Datenschutz-Tipps schützen vor Strafen

In knapp einem Jahr treten wichtige Änderungen der EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie regeln EU-weit einheitlich die Verarbeitung von personenbezogenen Daten. Diese betreffen Unternehmen jeder Größenordnung und Branche sowie Verwaltungen aller staatlichen Ebenen. Wer sich nicht darauf vorbereitet, kann drastisch dafür bestraft werden. Tipps helfen bei der Umsetzung.

Ab 25. Mai 2018 regelt die DSGVO (englisch: General Data Protection Regulation, GDPR) EU-weit einheitlich die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen. Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen, wie Name, E-Mail-Adresse, Social-Media-Beiträge, physische, physiologische, genetische oder medizinische Informationen, Wohn- oder Aufenthaltsort, Bankverbindung, IP-Adresse, Cookies und die so genannte kulturelle Identität.

Aufgrund der zunehmenden Verbreitung von Diensten und Anwendungen, die personenbezogene Daten verarbeiten wie soziale Netzwerke, Cloud-Computing, Internet der Dinge und lernende Systeme nimmt die wirtschaftliche Bedeutung des Datenverkehrs immer mehr zu. Das Datenschutzrecht spielt dabei eine zentrale Rolle.

Drastische Strafen bei Verstößen

Die Datenschutz-Grundverordnung bildet auch für Microsoft die neue Messlatte für Datenschutz, Compliance und IT-Sicherheit. Sie bedeuten umfassende Änderungen für Unternehmen jeder Größenordnung und Branche sowie Verwaltungen aller staatlichen Ebenen auf die sie sich schon jetzt vorbereiten müssen.
Die Datenschutz-Grundverordnung stellt ein komplexes Regelwerk dar, das umfassende Anpassungen in der Datenerfassung und -verwaltung von Unternehmen und Verwaltungen erfordert. So müssen zum Beispiel Unternehmen mit mehr als 250 Mitarbeitern einen Chief Data Privacy Officer (CDPO) etablieren und ihre Kunden unter bestimmten Umständen innerhalb von 72 Stunden informieren, wenn es zu einem Diebstahl von Kundendaten, zu einem Datenleck oder zu einer anderen Verletzung des Schutzes personenbezogener Daten gekommen ist.
Bei Verstößen sieht die Verordnung drastische Strafen vor: Die maximale Geldbuße beträgt 20 Millionen Euro oder für Unternehmen bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Wert der höhere ist.

Microsoft hat bereits Erfahrung gesammelt, Unternehmen bei der Einhaltung komplexer Bestimmungen zu unterstützen. Wichtige Fragen für Firmen sind zum Beispiel:

•In welchem Rahmen ist mein Unternehmen von der Datenschutz-Grundverordnung betroffen?
•Welche strukturellen Änderungen verlangt die Verordnung?
•Wie beginne ich am besten mit den Vorbereitungen?
•Welche Microsoft-Produkte und -Dienste helfen mir bei der Einhaltung der Datenschutz-Grundverordnung?

Fünf Schritte für den Datenschutz-Einstieg

Microsoft hat fünf Schritte für den Einstieg in das Thema entwickelt:
•Ermitteln, welche personenbezogenen Daten im Unternehmen vorhanden sind und wo sie liegen.
•Kontrollieren, wie personenbezogene Daten genutzt werden und wie auf diese zugegriffen wird.
•Die Daten schützen, indem Kontrollen geschaffen werden, um Risiken und Datenschutzverletzungen zu verhindern, zu erkennen und darauf reagieren zu können.
•Berichten, indem die Anfragen von betroffenen Personen beantwortet und dokumentiert werden.
•Überprüfen, wie die Daten und Systeme analysiert werden, fortlaufend die Einhaltung der Vorgaben kontrollieren und somit die Risiken von Diebstahl und Missbrauch verringern.

Microsoft unterstützt Unternehmen mit Funktionen bei der Einhaltung der Datenschutz-Grundverordnung. Damit Unternehmen zum Beispiel in der Lage sind, Datenlecks frühzeitig zu erkennen und darauf zu reagieren, bietet Microsoft mit Office 365 Advanced Threat Protection einen Echtzeitschutz für E-Mails. Die Windows Defender Advanced Threat Protection unterstützt Unternehmen beim Bekämpfen von Cyberangriffen auf Netzwerke. Advanced Threat Analytics gibt ihnen die Möglichkeit, Identitätskompromittierung über Machine Learning und Verhaltensanalysen frühzeitig zu erkennen.

Gastbeitrag von Peter Jordan

ERP im Kontext der Datenschutz-Grundverordnung:  Fluch oder Segen?

Microsoft Dynamics 365 und die Datenschutz-Grundverordnung

Die Kontrolle, wer Zugriff auf personenbezogene Daten hat, ist entscheidend für den Schutz dieser Daten. Dynamics 365 ermöglicht auf mehrere Arten die Verwaltung und Steuerung des Zugriffs auf Daten:

• Die rollenbasierte Sicherheit in Microsoft Dynamics 365 ermöglicht das Zusammenstellen verschiedener Zugriffsrechte, die die Aufgaben eingrenzen, die von einem bestimmten Benutzer durchgeführt werden können. Dies ist eine wichtige Funktion, insbesondere wenn Personen die Rollen innerhalb einer Organisation wechseln.
• Die datensatzbasierte Sicherheit in Dynamics 365 ermöglicht das Einschränken des Zugriffs auf spezifische Datensätze.
• Die Sicherheit auf Feldebene in Dynamics 365 ermöglicht das Einschränken des Zugriffs auf bestimmte Felder mit vertraulichen Informationen, wie etwa personenbezogene Daten.
• Azure Active Directory (Azure AD) trägt zum Schutz von Dynamics 365 vor nicht autorisiertem Zugriff bei, indem die Verwaltung von Benutzern und Gruppen vereinfacht wird und Administratoren Funktionen für das Zuweisen und Widerrufen von Zugriffsberechtigungen erhalten. Azure AD enthält Tools wie Multi-Faktor-Authentifizierung und ermöglicht so eine äußerst sichere Anmeldung. Zudem hilft Azure AD Privileged Identity Management bei der Minimierung von Risiken in Verbindung mit Administratorrechten durch Zugriffskontrolle, -verwaltung und -Reporting.

Eine weitere wichtige Anforderung der Datenschutz-Grundverordnung ist der Schutz persönlicher Daten, die Unternehmen kontrollieren oder verarbeiten. Dynamics 365 wurde so konzipiert, dass es die Sicherheit der Daten optimiert:
•Security Development Lifecycle ist ein obligatorischer Prozess von Microsoft, mit dem Sicherheitsanforderungen in jede Phase der Entwicklung eingebettet werden. Dynamics 365 wurde mit dem Security Development Lifecycle erstellt.
•Verschlüsselung bei der Übertragung zwischen Geräten der Benutzer und unseren Rechenzentren sowie während der Speicherung in einer Microsoft-Datenbank trägt zum dauerhaften Schutz der Dynamics 365-Daten bei.

Microsoft Cloud Deutschland

Microsoft ist mit der Microsoft Cloud Deutschland zudem speziell auf die Bedürfnisse von deutschen Kunden mit strengen Compliance- Richtlinien, die zumeist unternehmensintern aufgesetzt wurden, eingegangen. Das Angebot richtet sich besonders an datensensible Branchen mit strengen Compliance-Vorgaben, wie dem öffentlichen Sektor und Bildungswesen oder der Finanzindustrie. Wie auch für die globalen Cloud-Services gewährleistet Microsoft, dass die Angebote aus der Microsoft Cloud Deutschland den Anforderungen der Datenschutz-Grundverordnung entsprechen. Im Vergleich zu der Microsoft Cloud erfüllt die Microsoft Cloud Deutschland zwei zusätzliche, spezifische Anforderungen von Kunden:

Die Dienste der Microsoft Cloud Deutschland werden aus deutschen Rechenzentren in Frankfurt/Main und Magdeburg bereitgestellt. Die Kundendaten werden ausschließlich in Deutschland gespeichert.

Nur der Datentreuhänder hat die Kontrolle über den Zugriff auf Kundendaten, soweit der Zugriff nicht vom Kunden oder von Endnutzern des Kunden ausgeht. Ohne Zustimmung des Datentreuhänders oder des Kunden erhält Microsoft keinen Zugriff. Wird diese Zustimmung durch den Datentreuhänder erteilt, beispielsweise im Rahmen einer Wartung oder einer Support-Anfrage, greift Microsoft nur unter dessen Aufsicht zeitlich begrenzt und nachvollziehbar auf die Kundendaten zu.

Seit September 2016 steht die Microsoft Cloud Deutschland mit Microsoft Azure, Office 365 und seit Anfang Juni auch mit Dynamics 365 für Unternehmenskunden aus Deutschland, der Europäischen Union und der Europäischen Freihandelszone (EFTA) zur Verfügung.

Die Autoren: Michael Kranawetter, National Security Officer und Milad Aslaner, Senior Product Manager für Cyber Security bei Microsoft Deutschland/hei

Anzeige