Bisher ausgestellte GDPR-Bußgelder: Wichtige Erkenntnisse

Die DSGVO auf einen Blick

Es ist ein Jahr vergangen, seit die General Data Protection Regulation (GDPR) in Kraft getreten ist, nach Jahren der Diskussion über Data Security passend für das digitale Zeitalter. Eine der bisher strengsten Verordnungen, die DSGVO gilt für jedes Unternehmen oder jede öffentliche Einrichtung, die personenbezogene Daten von EU-Bürgern sammelt, verarbeitet oder speichert. Dies schließt nicht nur jeden Arbeitgeber in der EU ein, sondern auch jede Organisation weltweit, die Produkte und Dienstleistungen für EU-Bürger anbietet, sowie Unternehmen, die im Auftrag anderer Organisationen deren personenbezogene Daten verarbeiten. Aufgrund ihrer globalen Reichweite hat die GDPR zu massiven Veränderungen im Schutz personenbezogener Daten geführt, sowohl innerhalb der EU als auch darüber hinaus.

Der European Data Protection Board (EDPB) berichtet, dass im ersten Jahr seit Inkrafttreten der DSGVO über 89.000 data breaches registriert und 446 grenzüberschreitende Fälle von Datenschutzbehörden untersucht wurden. Darüber hinaus stellt die European Commission fest, dass die Zahl der Anfragen und Beschwerden von Einzelpersonen bezüglich der Sicherheit ihrer Daten steigt, was auf ein wachsendes öffentliches Bewusstsein für die durch die DSGVO gewährten Datenschutzrechte hindeutet.

Ein weiterer bedeutender Einfluss der DSGVO besteht darin, dass sie aufdeckt, wie Daten von Internetgiganten, sozialen Medienplattformen und Unternehmen anderer Branchen verarbeitet werden — ein Thema, das weltweit viele Bedenken hervorruft. Zum Beispiel hat in seinem Jahresbericht 2018 die irische Datenschutzkommission (DPC) angegeben, dass sie Untersuchungen zu den Datenverarbeitungsaktivitäten einer Reihe multinationaler Internet- und Technologieunternehmen mit Sitz in Irland eingeleitet hat, einschließlich Facebook, Apple, Twitter, LinkedIn, WhatsApp und Instagram.

Fälle von Nichteinhaltung der DSGVO: Was wir gelernt haben

Ein EDBP report über die ersten neun Monate nach Inkrafttreten der DSGVO zeigt, dass Regulierungsbehörden in 11 europäischen Ländern mehr als 56 Millionen Euro an Strafen verhängt haben. Der Großteil dieses Betrags stammt aus einer einzigen Sanktion – der massiven 50-Millionen-Euro-Strafe , die von der französischen Datenschutzbehörde gegen Google verhängt wurde.

Das ist bisher die größte GDPR-Strafe, aber es ist schwer zu sagen, wie lange Google diesen zweifelhaften Titel behalten wird. Es gibt laufende Untersuchungen zu mehreren schwerwiegenden Datenschutz-Verstößen, deren Strafen noch bekannt gegeben werden müssen. Eine davon ist ein Datenleck bei British Airways, das vom britischen Amt des Informationskommissars (ICO) untersucht wird. Unter der GDPR könnte das Unternehmen mit bis zu 4% seines weltweiten Jahresumsatzes bestraft werden, was einer Strafe von 560 Millionen Euro entsprechen würde – eine Größenordnung größer als die Strafe von Google.

Es gab auch zahlreiche Durchsetzungen bei kleineren Organisationen mit deutlich niedrigeren Geldstrafen. Das deutet darauf hin, dass die Behörden das erste Jahr weitgehend als Übergangszeitraum betrachteten, um Unternehmen zu warnen und sie auf ihrem Weg zur GDPR compliance zu unterstützen, anstatt jede Zuwiderhandlung zu verfolgen und Höchststrafen zu verhängen.

Dennoch wurden bereits einige Organisationen mit erheblichen GDPR-Strafen belegt. Hier sind einige ihrer Geschichten:

Das Versäumnis, angemessene technische und organisatorische Kontrollen zu implementieren

Wer: Centro Hospitalar Barreiro Montijo (ein portugiesisches Krankenhaus)

Wann: Juli 2018

Wie viel: 400.000 €

Verstoß: Das Krankenhaus hatte 689 Benutzer mit „Arzt“-Profilen, die übermäßige Zugriffsrechte gewährten, obwohl es nur 296 Ärzte im Krankenhaus gab. Darüber hinaus hatten alle Ärzte uneingeschränkten Zugang zu allen Patientenakten, unabhängig von der Fachrichtung des Arztes. Das letzte Mal, dass das Krankenhaus ein Benutzerkonto deaktivierte, war im November 2016. Das Krankenhaus hatte auch keine Dokumentation, die die Benutzerzugriffsrechte erklärte, und keine Dokumente, die die Regeln für die Erstellung von Benutzern seines Informationssystems definierten.

Wichtige Erkenntnisse: Artikel 25 der DSGVO verlangt von Organisationen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass sensible Daten ordnungsgemäß verarbeitet und nur für die entsprechenden Personen zugänglich sind. Hier sind die wichtigsten Schritte, die Sie unternehmen sollten:

• Ermitteln Sie, welche sensiblen Daten Sie besitzen und wer darauf Zugriff hat. Der Einsatz einer automatisierten data classification-Lösung wird Ihnen helfen, die wichtigsten Vermögenswerte von weniger sensiblen Daten zu trennen.
• Finden Sie nach GDPR regulierte Daten, die zu stark freigelegt sind. Minimieren Sie Konto-Berechtigungen basierend auf den Anforderungen der Aufgaben oder des Jobs. Führen Sie periodische Zugriffsüberprüfungen durch, um sicherzustellen, dass das Prinzip der geringsten Berechtigung eingehalten wird.
• Stellen Sie sicher, dass alle regulierten Daten gemäß ihrem Wert und ihrer Sensibilität an einem sicheren Ort gespeichert werden.
• Halten Sie Ihre Sicherheitskontrollen auf dem neuesten Stand und seien Sie bereit, Nachweise zu erbringen, dass Ihr Unternehmen personenbezogene Daten sicher verarbeitet.

Versäumnis, eine Datenpanne zu melden

Wer: UAB MisterTango (litauischer Zahlungsdienstleister)

Wann: Mai 2019

Wie viel: 61.500 €

Verstoß: Eine der neuesten Geschichten handelt von einem Unternehmen, das es versäumt hat, einen Verstoß beim Schutz persönlicher Daten zu melden, der vom 9. bis 10. Juli 2018 stattfand. Während dieses Zeitraums von zwei Tagen waren Zahlungsdaten aufgrund unzureichender technischer und organisatorischer Maßnahmen im Internet öffentlich zugänglich. Die Daten betrafen 12 Banken aus verschiedenen Ländern und 9.000 Zahlungstransaktionen. Das Unternehmen verstieß auch gegen die GDPR, als es auf mehr persönliche Daten zugriff und diese sammelte, als für die Ausführung von Zahlungen notwendig war. Das Unternehmen speicherte auch GDPR-regulierte Daten viel länger als notwendig — 216 Tage anstatt 10 Minuten.

Wichtige Erkenntnisse: Die Strafe in diesem Fall zeigt, dass GDPR-Regulierungsbehörden das Versäumnis, sie über eine Datenpanne zu informieren, sehr ernst nehmen, insbesondere wenn es um finanzielle Informationen geht. Organisationen müssen alle notwendigen Kontrollen implementiert haben, um personenbezogene Datenpannen zu erkennen, zu melden und zu untersuchen. Konsultieren Sie Ihren Rechtsberater bezüglich der Artikel 33 und 34, wenn Sie sich über die korrekten Schritte zur Benachrichtigung über eine Datenpanne und deren Anwendung unsicher sind.

Um sicherzustellen, dass Sie nur die minimalen Informationen sammeln und aufbewahren, die Sie für Ihre Geschäftsprozesse benötigen, sollten Sie eine Aufbewahrungsrichtlinie entwickeln, die klar angibt, wie lange jede Art von Daten aufbewahrt werden soll und was damit zu tun ist (wie löschen oder archivieren), sobald Sie sie nicht mehr benötigen oder rechtlich nicht mehr aufbewahren dürfen.

Versäumnis, Personen darüber zu informieren, dass ihre Daten verarbeitet werden

Wer: Unbekannter Datenverantwortlicher in Polen

Wann: März 2019

Wie viel: 200.000 €

Verstoß: Unter der DSGVO haben Einzelpersonen das Recht, über die Sammlung und Verwendung ihrer persönlichen Daten informiert zu werden. Die Organisation hat in diesem Fall die 90.000 Personen in ihrer Kundenbasis, deren E-Mail-Adressen sie hatte, ordnungsgemäß informiert — aber sie hat die anderen 6 Millionen Personen, für die sie keine E-Mail-Adressen hatten, nicht direkt kontaktiert und hohe Betriebskosten als Grund angegeben. Stattdessen entschied sich die Organisation dazu, die Informationen über die Datensammlung und -verwendung auf ihrer Website zu präsentieren.

Wichtige Erkenntnisse: Die Regulierungsbehörden fanden diesen Ansatz unzureichend und merkten an, dass das Unternehmen über andere Kontaktinformationen wie Telefonnummern und physische Adressen verfügte, die es hätte nutzen können, um Kunden direkt zu kontaktieren. Die Regulierungsbehörden stuften den Verstoß auch als vorsätzlich ein, da das Unternehmen sich der Verpflichtung bewusst war, die Personen direkt zu informieren, und es gab keinen Versuch oder sogar eine erklärte Absicht, den Verstoß zu beenden.

Diese jüngste Entscheidung deutet darauf hin, dass die Nachsicht bei der Durchsetzung der DSGVO vorbei ist. Das Unternehmen hat wesentliche Anforderungen des Gesetzes bezüglich der ordnungsgemäßen Verarbeitung personenbezogener Daten verletzt und wurde mit einer hohen Geldstrafe belegt.

Der Einfluss der DSGVO auf regulatorische Systeme außerhalb der EU

Seit das GDPR in Kraft getreten ist, haben wir ähnliche Gesetze weltweit entstehen sehen. Laut der United Nations Conference on Trade and Development (UNCTAD), haben nun über 100 Länder Datenschutzgesetze eingeführt. Die neue Regelung Brasiliens hat sogar einen ähnlichen Namen: General Data Protection Law (GDPL). In den nächsten Jahren erwarten wir eine verstärkte Durchsetzung bezüglich internationaler Datenaustausche.

Die EU arbeitet daran, die ePrivacy-Verordnung einzuführen, die die ePrivacy-Richtlinie 2002/58/EG (die „Cookie-Richtlinie“) ersetzen und die DSGVO durch die Regulierung der Privatsphäre im Bereich der elektronischen Kommunikationsdienste ergänzen wird, einschließlich der Verwendung von Metadaten und Cookies.

Data privacy auch in den USA behandelt. Zum Beispiel trat der California Consumer Privacy Act (CCPA), der viele Gemeinsamkeiten mit der DSGVO hat, am 1. Januar 2020 in Kraft. Massachusetts aktualisiert sein Gesetz zu Datenschutzverletzungen, um neue Anforderungen für Unternehmen einzuführen, die personenbezogene Daten von Einwohnern des Bundesstaates erfassen, und Oregon arbeitet an Änderungen zur Stärkung der Cybersicherheitsgesetze für Organisationen, die von einer Datenschutzverletzung betroffen sind.

Was Experten über die Auswirkungen der GDPR sagen

Wir haben mehrere Experten gefragt, wie sich die DSGVO auf Unternehmen ausgewirkt hat, und hier sind ihre Antworten:

Douglas Crawford, Experte für digitalen Datenschutz, ProPrivacy.com

Ohne Zweifel ist der größte Gewinn, dass die DSGVO Unternehmen dazu gezwungen hat, sorgfältig über die Zustimmung der Nutzer und das Recht auf Privatsphäre nachzudenken. In Wirklichkeit wird es einige Jahre dauern, bis der volle Nutzen für die Verbraucher offensichtlich wird, aber das Endergebnis sollte Internetnutzern überall zugutekommen. Da ein zweistufiger (oder mehrstufiger) Ansatz zum Datenschutz der Nutzer äußerst unpraktisch ist, wurden Unternehmen gezwungen, die Datenschutzvorteile der DSGVO auf all ihre Kunden auszuweiten, unabhängig davon, ob sie in der EU leben oder nicht.

Obwohl das erste Jahr als „Übergangsjahr“ bezeichnet wurde, hat die DSGVO bisher bemerkenswerte Erfolge bei der Meldung von Datenschutzverletzungen erzielt. Innerhalb der EU haben sich solche Berichte in den ersten acht Monaten seit Einführung der DSGVO fast verdoppelt. Dies wird wahrscheinlich Druck auf die US-Regierung ausüben, ähnliche Gesetze auf Bundesebene einzuführen, anstatt sich auf einen ineffizienten Wirrwarr von Gesetzen auf Staatsebene zu verlassen, der zu niedrigen Selbstmeldungen von Datenschutzverletzungen führt.

Es ist wahrscheinlich, dass europäische Regulierungsbehörden in den kommenden Jahren einen strengeren Ansatz bei der Durchsetzung der DSGVO verfolgen werden. Es ist sinnvoll, zunächst mit der Aufräumung im eigenen Bereich zu beginnen, aber sobald dies erledigt ist, werden die Regulierungsbehörden ihre Aufmerksamkeit fast sicher verstärkt auf internationale Unternehmen richten, die in Europa Geschäfte machen.

Monica Eaton-Cardone, Mitbegründerin und COO, Chargebacks911

Als globaler Unternehmer habe ich festgestellt, dass viele Unternehmen Anwälte engagiert haben, um sie bei ihren Daten zu unterstützen. Als die DSGVO in Kraft trat, wurden die Menschen sich der Wichtigkeit des Schutzes ihrer Daten stärker bewusst.

Obwohl die DSGVO einigen Unternehmen geholfen hat zu wachsen, gab es tausende von Beschwerden bezüglich des Mangels an angemessener Transparenz, was keine Überraschung war. Schließlich hatten zum Zeitpunkt des Inkrafttretens der DSGVO nur wenige Händler die Infrastruktur, um Daten so detailliert zu analysieren, wie es die DSGVO verlangt, und auch jetzt tun dies nur wenige.

Die Kommunikation zwischen den betroffenen Personen könnte sich im Laufe der Zeit ändern, um unsere Privatsphäre in den kommenden Jahren zu schützen. Es bleibt jedoch abzuwarten, wie sich dies langfristig auf Betrug auswirken wird, da wir möglicherweise zunehmend eingeschränkten Zugang zu Verbraucherdaten haben werden.

Simon Fogg, Datenschutzexperte und Rechtsanalyst, Termly.io

US-Unternehmen sind nun deutlich vorsichtiger, wenn sie Kunden in der EU ansprechen. Obwohl die GDPR bereits vor über einem Jahr in Kraft getreten ist, sind über 1.000 große US-Publikationen für EU-Nutzer immer noch nicht verfügbar – entweder weil diese Publikationen ihre Compliance-Bemühungen nie abgeschlossen haben oder weil sie der Meinung waren, dass ihre europäische Kundenbasis nicht groß genug war, um die notwendigen (und kostspieligen) Änderungen zu rechtfertigen. US-Unternehmen pflegten, ein weites Netz in ihren Datensammlungspraktiken auszuwerfen, aber die GDPR hat viele dazu gezwungen, mit erhöhter Wachsamkeit Datenbegrenzungen zu navigieren.

Wir sollten damit rechnen, dass die Anzahl der Bußgelder für die Nichteinhaltung der DSGVO in die Höhe schnellen wird. Obwohl bisher nur wenige bemerkenswerte Strafen verhängt wurden, haben die Regulierungsbehörden immer noch mit einem großen Rückstau an Datenschutzverletzungen zu kämpfen. Sobald sie aufholen, werden sie ihre Autorität mit größerer Kraft ausüben, und es ist wahrscheinlich, dass Unternehmen in den USA zu denen gehören werden, die getroffen sind.

Sweeney Williams, Vizepräsident für Sicherheit, Datenschutz & Compliance, Vision Critical

Vor der DSGVO konnten US-Unternehmen ohne physische Präsenz in Europa mit wenig oder keiner Beachtung der EU-Datenschutzanforderungen operieren, da die Reichweite der Durchsetzung begrenzt war und potenzielle Strafen niedrig waren. Die DSGVO hat US-Unternehmen nicht nur dazu gezwungen, die EU-Anforderungen zur Kenntnis zu nehmen, sondern diese auch aktiv in ihren eigenen Betrieben umzusetzen und durchzusetzen, oft mit großen Kosten. Tausende von Unternehmen haben Datenschutzbeauftragte eingestellt, komplexe Datenflussdiagramme erstellt, Prozesse für den Zugang von betroffenen Personen über Dutzende von unverbundenen Anwendungen implementiert und bedeutende Verbesserungen in ihren Datenschutz- und Sicherheitsoperationen vorgenommen. Andererseits haben sich einige in den USA ansässige Unternehmen dazu entschieden, Betriebe, die entweder in der EU angesiedelt waren oder Produkte und Dienstleistungen für die EU bereitstellten, einzustellen, in dem Glauben, dass der Verlust von Einnahmen geringer wäre als die Kosten für die Einhaltung und potenzielle Strafen. Einige sind sogar so weit gegangen, europäische IPs davon abzuhalten, sich mit ihren Websites zu verbinden.

Der mit Abstand bedeutendste und vorteilhafteste Einfluss der DSGVO, sowohl innerhalb als auch außerhalb der USA, war ihre Wirkung auf die Öffentlichkeit, aufgrund der starken data subject access and transparency rights, die sie beinhaltet. Obwohl die zugrundeliegenden Konzepte der DSGVO nicht neu sind, ist das Bewusstsein für Datenschutzrechte als Ergebnis der beispiellosen Medienpräsenz, die die Verordnung seit ihrer Einführung erzeugt hat, sprunghaft angestiegen. Personen erwarten nun das gleiche Maß an Transparenz, Datenzugriff und Kontrollrechten, wie sie in der DSGVO enthalten sind, und Regulierungsbehörden weltweit stehen unter erheblichem Druck ihrer Wähler, DSGVO-ähnliche Datenschutzgesetze in ihren eigenen Ländern zu erlassen. In den USA speziell ist die Rate neu vorgeschlagener Datenschutzregelungen auf einem Allzeithoch und wird wahrscheinlich in der Schaffung des ersten U.S. federal privacy law gipfeln, was einige noch vor wenigen Jahren für unmöglich hielten.

Aki Estrella, Datenschutzberater, Stellae Legal and Risk Advisors

Hauptsächlich hat die DSGVO verändert, wie Unternehmen mit Informationen umgehen und wie sie deren Nutzung planen. Das Segregieren von Informationen, das Versenden von Benachrichtigungen und das Schulen von Mitarbeitern/Abteilungen, um auf Anfragen von EU-Bürgern zu reagieren, waren die gewöhnlichsten Auswirkungen; jedoch haben, wie wir gesehen haben, einige Unternehmen die Dinge nicht ganz richtig gemacht und sehen sich mit den enormen Bußgeldern konfrontiert, die mit der DSGVO einhergehen. Ich sehe keine Zurücknahme der Nutzung von Daten durch Unternehmen oder des Verkaufs an die EU (oder das Vereinigte Königreich, das seine eigene, nahezu identische Datenschutzverordnung verabschiedet hat).

FAQ

Was ist GDPR in der Cybersicherheit?

Die DSGVO (Datenschutz-Grundverordnung) im Bereich der Cybersicherheit stellt einen umfassenden Rahmen dar, der spezifische technische und organisatorische Maßnahmen vorschreibt, um personenbezogene Daten vor Cyberbedrohungen und unbefugtem Zugriff zu schützen. Aus der Perspektive der Cybersicherheit erfordert die DSGVO, dass Organisationen Datenschutz durch Design und durch Voreinstellung implementieren, was bedeutet, dass Sicherheitskontrollen von Grund auf in Systeme eingebaut werden müssen, anstatt sie nachträglich hinzuzufügen. Zu den wesentlichen Anforderungen der Cybersicherheit gehören die Verschlüsselung personenbezogener Daten bei der Übertragung und im Ruhezustand, robuste Zugriffskontrollen, die den Datenzugriff nur autorisiertem Personal erlauben, regelmäßige Sicherheitsbewertungen und Penetrationstests sowie Vorfallsreaktionsverfahren, die eine Benachrichtigung über einen Bruch innerhalb von 72 Stunden ermöglichen. Die DSGVO schreibt auch Pseudonymisierungstechniken, sichere Daten-Backup- und Wiederherstellungsverfahren sowie umfassende Prüfpfade vor, die nachverfolgen, wer wann auf welche Daten zugegriffen hat. Für das Identitäts- und Zugriffsmanagement verlangt die DSGVO, dass Organisationen starke Authentifizierungsmechanismen, regelmäßige Zugriffsüberprüfungen und automatisierte Bereitstellungs- und Entzugsverfahren implementieren, um unbefugten Datenzugriff zu verhindern. Das Prinzip des „Privacy by Design“ der Verordnung bedeutet, dass Cybersicherheit nicht nur eine Frage der Einhaltung von Vorschriften ist – es geht darum, widerstandsfähige Systeme zu bauen, die den Schutz personenbezogener Daten als grundlegende Designanforderung betrachten.

Wer fällt unter die DSGVO?

Die DSGVO gilt für jede Organisation, die personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig davon, wo sich die Organisation physisch befindet – das bedeutet, dass US-amerikanische Unternehmen, asiatische Geschäfte und Organisationen weltweit alle unter die DSGVO fallen können. Die Verordnung umfasst zwei Arten von Entitäten: Datenverantwortliche (die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen) und Datenverarbeiter (die Daten im Auftrag der Verantwortlichen verarbeiten). Ihre Organisation unterliegt der DSGVO, wenn Sie Waren oder Dienstleistungen an EU-Bürger anbieten, das Verhalten von EU-Bürgern online überwachen oder Daten von EU-Mitarbeitern in multinationalen Unternehmen verarbeiten. Selbst wenn Ihr Unternehmen keine physische Präsenz in der EU hat, können Aktivitäten wie das Schalten gezielter Werbung an EU-Nutzer, die Bearbeitung von Bestellungen von EU-Kunden oder das Verfolgen von EU-Website-Besuchern durch Cookies DSGVO-Pflichten auslösen. Der entscheidende Faktor ist die Verarbeitung personenbezogener Daten – jegliche Informationen, die einen EU-Bürger identifizieren können, einschließlich Namen, E-Mail-Adressen, IP-Adressen, Standortdaten oder Online-Kennungen. Kleine Unternehmen sind nicht ausgenommen, wenn sie diese Kriterien erfüllen, obwohl einige Verarbeitungsaktivitäten Ausnahmen qualifizieren können. Für Fachleute im Bereich Identity Management bedeutet dies, dass jedes System, das personenbezogene Daten von EU-Bürgern speichert, unabhängig vom geografischen Standort Ihrer Organisation DSGVO-konforme Zugriffskontrollen, Audit-Trails und Rechte der betroffenen Personen erfordert.

Was ist die Einhaltung der DSGVO?

Die Einhaltung der DSGVO bedeutet die Umsetzung umfassender Datenschutzmaßnahmen, die alle Anforderungen der Allgemeinen Datenschutzverordnung erfüllen, weit über einfache Datenschutzrichtlinien hinausgehen und technische Sicherheitsmaßnahmen, organisatorische Verfahren und den Schutz individueller Rechte umfassen. Wahre Compliance erfordert einen mehrschichtigen Ansatz, einschließlich der Feststellung einer rechtmäßigen Grundlage für alle Datenverarbeitungsaktivitäten, Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen, die Ernennung von Datenschutzbeauftragten, wo erforderlich, und die Umsetzung von Betroffenenrechten, einschließlich Zugang, Berichtigung, Löschung und Übertragbarkeit. Technische Compliance-Maßnahmen umfassen Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, Protokollierung von Prüfungen und Datenminimierungspraktiken, die sicherstellen, dass Sie nur die persönlichen Daten erfassen und aufbewahren, die für festgelegte Zwecke notwendig sind. Organisatorische Compliance beinhaltet Mitarbeiterschulungen, Richtlinienentwicklung, Lieferantenmanagement und Verfahren zur Reaktion auf Datenschutzverletzungen, die den Anforderungen der 72-Stunden-Benachrichtigungspflicht gerecht werden können. Aus der Perspektive des Identity Management bedeutet die Einhaltung der DSGVO die Implementierung von rollenbasierten Zugriffskontrollen, regelmäßigen Zugriffsüberprüfungen, automatisiertem Benutzerlebenszyklusmanagement und umfassenden Prüfpfaden, die während regulatorischer Untersuchungen die Compliance nachweisen können. Compliance ist keine einmalige Leistung, sondern ein fortlaufender Prozess, der regelmäßige Bewertungen, Richtlinienaktualisierungen und kontinuierliche Überwachung erfordert, um den Schutzstandard zu erhalten, während sich Ihr Geschäft und die regulatorische Landschaft weiterentwickeln.

Wie führt man eine GDPR-Compliance-Prüfung durch?

Ein GDPR-Compliance-Audit erfordert eine systematische Bewertung Ihrer Datenverarbeitungsaktivitäten, technischen Schutzmaßnahmen und organisatorischen Verfahren, um Lücken zu identifizieren und die regulatorische Ausrichtung sicherzustellen. Beginnen Sie mit der Datenkartierung, um ein umfassendes Inventar der personenbezogenen Daten zu erstellen, die Ihre Organisation sammelt, verarbeitet, speichert und teilt. Dies umfasst die Identifizierung von Datenquellen, Verarbeitungszwecken, rechtlichen Grundlagen, Aufbewahrungsfristen und Vereinbarungen zur Weitergabe an Dritte. Bewerten Sie technische Kontrollen einschließlich Zugriffsverwaltungssystemen, Verschlüsselungsimplementierungen, Backup-Verfahren und Fähigkeiten zur Sicherheitsüberwachung, um sicherzustellen, dass sie den Anforderungen der GDPR an „angemessene technische Maßnahmen“ entsprechen. Überprüfen Sie organisatorische Maßnahmen einschließlich Schulungsprogrammen für Mitarbeiter, Datenschutzrichtlinien, Lieferantenvereinbarungen und Verfahren zur Reaktion auf Vorfälle, um zu verifizieren, dass sie die GDPR-Verpflichtungen unterstützen. Bewerten Sie die Umsetzung der Rechte betroffener Personen, indem Sie Ihre Fähigkeit testen, auf Zugriffsanfragen, Berichtigungsforderungen und Löschungsanforderungen innerhalb der vorgeschriebenen Fristen zu reagieren. Untersuchen Sie die Dokumentationspraktiken, um sicherzustellen, dass Sie die Einhaltung durch Aufzeichnungen über Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen und Protokolle über Datenschutzverletzungen nachweisen können. Für Identity Management-Systeme prüfen Sie die Benutzerzugriffskontrollen, Privileged Access Management, Überprüfungsprozesse und die Vollständigkeit der Überwachungsprotokolle, um sicherzustellen, dass Sie nachverfolgen können, wer wann auf welche personenbezogenen Daten zugegriffen hat. Dokumentieren Sie alle Ergebnisse mit klaren Prioritäten für die Behebung, Zeitplänen für die Umsetzung und Zuweisungen von Verantwortlichkeiten. Regelmäßige Audits sollten mindestens jährlich oder nach bedeutenden Systemänderungen stattfinden, mit kontinuierlicher Überwachung für hochrisikobehaftete Datenverarbeitungsaktivitäten.

Checkliste zur GDPR-Implementierung für Identity Management?

Die Umsetzung der DSGVO für das Identity Management erfordert eine systematische Implementierung von Zugriffskontrollen, Audit-Fähigkeiten und Unterstützung der Rechte betroffener Personen, die personenbezogene Daten während ihres gesamten Lebenszyklus schützen. Beginnen Sie mit der Implementierung eines Zugriffskontrollrahmens: Etablieren Sie rollenbasierte Zugriffskontrollen, die Least-Privilege-Prinzipien durchsetzen, implementieren Sie starke Authentifizierungsmechanismen einschließlich Multi-Faktor-Authentifizierung für den Zugriff auf sensible Daten und setzen Sie automatisierte Bereitstellungs- und Deprovisionierungsprozesse ein, um zeitnahe Zugriffsänderungen zu gewährleisten, wenn Mitarbeiter beitreten, sich bewegen oder das Unternehmen verlassen. Implementieren Sie umfassende Audit-Protokollierung, die erfasst, wer wann auf welche personenbezogenen Daten zugegriffen hat, mit manipulationssicherer Protokollspeicherung und regelmäßiger Protokollanalyse, um unbefugte Zugriffsversuche zu erkennen. Setzen Sie Tools zur Datenentdeckung und -klassifizierung ein, um zu identifizieren, wo sich personenbezogene Daten in Ihrer Umgebung befinden, und implementieren Sie dann Zugriffskontrollen, die den Zugriff auf personenbezogene Daten nur autorisierten Rollen erlauben. Etablieren Sie Fähigkeiten zur Erfüllung der Rechte betroffener Personen, einschließlich automatisierter Suche und Abfrage für Zugriffsanfragen, sicherer Datenänderungsverfahren für Berichtigungsanfragen und zuverlässiger Datenlöschungsprozesse für Löschungsanfragen. Konfigurieren Sie Datenhaltungsrichtlinien, die personenbezogene Daten automatisch löschen, wenn gesetzliche Aufbewahrungsfristen ablaufen, mit Ausnahmeverfahren für rechtliche Aufbewahrungspflichten. Implementieren Sie datenschutzfreundliche Techniken, einschließlich Pseudonymisierung für Entwicklungs- und Testumgebungen, Verschlüsselung für personenbezogene Daten im Ruhezustand und während der Übertragung sowie Datenminimierungskontrollen, die eine übermäßige Sammlung personenbezogener Daten verhindern. Erstellen Sie spezielle Vorfallreaktionsverfahren für identitätsbezogene Datenschutzverletzungen, einschließlich schneller Eindämmung, Auswirkungsbewertung und Benachrichtigungsfähigkeiten für Regulierungsbehörden. Dokumentieren Sie alle Verfahren des Identity Managements, führen Sie regelmäßige Zugriffsüberprüfungen durch und etablieren Sie eine kontinuierliche Überwachung, um eine anhaltende DSGVO-Konformität zu gewährleisten, während sich Ihre Identitätsinfrastruktur weiterentwickelt.