Was Sie über GDPR wissen müssen

GDPR, die Allgemeine Datenschutzverordnung der Europäischen Union, tritt im Mai 2018 vollständig in Kraft. Doch viele Unternehmen sind noch nicht bereit für die Einhaltung - oder denken sogar, dass sie einhalten müssen.

Wir haben die gängigen Mythen und falschen Vorstellungen über dieses Datenschutzgesetz zusammengetragen und die Antworten zusammengestellt, die Sie benötigen, um die Anforderungen besser zu verstehen und Ihre Bemühungen um die Einhaltung der Vorschriften zu unterstützen. die Anforderungen der DSGVO zu erfüllen.

Mein Unternehmen befindet sich in den USA, daher gilt die DSGVO nicht für mich.

Dies ist der größte Irrtum, den es gibt. Die Datenschutz-Grundverordnung gilt nicht auf der Grundlage der geografischen Lage Ihres Unternehmens. Vielmehr richtet sich die Datenverordnung nach dem Standort Ihrer Nutzer oder Kunden. Wenn Sie also E-Mails mit in der EU ansässigen Personen austauschen oder Website-Besucher, Kunden, Nutzer usw. haben, die dort ansässig sind, müssen Sie die Vorschriften einhalten. Lesen Sie den vollständigen Text der GDPR-Verordnung. Und wenn Sie keine angemessenen Maßnahmen ergreifen und etwas schief geht, können Sie mit hohen Geldstrafen belegt werden.

Was sind eigentlich "personenbezogene Daten"?

Die DSGVO definiert "personenbezogene Daten" als "alle Informationen über eine bestimmte oder bestimmbare natürliche Person, die direkt oder indirekt durch Zuordnung zu einer Kennung identifiziert werden kann". Dies schließt persönlich identifizierbare Informationen, persönlich identifizierbare finanzielle Informationen und persönliche Gesundheitsinformationen ein:

• Name
• Identifikationsnummern
• Standortdaten
• Physische, genetische und mentale Informationen
• Kulturelle und soziale Daten

Zuvor erhobene personenbezogene Daten, die vollständig anonymisiert wurden und nicht mehr einer Person zugeordnet werden können, sind ausgeschlossen.

"Kinder verdienen einen besonderen Schutz", schreiben die Verfasser der Verordnung, "da sie sich der Risiken, Folgen und Garantien sowie ihrer Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten weniger bewusst sind." Ein besonderer Schutz gilt für Organisationen, die personenbezogene Daten von Minderjährigen für Marketingzwecke, die Erstellung von Persönlichkeits- oder Nutzerprofilen oder das direkte Anbieten von Dienstleistungen/Produkten an junge Menschen verwenden.

Die DSGVO stärkt die Datensicherheit durch neue Genehmigungen für die Erhebung, den Zugriff und die Verwendung all dieser personenbezogenen Daten. Sie müssen Ihre Richtlinien für die Datenerfassung veröffentlichen, eine einfache Sprache verwenden und eine bestätigende oder ausdrückliche Zustimmung ermöglichen. Artikel 4 Absatz 11 besagt, dass die Einwilligung "durch eine Erklärung oder eine eindeutige bestätigende Handlung" erfolgen muss, und verbietet es, die Einwilligung zur Bedingung für die Teilnahme zu machen. Die Zeiten des automatischen Opt-out sind vorbei.

Ich hatte noch nie eine Datenpanne, ich bin sicher, dass es mir gut gehen wird.

Sie meinen: "Ich hatte noch keine Datenschutzverletzung ", sagt Mimecast-Experte Dan Sloshberg. "Alle Unternehmen sind im Visier von Cyberkriminellen. Wenn Sie über wertvolle Daten verfügen - persönliche Daten, geistiges Eigentum, Kundendaten und andere - sind Sie ein Ziel. Auch kleine Unternehmen mit 250 oder weniger Mitarbeitern sind ein Ziel. Tatsächlich sind 43 % der Cyberangriffe auf kleinere Unternehmen gerichtet, 2011 waren es noch 18 %."

Ebenfalls gefährdet sind gemeinnützige Organisationen, Organisationen des Gesundheitswesens und Bildungseinrichtungen wie K-12-Schulbezirke, Hochschulen und Universitäten. Erfahren Sie mehr über die Vermeidung von Datenverletzungen.

E-Mails sind nach wie vor der wichtigste Angriffsvektor: Über 90 % der Angriffe beginnen in Ihrem Posteingang - und dieser enthält häufig eine große Menge an persönlichen Daten.

"E-Mail wurde nie als inhärent sicher konzipiert und ist daher eine Schwachstelle, die ausgenutzt werden kann", mahnt Sloshberg. "E-Mail-Sicherheit ist der Schlüssel, aber dieser Schutz muss über die Kontrolle von Spam und Viren hinausgehen."

Letztlich hängt es vom Risiko ab, ob Sie in die Einhaltung der DSGVO investieren oder nicht. "Einige Unternehmen sind vielleicht bereit, ein größeres Risiko einzugehen als andere", sagt Sloshberg. "Das wichtigste Kriterium ist die Ermittlung der potenziellen Auswirkungen, wenn das Schlimmste eintritt - Sie erleiden einen Verstoß und personenbezogene Daten werden gestohlen. Wie hoch wären die Kosten für die Bereinigung im Vergleich zu den Kosten, die von vornherein vermeiden wollte? Können Sie den Imageschaden beziffern, der entstehen wird? Welche Auswirkungen wird das auf den Geschäftsbetrieb und die Finanzen haben?" Das Verständnis Ihrer Cyber-Resilienz Fähigkeit ist entscheidend.

Was muss ich wirklich festhalten?

Da sich die Datenschutz-Grundverordnung auf den Schutz personenbezogener Daten und nicht nur auf den Datenschutz konzentriert, erfordert die Einhaltung der Vorschriften mehr konzertierte Anstrengungen.

Sie müssen in der Lage sein:

• Nachweis der Einhaltung der DSGVO in allen organisatorischen und technologischen Abläufen, einschließlich spezifischer Anforderungen für Datenverarbeiter und für die Datenverarbeitung Verantwortliche (siehe Artikel 24 und 28).
• Legen Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten fest, die sich auf die sechs in Artikel 6 genannten Kategorien stützt. Sie müssen in der Lage sein, die Verarbeitung zu verteidigen und jeder Aufforderung zur Beendigung der Verarbeitung nachzukommen, wenn die Einwilligung zurückgezogen wird oder festgestellt wurde, dass sie nie erteilt wurde.
• Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten. Artikel 30 schreibt vor, dass Auftragsverarbeiter und für die Verarbeitung Verantwortliche in der Lage sein müssen, zu dokumentieren, wie die einzelnen Daten verarbeitet wurden, einschließlich der Frage, wie und warum sie verarbeitet wurden, wer die Daten nach der Verarbeitung sieht und mehr.
• Bekanntgabe von Verstößen innerhalb von 72 Stunden nach ihrer Entdeckung, außer in einer Handvoll von Ausnahmesituationen, die in Artikel 33 des Datenschutzgesetzes aufgeführt sind. Die Anforderungen für die Benachrichtigung betroffener Personen sind in Artikel 34 aufgeführt.
• Ernennung eines Datenschutzbeauftragten. Organisationen, die regelmäßig und systematisch personenbezogene Daten und/oder sensible personenbezogene Daten verarbeiten, müssen einen Datenschutzbeauftragten benennen. Siehe Artikel 37-39 für weitere Einzelheiten.

Wie fange ich überhaupt an, mich auf die GDPR vorzubereiten?

Die Herausforderung besteht darin, die richtigen Prozesse und Technologien für den Schutz und die Verwaltung personenbezogener Daten einzuführen, wenn Budget und IT-Fähigkeiten und -Ressourcen im Allgemeinen knapper sind als je zuvor. Erfahren Sie mehr über die Erstellung eines Aktionsplans, indem Sie das GDPR Readiness Kit herunterladen.

Da E-Mails ein leichtes Ziel sind, ist E-Mail-Sicherheit ein guter Ausgangspunkt. Ihr Plan muss einen erweiterten Schutz gegen E-Mail-Sicherheitsbedrohungen wie Ransomware und Imitationsangriffe beinhalten, die bösartige Links verwenden, um Anmeldeinformationen zu stehlen, waffenfähige Anhänge, um Malware hinter der Firewall zu platzieren oder Social Engineering einzusetzen, um Ziele zur Preisgabe vertraulicher Daten zu verleiten. Sloshberg empfiehlt den Einsatz eines Cloud-E-Mail-Dienstes, der automatisch auf der Grundlage neuer Bedrohungen aktualisiert wird.

Sie müssen auch Ihre E-Mail-Archive durchsehen, da die Datenschutz-Grundverordnung Anforderungen an das schnelle Auffinden personenbezogener Daten stellt. "Einmal gefundene Daten müssen einfach zu exportieren und auf Wunsch sogar zu löschen sein", erklärt er. "Die Cloud-Archivierung bietet den Umfang und die Geschwindigkeit, die erforderlich sind, um diese Anforderungen zu erfüllen. Eine native Cloud-Lösung, die auf Schnelligkeit, Genauigkeit und einfachen Zugriff ausgelegt ist, ist der Schlüssel."