GDPR-Anforderungen

Zusammenfassung und Geschichte der GDPR

Die GDPR wurde entwickelt, um die veraltete EU-Datenschutzrichtlinie von 1995 zu ersetzen. Angesichts der explosionsartigen Zunahme digitaler Dienste, sozialer Medien und grenzüberschreitender Datenströme bot die alte Richtlinie keinen ausreichenden Schutz mehr.

Wichtige Meilensteine

• 1995 - Die EU-Datenschutzrichtlinie wird eingeführt.
• 2012 - Der erste Vorschlag für eine Reform der Datenschutzgrundverordnung wird vorgestellt.
• 2016 - Verabschiedung der GDPR durch das Europäische Parlament.
• 25. Mai 2018 - GDPR offiziell in Kraft gesetzt.

Die Verordnung war ein wichtiger Schritt zur Harmonisierung des Datenschutzes in allen EU-Mitgliedstaaten und zur Stärkung der Rechte des Einzelnen im digitalen Zeitalter.

Die Herausforderung, die Anforderungen der GDPR zu erfüllen

Als die Allgemeine Datenschutzverordnung der Europäischen Union (GDPR) im Mai 2018 in Kraft trat, markierte sie die bedeutendste Änderung des globalen Datenschutzrechts seit Jahrzehnten. Überall mussten Unternehmen plötzlich überprüfen, wie sie mit persönlichen Daten umgehen, sie schützen und verwalten.

Jedes Unternehmen, das personenbezogene Daten von in der EU ansässigen Personen verarbeitet - unabhängig von seinem physischen Standort - muss die DSGVO einhalten. Die Verordnung räumt den in der EU ansässigen Personen neue Rechte in Bezug auf ihre Daten ein: das Recht zu erfahren, wie sie verwendet werden, das Recht, sie löschen zu lassen, und das Recht, die Zustimmung zu erteilen oder zu widerrufen. Unternehmen sind außerdem verpflichtet, auf Anfragen von Betroffenen innerhalb eines Monats zu antworten.

Während sich Unternehmen an diese Realität anpassen, bleibt ein Bereich besonders komplex: die E-Mail-Verwaltung. Da E-Mails nach wie vor das Rückgrat der Unternehmenskommunikation sind - und der Hauptangriffsvektor für Cyberkriminelle - benötigen Unternehmen zuverlässige, skalierbare Lösungen, um die Einhaltung der DSGVO sicherzustellen, ohne die IT-Teams zu überfordern.

Die wichtigsten Grundsätze der GDPR

Die Allgemeine Datenschutzverordnung (GDPR) stützt sich auf sieben Grundprinzipien, die bestimmen, wie personenbezogene Daten erfasst, verwaltet und geschützt werden müssen. Diese Grundsätze dienen als Rahmen für die Einhaltung von Vorschriften und helfen Unternehmen, Vertrauen bei Kunden, Mitarbeitern und Aufsichtsbehörden aufzubauen.

Rechtmäßigkeit, Fairness und Transparenz

Das Herzstück der DSGVO ist die Erwartung, dass Organisationen Daten auf rechtmäßige und faire Weise verarbeiten. Dies verlangt von den Unternehmen, dass sie transparent machen, wie sie persönliche Daten sammeln, verwenden und weitergeben. Einzelpersonen müssen in einer klaren und einfachen Sprache darüber informiert werden, warum ihre Daten verarbeitet werden und wie sie geschützt werden.

Zweckbindung

Personenbezogene Daten dürfen nur für festgelegte, rechtmäßige Zwecke erhoben werden. Einmal gesammelte Daten dürfen nicht für andere Zwecke als die ursprünglichen verarbeitet werden. Dies verhindert, dass Unternehmen Daten unangemessen oder für nicht offengelegte Zwecke wiederverwenden und stärkt die Achtung der Privatsphäre des Einzelnen.

Minimierung von Daten

Von Organisationen wird erwartet, dass sie nur die Daten sammeln und aufbewahren, die zum Erreichen des angegebenen Zwecks erforderlich sind. Dieser Grundsatz verhindert die Anhäufung unnötiger persönlicher Daten und begrenzt die Gefährdung im Falle eines Verstoßes. Durch die Minimierung der Datenerfassung reduzieren Unternehmen die Risiken für die Einhaltung von Vorschriften und stärken die Datensicherheit.

Genauigkeit

GDPR betont, dass personenbezogene Daten korrekt sein und auf dem neuesten Stand gehalten werden müssen. Die Unternehmen müssen Prozesse einrichten, die Ungenauigkeiten schnell korrigieren und verhindern, dass veraltete Informationen gespeichert werden. Dies schützt den Einzelnen vor dem potenziellen Schaden, der durch falsche oder irreführende Daten entsteht.

Speicherbegrenzung

Daten sollten nicht länger als nötig gespeichert werden. Unternehmen müssen Aufbewahrungszeitpläne einführen, die festlegen, wann Daten gelöscht oder anonymisiert werden. Die Beschränkung der Speicherung verhindert die langfristige Anhäufung personenbezogener Daten, die sowohl Compliance-Risiken als auch unnötige Kosten für die Datenverwaltung verursachen kann.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen sicher verarbeitet werden, um unbefugten Zugriff, Änderungen oder Verlust zu verhindern. Dieser Grundsatz umfasst sowohl technische Sicherheitsvorkehrungen wie Verschlüsselung als auch organisatorische Maßnahmen wie Zugangskontrollen und Überwachung. Der Schutz der Vertraulichkeit und Integrität von Daten ist sowohl für die Einhaltung von Vorschriften als auch für die Aufrechterhaltung des Vertrauens bei den Beteiligten entscheidend.

Rechenschaftspflicht

Schließlich verlangt die DSGVO von Unternehmen, dass sie die Verantwortung für ihre Datenpraktiken übernehmen. Rechenschaftspflicht bedeutet, dass Sie in der Lage sind, die Einhaltung aller Grundsätze durch Dokumentation, Audits und proaktives Risikomanagement nachzuweisen. Es unterstreicht die Idee, dass die Einhaltung von Vorschriften nicht nur eine gesetzliche Anforderung ist, sondern auch eine Verpflichtung zu verantwortungsvollem Umgang mit Daten.

Mimecasts Suite von Email Archive, Kontinuitäts- und Sicherheitslösungen unterstützt diese GDPR-Prinzipien direkt. Durch die manipulationssichere Speicherung, die erweiterte Suche und die automatische Durchsetzung von Richtlinien hilft Mimecast Unternehmen, die Genauigkeit, Integrität, Vertraulichkeit und Verantwortlichkeit von E-Mail-Daten zu wahren - eine der wichtigsten und am stärksten regulierten Formen der Geschäftskommunikation.

Anwendungsbereich, Sanktionen und Schlüsseldefinitionen

Umfang

GDPR gilt für:

• Alle Organisationen, die in der EU tätig sind.
• Nicht-EU-Organisationen, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten.

Dieser extraterritoriale Geltungsbereich bedeutet, dass die GDPR zu einem globalen Maßstab für den Datenschutz geworden ist.

Strafen

Die Verordnung sieht zwei Stufen von Geldbußen vor:

• Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes für geringere Verstöße (z.B. mangelhafte Buchführung).
• Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes bei schweren Verstößen (z.B. Nichteinholung der Zustimmung, falscher Umgang mit sensiblen Daten oder Missachtung der Rechte der Betroffenen).

Wichtige Definitionen

• Personenbezogene Daten - alle Informationen, die sich auf eine identifizierbare Person beziehen (z.B. Name, E-Mail-Adresse, IP-Adresse).
• Datenverantwortlicher - die Stelle, die bestimmt, wie und warum personenbezogene Daten verarbeitet werden.
• Datenverarbeiter - die Einrichtung, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet.
• Betroffene Person - die Person, deren persönliche Daten gesammelt oder verarbeitet werden.

Anforderungen zur Einhaltung der GDPR erklärt

Um die GDPR einzuhalten, müssen Organisationen:

• Holen Sie eine klare Zustimmung ein, bevor Sie Daten sammeln oder verarbeiten.
• Ermöglichen Sie Einzelpersonen auf Anfrage den Zugang zu ihren Daten.
• Erlauben Sie Einzelpersonen, Korrekturen oder die Löschung ihrer Daten zu beantragen.
• Implementieren Sie Maßnahmen zum Schutz persönlicher Daten, einschließlich Verschlüsselung und Zugangskontrolle.
• Melden Sie Datenschutzverletzungen innerhalb von 72 Stunden nach ihrer Entdeckung.
• Führen Sie detaillierte Aufzeichnungen über die Verarbeitungsaktivitäten.
• Führen Sie Datenschutz-Folgenabschätzungen (DPIAs) durch, wenn hohe Risiken identifiziert werden.
• Ernennen Sie bei Bedarf einen Datenschutzbeauftragten (DSB).

Diese Anforderungen erfordern sowohl Änderungen der Richtlinien als auch technische Lösungen - SaaS-Plattformen wie Mimecast sind daher für die Einhaltung der Vorschriften entscheidend.

Checkliste zur Einhaltung der GDPR

Um die GDPR-Verpflichtungen zu erfüllen, müssen Unternehmen mehrere Dimensionen des Datenschutzes berücksichtigen. Anstelle einer einfachen Liste hebt der folgende Rahmen die Bereiche hervor, denen IT-Teams, Compliance-Beauftragte und Unternehmensleiter Priorität einräumen müssen.

Datenermittlung und -zuordnung

Der erste Schritt zur Einhaltung der Vorschriften ist das Verständnis des Umfangs der personenbezogenen Daten, über die das Unternehmen verfügt. Unternehmen müssen feststellen, welche persönlichen Daten gesammelt werden, wo sie gespeichert sind und wie sie systemübergreifend verarbeitet werden. Die Abbildung von Datenflüssen - sowohl intern als auch extern - bildet die Grundlage für das Risikomanagement und den Nachweis der Compliance gegenüber den Aufsichtsbehörden.

Praktiken zur Einwilligung und Aufbewahrung

Die GDPR legt großen Wert auf die Zustimmung. Unternehmen müssen klare Zustimmungsmechanismen implementieren, die leicht zu verstehen und zu widerrufen sind. Neben der Einwilligung müssen auch Aufbewahrungsrichtlinien festgelegt werden, um sicherzustellen, dass personenbezogene Daten nur so lange wie nötig gespeichert werden. Die Festlegung von Fristen für die Löschung entspricht nicht nur der Verordnung, sondern verringert auch das Risiko im Falle eines Verstoßes.

Sicherheit und Zugangskontrollen

Robuste Sicherheitsmaßnahmen sind für die Vorbereitung auf die GDPR unerlässlich. Verschlüsselung, Backup-Strategien und sichere Speicherung schützen persönliche Daten vor unberechtigtem Zugriff oder Verlust. Genauso wichtig ist es, den betroffenen Personen die Möglichkeit zu geben, problemlos auf ihre Informationen zuzugreifen. Organisationen müssen über Systeme verfügen, die es ermöglichen, umgehend auf Anträge auf Zugang zu personenbezogenen Daten zu reagieren und Einzelpersonen auf Anfrage Kopien ihrer persönlichen Daten zur Verfügung zu stellen.

Rechte des Einzelnen und Reaktion auf Vorfälle

Die DSGVO gibt Einzelpersonen das Recht, die Löschung ihrer Daten zu verlangen. Unternehmen müssen zuverlässige Prozesse für die Bearbeitung dieser Anfragen und die Entfernung von Daten in Archiven und Live-Systemen einrichten. Gleichzeitig ist ein Plan für die Reaktion auf Vorfälle von entscheidender Bedeutung. Unternehmen sind verpflichtet, Verstöße innerhalb von 72 Stunden zu erkennen, zu untersuchen und zu melden.

Risikobewertungen und Schulungen

Hochriskante Verarbeitungsaktivitäten erfordern eine zusätzliche Prüfung. Die Durchführung von Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIAs) hilft Unternehmen, potenzielle Risiken zu bewerten und Maßnahmen zu ergreifen, um sie zu mindern, bevor Schaden entsteht. Ergänzend dazu stellen regelmäßige Mitarbeiterschulungen sicher, dass die Mitarbeiter ihre Verantwortung im Rahmen der DSGVO verstehen. Sensibilisierungsprogramme stärken eine Kultur der Compliance und verringern die Wahrscheinlichkeit von versehentlichen Verstößen.

Verwaltung von Anbietern und Dritten

Compliance endet nicht innerhalb der Organisation. Viele Unternehmen verlassen sich auf Drittverarbeiter, und die Datenschutzgrundverordnung verlangt, dass diese Partner dieselben Schutzstandards erfüllen. Programme zur Verwaltung von Anbietern sollten vertragliche Vereinbarungen zur Datenverarbeitung (Data Processing Agreements, DPAs) und regelmäßige Kontrollen zur Überprüfung der Einhaltung dieser Vereinbarungen umfassen. Dadurch wird sichergestellt, dass sich die Verantwortlichkeit über das gesamte Datenökosystem erstreckt.

Indem Sie sich der GDPR-Bereitschaft über diese miteinander verbundenen Bereiche nähern, können Unternehmen eine starke Compliance-Stellung aufbauen. Mit Lösungen wie dem sicheren Email Archive, dem erweiterten Schutz vor Bedrohungen und den automatisierten E-Discovery-Tools von Mimecast erhalten IT-Teams die Unterstützung, die sie benötigen, um diese Praktiken effizient und konsequent umzusetzen.

GDPR Formulare und Vorlagen

Um die Einhaltung der Vorschriften effizient zu verwalten, sollten Unternehmen standardisierte Formulare und Vorlagen in Übereinstimmung mit der GDPR-Verordnung und den Leitlinien der Europäischen Kommission erstellen und diese als Teil einer soliden Datenverwaltung pflegen:

• Einwilligungsformulare - in denen ausdrücklich dargelegt wird, welche Daten gesammelt werden und warum, unter Bezugnahme auf den entsprechenden GDPR-Artikel und die rechtmäßigen Zwecke der Datenverarbeitung.
• DSAR-Formulare (Data Subject Access Request) - ermöglichen es Einzelpersonen, Zugang zu ihren Daten zu beantragen.
• Vorlagen für die Benachrichtigung bei Datenschutzverletzungen - zur Sicherstellung einer rechtzeitigen Kommunikation mit Behörden und betroffenen Personen (eine Kernanforderung der GDPR).
• Datenverarbeitungsverträge (DPAs) - formelle Verträge zwischen dem für die Datenverarbeitung Verantwortlichen und den Auftragsverarbeitern, die die Verantwortlichkeiten für jede Datenverarbeitungstätigkeit festlegen.

Führen Sie eine einfache Checkliste für die Einhaltung der GDPR, um sicherzustellen, dass jedes Formular/jede Vorlage die erforderlichen Felder und Kontakte enthält. Mimecast unterstützt diese Prozesse mit Compliance-fähigen Berichterstattungs- und E-Discovery-Tools, die die Verwaltung von DSARs und die Vorbereitung auf Audits vereinfachen, damit die Teams gdpr-konform bleiben und gleichzeitig die Datensicherheit erhöhen.

Datenschutz und Arbeit aus der Ferne

Fernarbeit hat die Herausforderungen für den Datenschutz erhöht:

• Ungesicherte Netzwerke: Mitarbeiter, die von zu Hause aus arbeiten, verbinden sich möglicherweise über ein unsicheres Wi-Fi.
• Schatten-IT: Die Verwendung von nicht genehmigten Apps kann Compliance-Richtlinien umgehen.
• Gerätemanagement: Persönlichen Geräten fehlt es möglicherweise an Verschlüsselung oder aktuellen Sicherheits-Patches und Datensicherheitskontrollen.

Die Einhaltung der DSGVO erfordert, dass Unternehmen die Sicherheitskontrollen auf Remote-Umgebungen ausweiten. Mimecast hilft durch die Bereitstellung:

• Sicherer, Cloud-basierter E-Mail-Zugriff von jedem Ort aus, unterstützt durch starke Cloud-Sicherheit.
• Fortschrittlicher Schutz vor Phishing-Angriffen, die häufig auf Außendienstmitarbeiter abzielen.
• Zentralisierte Archivierung zur Durchsetzung von Aufbewahrungsrichtlinien, unabhängig davon, wo die Mitarbeiter arbeiten.

Warum proaktive Einhaltung der GDPR wichtig ist

Die GDPR hat die globale Datenschutzlandschaft verändert. Die Betonung von Transparenz, Rechenschaftspflicht und individuellen Rechten verlangt von den Unternehmen, dass sie den Umgang mit persönlichen Daten überdenken - insbesondere bei E-Mails, wo ständig sensible Daten ausgetauscht werden.

Die Einhaltung ist nicht optional. Unternehmen müssen mit finanziellen, betrieblichen und rufschädigenden Konsequenzen rechnen, wenn sie versagen (einschließlich eines erhöhten Risikos von Datenverletzungen). Aber mit der richtigen Strategie und Technologie kann die Einhaltung der DSGVO einfacher erreicht werden, was den Verwaltungsaufwand reduziert und gleichzeitig das Vertrauen der Kunden stärkt.

Mimecast bietet Unternehmen die fortschrittlichen Tools für E-Mail-Sicherheit, Archivierung und Kontinuität, die sie benötigen, um die GDPR-Verpflichtungen effizient zu erfüllen. Von der Abwehr von Cyber-Bedrohungen bis hin zur Vereinfachung von Anfragen von Betroffenen ermöglicht Mimecast IT-Teams, die Einhaltung von Vorschriften zu gewährleisten und sich gleichzeitig auf das Geschäftswachstum zu konzentrieren.

Für Unternehmen, die einen bewährten, vertrauenswürdigen Partner für die Einhaltung der DSGVO suchen, bietet Mimecast vom ersten Tag an Wirkung - und kontinuierlichen Schutz für die Zukunft.