und Angaben dazu, ob Daten auf Servern (Dateiserver, Datenbanken, virtuelle Maschinen), Speicher-Volumes oder -Shares, Festplatten, Bändern und anderen Medien vorgehalten werden.

> Wie viele verschiedene Datentypen müssen geschützt werden? Werden vertrauliche Daten ausschließlich in einem strukturierten Datenformat vorgehalten,

z. B. als Felder in einer Datenbank? Oder liegen sie in unstrukturierten Formaten wie PDFs, Bildern oder Textverarbeitungsdokumenten vor?

> Wohin werden Daten übermittelt? Dies kann beispielsweise in Netzwerken zwischen Rechenzentren geschehen, z. B. in Punkt-zu-Punkt- und Mehrpunkt-Umgebungen.

Wichtigste Maßnahmen zur DSGVO-Compliance

11

2. Anzahl der Datenspeicher möglichst gering haltenSobald bekannt ist, wo Daten gespeichert sind, sollte die Anzahl der Standorte vertraulicher Daten soweit wie möglich reduziert werden. Kann ein Unternehmen die Anzahl der Umgebungen und Systeme, die personenbezogene Daten enthalten, deutlich senken, können die Vorgaben der neuen DSGVO leichter eingehalten werden.

3. Verschlüsselung und Schlüssel-Management schützenDie Vertraulichkeit und Integrität von Daten lässt sich durch Verschlüsselung erzielen. Durch die neue DSGVO wird die Nachfrage nach Verschlüsselungslösungen weiter steigen.

> Im Falle einer Datenschutzverletzung kann die Benachrichtigung der betroffenen Person entfallen, die gemäß der Datenschutz-Grundverordnung Pflicht ist, wenn geeignete technische Sicherheitsvorkehrungen getroffen wurden. Wurden die Daten verschlüsselt und waren die Schlüssel geschützt, können Angreifer die Daten nicht entschlüsseln und somit nicht auf die eigentlichen Informationen zugreifen.

> Unternehmen können sicherstellen, dass sie selbst im Falle einer gerichtlichen Anordnung einer anderen Regierung

oder eines geheimen Zugriffs auf private Datenspeicher die Kontrolle darüber behalten können, wer die Daten entschlüsseln darf.

> Durch Löschen eines Keys, der den verschlüsselten Daten eines Kunden zugeordnet ist, können Unternehmen dafür sorgen, dass Daten nie im Klartext eingesehen werden können.

4. Zugriff kontrollierenDer unberechtigte Zugriff auf vertrauliche Daten und auch große Datenlecks erfolgen immer wieder über die Schwachstelle statischer Benutzerdaten. Unternehmen müssen diese Schwachstelle durch eine starke Multi-Faktor-Authentifizierung für alle wertvollen Ressourcen ausschalten – ganz gleich, ob es sich um ein Netzwerk, ein Portal oder eine Anwendung handelt.

12

Nutzen Sie umfassende Lösungen aus der Hand eines erfahrenen Anbieters. Gemalto verfügt über ein umfassendes Lösungsportfolio, mit dem international tätige Unternehmen selbst komplexe Anforderungen an die Operative, Sicherheit und den Datenschutz erfüllen können. Sicherheitsteams können so zentral Schutzmaßnahmen bereitstellen, die für eine ganzheitliche und konsequente Sicherheit sorgen.

SafeNet ProtectFile

SafeNet ProtectApp

Netzwerk-Verschlüsselung

Data at Rest

Data in Motion

SafeNetProtectDB

SafeNet Tokenization

SafeNet KeySecure/Virtual KeySecure PlatformVerteiltes Schlüsselmanagement

SafeNet High-Speed EncryptorenEthernet Verschlüsselung auf Layer2

SafeNet ProtectV Ecosystem

Web- und Anwendungsserver

Datenbanken AnwendungsserverDateiserver

und FreigabenVirtuelle Maschinen

Apps | GW | TapeDisk | KMIP | TDE

13

Die Gemalto-Lösungen erfüllen die Anforderungen der DSGVO.

> Verschlüsselung. Gemalto-Lösungen zur Verschlüsselung gespeicherter Daten bieten einen transparenten und wirksamen Datenschutz für Unternehmensdaten auf allen Ebenen. Dazu zählen auch Anwendungen, Datenbanken (Spalten und Dateien), Dateisysteme, Festplatten (virtuelle Rechner) und NAS. Die SafeNet High-Speed-Verschlüsselungsgeräte (HSEs) sorgen für eine bewährte und zertifizierte Verschlüsselung auf Layer 2, die Daten während der Übertragung schützt. Gleichzeitig werden die Anforderungen an einen hohen Durchsatz und Echtzeit-Response erfüllt.

> Schlüsselverwaltung. Mit Gemalto-Lösungen sind Unternehmen in der Lage, kryptografische Schlüssel und Richtlinien zentral, effizient und sicher zu verwalten und zu speichern – und zwar über den gesamten Schlüssel-Lebenszyklus hinweg. Die Lösungen eignen sich für die Schlüsselverwaltung auf heterogenen Verschlüsselungsplattformen und unterstützen den KMIP-Standard sowie eigene Schnittstellen. Zum Gemalto-Portfolio zählen Schlüssel-Management-Lösungen für Unternehmen und verschiedene Hardware-Sicherheitsmodule (HSMs).

> Identity & Access Management (IAM) Die IAM-Lösungen von Gemalto beinhalten marktführende Systeme für die starke Authentifizierung und digitale Signaturen. Damit können Unternehmen den Zugriff auf Online-Ressourcen und die digitalen Interaktionen zwischen Mitarbeitern, Partnern und Kunden zuverlässig schützen.

SAFENET-LÖSUNGEN FÜR DEN IDENTITÄTS- UND DATENSCHUTZ

VON GEMALTO

Das Gemalto-Portfolio für den für den Identitäts- und Datenschutz zählt zu

den umfassendsten Portfolios für den Schutz kritischer Daten. Die Kunden

profitieren vom Schutz ihrer digitalen Identitäten, sicheren Transaktionen,

Zahlungsvorgängen und Daten. Gemaltos Angebot von SafeNet-Lösungen

für Identitäts- und Datenschutz ermöglicht Behörden und Unternehmen

die Umsetzung eines datenzentrischen Security-Ansatzes. Mit innovativen

Verschlüsselungsmethoden, branchenführender Krypto-Management-

Technologie, Authentifizierungs- und Identitätsmanagementlösungen können

sie sensible Daten schützen – unabhängig davon, wo sich diese befinden.

Gemalto hilft damit auch Institutionen mit strengsten Datenschutzregeln die

Compliance-Anforderungen zu erfüllen. Sensible Informationen, Kundendaten

und digitale Transaktionen sind so sicher vor Diebstahl und Manipulation – für

mehr Vertrauen in einer zunehmend digitalen Welt.

©G

emal

to 2

016.

Alle

Rec

hte

vorb

ehal

ten.

Gem

alto

und

das

Gem

alto

-Log

o si

nd M

arke

n bz

w. D

iens

tleis

tung

smar

ken

von

Gem

alto

und

in b

estim

mte

n Lä

nder

n ei

nget

rage

n. e

B (D

E)-1

8Nov

.201

6 –

Des

ign:

DB

GEMALTO.COM