Data Protection Day 2017: Bereits auf der Zielgeraden für den Mai 2018?

Heutzutage ist es bekanntermaßen so, dass wir gewisse Tagesbezeichnungen brauchen, um uns offenbar bewußt an Dinge zu erinnern. Ein recht lustiger Anlass ist der “System Administrator Appreciation Day”, ein nachdenklich stimmender der heutige Data Protection Day 2017. In einer Zeit, in der wir quasi überall online sind und auch mittlerweile viele Geräte “always on-(line)” sind, ist die einst so rosarote Wolke des freien Internets längst Vergangenheit. Zahlen tun wir heute oft digital und – ob wissentlich oder nicht – mit unserer Identität oder unseren persönlichen Daten.

Datenschutz und Privatsphäre sind daher die zentralen Themen beim heutigen internationalen Datenschutztag (Data Protection Day). Der Tag soll alle besonders daran erinnern, mit Daten besonders sorgfältig umzugehen und hier in Europa bereits heute mit den Vorkehrungen für die neue Datenschutzverordnung (GDPR) zu beginnen – das betrifft sowohl den Privatmann als insbesondere auch den Geschäftsbereich.  Also ist das an sich der perfekte Anlass für eine wichtige Information, die nahezu alle angeht: In weniger als 18 Monaten – im Mai 2018 – müssen die Unternehmen vollständig mit dem GDPR konform sein. “Ist ja noch ein wenig hin” wird der ein oder andere denken, aber die Zeit rennt: Tatsächlich werden viele Unternehmen aber auch viel Zeit benötigen, um sich überhaupt erst einmal GDPR-konform aufzustellen. Schutz von Daten ist nicht etwas, das an einem Tag erreicht werden kann, denn es braucht Zeit, um die richtigen Prozesse zu etablieren und die richtige Einstellung im gesamten Unternehmen zu aufzubauen.

Bisher hatten Unternehmen beim Verlust von Kunden- oder Mitarbeiterdaten Glück und mussten keine großen Folgen fürchten. Die neue Gesetzgebung gibt den Behörden nun aber die Macht, hohe Geldbußen zu verhängen. Gerade kleinere und mittlere Unternehmen sind gefährdet, im Mai 2018 nicht konform zu sein. Das Sicherheitsunternehmen Sophos erwartet eine starke Zunahme an Unternehmen, die im Laufe dieses Jahres Verschlüsselungstechnologien einsetzen werden, um zumindest einen Teilaspekt der GDPR zu erfüllen. Diese sind heute längst nicht mehr so exotisch angehaucht wie früher, Lösungen hat der Markt schon längst parat – nur an der Akzeptanz mangelt es aktuell immer noch bei vielen.

Bis zur Einführung der GDPR im Mai 2018 raten die Sicherheitsunternehmen – als Beispiel hier Sophos – daher folgendes:

  • Die GDPR und alle Aspekte der neuen Regelung sollten ernst genommen werden
  • Bereits jetzt und konsequent sollten Planung und Umsetzung der GDPR auf der Unternehmens-Agenda landen Noch reicht die Zeit aus!
  • Die Hilfe von vertrauenswürdigen IT-Sicherheitsberatern mit Rechtskenntnissen können eine gute Hilfe während des gesamten Prozess sein
  • Die Mitarbeiter ins Boot holen: Rechtzeitig, transparent und nachvollziehbar darstellen, was von diesen beim Schutz geschäftskritischer Daten erwartet wird
  • Mitarbeiter sollten keinen Zugriff auf Daten haben, die sie nicht benötigen, um ihre tägliche Arbeit zu tun. Die GDPR wird selbst das Lesen von sensiblen Daten als Datenverletzung einstufen
  • Im Zweifel für den Datenschutz: Wenn Unklarheit besteht, ob bestimmte Daten unter die Datenschutzverordnung fallen oder nicht, sollte man diese zum eigenen Schutz grundsätzlich wie sensible Daten behandeln
  • Dialog mit dem Kunden: In verständlichen Worten kommunizieren, ob und welche Kundendaten gesammelt werden, für wie lange und zu welchem Zweck dies geschieht. Offenheit und Verständlichkeit dem Unternehmen zugute kommen und Kunden vertrauensvoll binden
  • Kennwörter sollten nie mit anderen geteilt werden und dabei stark und einzigartig sein. Dies macht es nicht nur schwerer, Daten zu stehlen, sondern bietet auch eine Absicherung beim Missbrauch von Privilegien – helfen können hier Passwort-Manager wie Enpass
  • Verschlüsselung schützt davor, dass Daten von Dieben gelesen werden können. Die Verschlüsselung ist eine gute Vorgehensweise, um im Sinne der GDPR zu beweisen, dass man alles getan hat, um die relevanten Daten zu schützen – bildlicht gesehen, bietet auch eine verschlossene Tür grundlegenden Schutz und erschwert den Zugriff auf die eigenen vier Wände

Im privaten Umfeld gibt es viele selbstverständlich auch Möglichkeiten, den Stein ins Rollen zu bringen und einen eigenen Data Protection Day auszurufen: Kennwörter prüfen und ändern. Schauen, welche der eigenen Dienste wiederum mit anderen verknüpft sind, die (aus welchen Gründen auch immer) speziellen Zugriff benötigen. Hinterfragen, ob man alles wissentlich in die verschiedensten Cloud-Dienste pumpen muss. Nutzen vorhandener Verschlüsselungs-Methoden- und gängiger Softwareprodukte. Einrichten der Zwei-Faktor-Authentifizierung. Oder einfach mal bei Diensten wie Google die eigenen Privatsphäre-Einstellungen prüfen – kostet alles nicht viel Zeit, kann aber zumindest einiges sicher(er) machen.

Ein Kommentar

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*