DSGVO: Mit Microsoft-Lösungen die neuen Datenschutzregeln erfüllen

Ab 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) – verbindlich für alle Unternehmen, die in der Europäischen Union (EU) tätig sind. Der US-amerikanische Software-Hersteller Microsoft hat sich dazu bekannt, seinen Nutzern in Europa bei der Einhaltung zu helfen. Dazu zählt, dass er seine Programme und vor allem die cloud-basierten Anwendungen DSGVO-konform gestaltet. Damit die Programme tatsächlich den erweiterten Datenschutz unterstützen, müssen die Nutzer aber Anpassungen vornehmen. Dienstleister wie die QSC AG können das für sie übernehmen.

DSGVO: Die neuen europäischen Datenschutzregeln gelten ab 25. Mai 2018. Foto: © istock / Stadtratte.

DSGVO: Die neuen europäischen Datenschutzregeln gelten ab 25. Mai 2018. Foto: © istock / Stadtratte.

 

Personenbezogene Informationen im Fokus

Für unsere Kunden und somit natürlich auch für uns sind die Veränderungen in der Datenschutz-Grundverordnung (DSGVO) von großer Bedeutung. Diese Verordnung war nach einer vierjährigen Verhandlungsphase am 24. Mai 2016 auf EU-Ebene verabschiedet worden. Sie enthält neue Regeln für alle Unternehmen, die in der EU Waren und Dienstleistungen anbieten und dabei Daten zu EU-Bürgern erfassen und analysieren – unabhängig davon, ob die Firmen selbst in der EU ansässig sind oder nicht.

Der zweijährige Übergangszeitraum, der es Unternehmen ermöglichen sollte, sich auf die anstehenden technischen und organisatorischen Veränderungen vorzubereiten, endet am 24. Mai 2018. Danach können die Datenschutzaufsichtsbehörden – die bei den Bundesländern angesiedelt sind – die Einhaltung der DSGVO einfordern und bei Verstößen Strafen auferlegen. Und die können erheblich sein: Galt laut Bundesdatenschutzgesetz bisher eine Haftungshöchstgrenze von 300.000 Euro, wurde diese mit der DSGVO auf 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes heraufgesetzt.

Bei Verstößen zum Beispiel durch einen Hacker-Angriff muss das betroffene Unternehmen dies übrigens von sich aus innerhalb von 72 Stunden der Datenschutzaufsichtsbehörde melden.

 

Neue Prinzipien für den Datenschutz

Das Hauptziel der DSGVO ist es, die Rechte von EU-Bürgern im Hinblick auf personenbezogenen Daten zu stärken. Das heißt: Sämtliche Unternehmen, die mit Daten von EU-Bürgern arbeiten, sind dazu verpflichtet, den betroffenen Personen erweiterte Rechte für die Löschung, Anpassung, Übertragung sowie ein Auskunfts- und Informationsrecht über den Inhalt und die Nutzung dieser Daten zu gewähren. Außerdem damit verbunden ist die Verpflichtung, personenbezogene Daten besser als bisher zu schützen.

Die DSGVO erweitert die Rechte der EU-Bürger: Die Unternehmen, die personenbezogene Daten von Kunden oder Mitarbeitern nutzen, müssen daher bestimmte Prinzipien einhalten. Grafik: QSC AG.

Die DSGVO erweitert die Rechte der EU-Bürger: Die Unternehmen, die personenbezogene Daten von Kunden oder Mitarbeitern nutzen, müssen daher bestimmte Prinzipien einhalten. Grafik: QSC AG.

Doch was bedeutet „DSGVO-konform“ ganz konkret? Wie vielfältig die Anforderungen sind, zeigt die Stichwort-Wolke: Beispielsweise ist eine Datenspeicherung jetzt nur noch rechtmäßig, wenn der Bürger sich damit ausdrücklich und schriftlich einverstanden erklärt hat („Einverständniserklärung“).

Weitere Beispiele: Unternehmen dürfen jetzt nur noch so viele Daten von Kunden verlangen, wie dies für einen bestimmten Zweck wirklich erforderlich ist („Verhältnismäßigkeitsprinzip“). Und die gespeicherten Daten dürfen nur zu dem Zweck verwendet werden, für den sie auch erhoben wurden („Zweckbindungsprinzip“).

 

Microsoft-Software an die DSGVO anpassen

„Um Ihnen den Weg zur Compliance zu vereinfachen, verpflichtet sich Microsoft zur DSGVO-Compliance aller seiner Cloud-Dienste, sobald die Verordnung am 25. Mai 2018 wirksam wird“, ist eine der Aussagen, mit denen sich die Software-Schmiede zur Unterstützung ihrer Kunden bekennt. In diesem Zitat geht es darum, was mit personenbezogenen Daten passiert, die über eine von einem Unternehmen eingesetzte Microsoft-Office-365-Lösung in der Microsoft-Cloud gespeichert werden. Microsoft sichert damit zu, dass solche Daten nicht an Dritte weitergeben werden.

Daneben unterstützt Microsoft seine Nutzer sehr umfangreich dabei, die Anforderungen der DSGVO zu erfüllen. Zum Beispiel lassen sich zahlreiche Programme des Office-365-Portfolios dafür nutzen, weil sie dazu geeignete technische Funktionalitäten enthalten. Die Anpassung an die Gegebenheiten ihres Unternehmens müssen die Nutzer allerdings selbst vornehmen – oder von einem Dienstleister wie QSC erledigen lassen.

Ein Beispiel dazu: Um personenbezogene Daten DSVGO-konform zu schützen, kann für den Zugang zu bestimmten Datenbanken eine Multi-Faktor-Authentifizierung eingesetzt werden. Dabei verlangt man neben Benutzernamen und Passwort zum Beispiel die Eingabe eines Codes, der vorab per SMS oder telefonisch abgerufen werden muss. Microsoft stellt dafür das Tool Multifaktor (MFA) zur Verfügung. Ob ein Unternehmen aber diese Funktion aktiviert, bleibt ihm selbst überlassen. Denn es gibt auch andere Verfahren, mit denen man sich schützen kann. Es ist also zu entscheiden, ob diese oder eine andere technische Möglichkeit genutzt werden soll: wenn ja, muss sie entsprechend implementiert und konfiguriert werden.

 

Wie Sie die neuen Datenschutzregeln strukturiert umsetzen

Bei der Entscheidung, welche Microsoft-Software zur Erfüllung der DSGVO eingesetzt werden sollte, empfiehlt sich ein strukturiertes Vorgehen. Nützlich ist dabei ein vierstufiges Modell, mit dem sich die wesentlichen Punkte nacheinander abarbeiten lassen:

  1. Ermitteln: Finden Sie heraus, welche personenbezogenen Daten Sie haben und wo sie sich befinden! Von Namen über Standortinformationen bis hin zu Cookies – all das kann dazu dienen, Personen zu identifizieren. Gespeichert werden Informationen nicht nur in E-Mails und Datenbanken, sondern auch in Metadaten, Protokolldateien oder Sicherungen der Software.
  2. Verwalten: Legen Sie fest, wie personenbezogene Daten genutzt werden und wie der Zugriff auf diese erfolgt! Wichtig ist dabei zum einen die korrekte Klassifizierung der Daten, etwa nach Kontext der Nutzung oder Sensitivität. Zum anderen sind Richtlinien, Rollen und Zuständigkeiten für die Verwaltung und Nutzung personenbezogener Daten zu definieren. Je nach Situation werden andere Mitarbeiter verantwortlich sein, je nachdem, ob Daten verarbeitet, archiviert oder entsorgt werden sollen.
  3. Schützen: Richten Sie Sicherheitskontrollen ein, um Schwachstellen und Datenschutzverletzungen zu verhindern, zu erkennen und darauf zu reagieren! Um Angriffe zu verhindern, muss zum Beispiel das Rechenzentrum physisch geschützt sein. Auch sollten Netzwerke, Speicher und Computer gegen Hackerangriffe ausgestattet und der Datenverkehr verschlüsselt sein. Die Systeme sind fortlaufend zu überwachen, damit Einbrüche schnell erkannt und behoben werden können. Datenschutzverletzungen sind an die zuständigen Aufsichtsbehörden der Länder zu melden.
  4. Berichten: Bewahren Sie benötigte Dokumentationen auf und verwalten Sie Datenanfragen und Benachrichtigungen zu Datenschutzverletzungen! Unternehmen sind laut DSGVO verpflichtet, zum Beispiel genau zu dokumentieren, wie personenbezogene Daten klassifiziert und verarbeitet werden, ob Dritte darauf zugreifen können und welche Sicherheitsmaßnahmen ergriffen wurden. Um die Erfüllung der DSGVO nachweisen zu können, sind Dokumentationen, Protokolle, Berichte anzulegen und zu speichern.

Das Modell ist in erster Linie bei der Analyse der vorhandenen personenbezogenen Daten im Unternehmen nützlich. Darüber hinaus hilft es bei der Identifizierung von Prozessen, Schwachstellen, technischen Gegebenheiten sowie Verwaltungsmöglichkeiten, die den datenschutzgerechten Umgang mit personenbezogenen Daten unterstützen.

 

DSGVO-Angebot der QSC AG für Unternehmen, die Microsoft Office 365 einsetzen. Grafik: QSC AG.

Leistungsportfolio der QSC AG zur Umsetzung der DSGVO.

QSC hilft Ihnen bei der DSGVO

Die QSC AG unterstützt seit vielen Jahren Unternehmen beim Einsatz von Microsoft-Lösungen in allen Phasen des ITK-Lifecycles. Dies reicht von der Anforderungsanalyse über die Beratung, Konzeption, Implementierung, den Betrieb der Anwendungen bis hin zur laufenden Optimierung.

Im Team „Business Productivity Development & Operation“ liegt unser Fokus aktuell sehr stark auf Microsoft SharePoint, Enterprise Vault (Archivierungslösung) und besonders auf Cloud-Technologien, etwa Microsoft Office 365.

Bei der Umsetzung der DSGVO helfen wir unseren Kunden mit einem mehrstufigen Leistungsportfolio (siehe Abbildung) mit Beratung, bei der Planung und bei der Implementierung von DSGVO-konformen Microsoft-Lösungen. Dazu dienen Workshops, ein Readiness Check, die Implementierung und am Ende ein Postimplemetation Check. Darin enthalten ist auch das Angebot einer langfristigen Begleitung – zumal die DSVGO so angelegt ist, dass immer wieder Anpassungen erforderlich sein werden, etwa wenn eine neue Version einer Office-365-Lösung eingesetzt werden soll.

 

Weitere Informationen:

 

 

DSGVO: Mit Microsoft-Lösungen die neuen Datenschutzregeln erfüllen
4.2 (84%) 5 Bewertung[en]
Drucken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse. Bitte beachten Sie zudem unsere Social Media Guidelines.