{"id":12269,"date":"2018-02-01T14:51:21","date_gmt":"2018-02-01T13:51:21","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=12269"},"modified":"2018-01-30T11:54:07","modified_gmt":"2018-01-30T10:54:07","slug":"interview-mit-dr-anton-grashion-von-cylance-zur-dsgvo","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=12269","title":{"rendered":"Interview mit Dr. Anton Grashion von Cylance zur DSGVO"},"content":{"rendered":"

\"\"<\/a><\/p>\n

Inzwischen sind es nur noch wenige Monate bis die EU-Datenschutz-Grundverordnung in Kraft tritt. Dazu Fragen und vor allem Antworten von Dr. Anton Grashion, Senior Director Product Marketing EMEA, Cylance.<\/p>\n

<\/p>\n

Frage:<\/strong> „Was m\u00fcssen Unternehmen generell tun, um den Vorgaben der DSGVO zu entsprechen und was sollten sie inzwischen getan haben?“<\/p>\n

Grashion:<\/strong> \u201eEs gibt jede Menge Beitr\u00e4ge, Empfehlungen und Checklisten, die seit Monaten praktisch t\u00e4glich ver\u00f6ffentlicht werden. Jedes Unternehmen sollte also wissen, was zu tun ist.
\nGanz grob zusammengefasst sollten Firmen die folgenden Punkte beachten: Ein Audit in Bezug auf personenbezogene Daten durchf\u00fchren, sicherstellen, dass die Firma nachweislich die Vorgaben der DSGVO erf\u00fcllt, detaillierte Aufzeichnungen in Hinsicht auf die verarbeiteten Daten erstellen und vorweisen k\u00f6nnen sowie alle Datenschutzhinweise \u00fcberpr\u00fcfen und aktualisieren. Dar\u00fcber hinaus m\u00fcssen die Unternehmen interne Richtlinien und die zugeh\u00f6rigen Prozesse \u00fcberpr\u00fcfen, denn die DSGVO erfordert neue Prozesse im Hinblick auf die gebotene Transparenz und um die individuellen Rechte jedes Einzelnen im Hinblick auf den Umgang mit seinen Daten umzusetzen und es gilt Privacy by Design und Privacy by Default zu implementieren. Au\u00dferdem sind Firmen gefordert, bei ihren Mitarbeitern und Mitarbeiterinnen das erforderliche Bewusstsein f\u00fcr die Umsetzung der DSGVO zu schaffen, Schulungen durchzuf\u00fchren und Checklisten im Hinblick auf die Datenschutzvorgaben der DSGVO umsetzen und interne Prozesse zu implementieren, um die Anzeigepflicht bei einem Datenschutzvorfall einzuhalten, ebenso wie Planungen, was im Falle eines Datenschutzvorfalls zu geschehen hat und in welcher Reihenfolge. Dazu geh\u00f6rt es, die entsprechenden Compliance-Verantwortlichkeiten personell festzumachen und Budgets anzuweisen und einen Datenschutzbeauftragten zu benennen, zu schulen und in die Lage zu versetzen, dass er seinen Job den Anforderungen entsprechend tun kann.\u201c<\/p>\n

Frage: <\/strong>„Den Unternehmen wurden zwei Jahre Zeit gegeben, um die Anforderungen der DSGVO umzusetzen. War das, jetzt wo wir nur noch einige Monate vom Inkrafttreten entfernt sind, ausreichend?“<\/p>\n

Grashion:<\/strong> „Ja, davon bin ich \u00fcberzeugt. Und Firmen haben auch jetzt noch Zeit, rechtzeitig zum Stichtag im Mai fertig zu werden. Nat\u00fcrlich h\u00e4ngt das von der Gr\u00f6\u00dfe des Unternehmens und dem individuellen Anforderungsprofil ab.\u201c<\/p>\n

Frage:<\/strong> „Und wenn nicht, warum nicht? Man konnte zeitweise schon fast von Panikmache rund um die DSGVO sprechen. Wo liegen Ihrer Ansicht nach die tats\u00e4chlichen Herausforderungen?“<\/p>\n

Grashion:<\/strong> \u201eWenn ich an dieser Stelle vereinfachen darf, gibt es im Wesentlichen zwei Arten von Kosten, wenn es um die DSGVO geht. Zum einen die unumg\u00e4nglichen Fixkosten und zum anderen die variablen Kosten. Zu den Fixkosten geh\u00f6ren die Aufwendungen, die ein Unternehmen f\u00fcr ein Audit seiner PII-Daten aufbringen muss. Auch alle Arten von notwendig werdenden Assessments fallen in diesen Bereich. Dazu z\u00e4hlen der administrative und operationale Aufwand, der mit der Benennung und Etablierung eines Datenschutzbeauftragten verbunden ist. Ebenso wie ein Berichtswesen, das sicherstellt, die individuellen Verbraucherrechtssanforderungen und Nachweispflichten zu gew\u00e4hrleisten. Das sind Vorschriften, denen jede Firma Folge leisten muss. Was die Panikmache anbelangt, konzentriert die sich eher auf die variablen Kosten. Die Kosten, die potenziell entstehen, wenn es zu einem Datenschutzvorfall kommt, bei dem personenbezogene Daten betroffen sind. In einer Studie, die das Beratungsunternehmen Accenture j\u00fcngst gemeinsam mit dem Ponemon Institute ver\u00f6ffentlicht hat, werden Zahlen von \u00fcber 90 Prozent genannt, wenn es um die Folgekosten eines potenziellen Datenschutzvorfalls geht. Gemeint sind Folgekosten, durch entgangene Gesch\u00e4fte, den entstandenen Rufschaden und nat\u00fcrlich die eigentlichen mit der Datenschutzverletzung assoziierten Strafen. Es ist also ganz offensichtlich, dass Unternehmen ihre Anstrengungen darauf konzentrieren, Datenschutzvorf\u00e4lle so gut wie m\u00f6glich zu verhindern, wenn die variablen Folgekosten derart unkalkulierbar sind wie in diesem Fall.\u201c<\/p>\n

Frage:<\/strong> „Wenn das alles so kompliziert ist wie man uns glauben machen will, gibt es geeignete Technologien, die bei der Umsetzung der DSGVO helfen?“<\/p>\n

Grashion: <\/strong>\u201cAbsolut, ja. Es gibt eine ganze Reihe von Technologien und Methoden, die helfen, die DSGVO regelkonform umzusetzen. Wir konzentrieren uns dabei in erster Linie darauf, Malware vorausschauend abzuwehren, bekannte Malware und, was noch wichtiger ist, bisher unbekannte Schadsoftware.\u201c<\/p>\n

Frage:<\/strong> „Aus ihrer Sicht: ist es realistisch, dass die Vorschriften umgesetzt werden und ihre Umsetzung tats\u00e4chlich kontrolliert werden kann?“<\/p>\n

Grashion:<\/strong> „Auch das, ja. Wenn man einigen der aktuellen Studien Glauben schenken darf, haben doch viele Firmen inzwischen die notwendigen Voraussetzungen geschaffen. Die Einhaltung zu \u00fcberwachen, dabei sind zun\u00e4chst die Unternehmen selbst gefragt. Sie m\u00fcssen die entsprechenden Berichte zur Verf\u00fcgung zu stellen. Und schlie\u00dflich sind Regulierer und Regulierungsbeh\u00f6rden angetreten, den Forderungen der DSGVO Nachdruck zu verleihen. Wie sich das tats\u00e4chlich auswirkt, wenn die ersten F\u00e4lle in der Praxis auftreten, das ist noch eine ganz andere Sache.\u201c<\/p>\n

Frage:<\/strong> „Sind die Anforungen der DSGVO am Ende doch gar nicht soweit entfernt von dem was man als ‚gute‘ und ‚empfohlene‘ Sicherheitsma\u00dfnahmen und Compliance-Prozesse betrachten w\u00fcrde? Und denen sollte jedes Unternehmen ja ohnehin verpflichtet sein.“<\/p>\n

Grashion:<\/strong> \u201eDa stimme ich zu. Etliche Firmen haben beim Schutz von PII-Daten sehr gute Praktiken umgesetzt. Vieles davon hat die DSGVO formalisiert und jetzt f\u00fcr alle EU-Staaten harmonisiert. Das halte ich unbedingt f\u00fcr eine gute Sache.\u201c<\/p>\n

Frage:<\/strong> „Worin bestehen die Hauptaufgaben einer IT-Abteilung, wenn sie sicherstellen will, dass ein Unternehmen auch weiterhin den Compliance-Anforderungen entspricht?<\/p>\n

Grashion: <\/strong>\u201eGanz platt gesprochen \u2013 verhindern Sie soweit wie m\u00f6glich, dass personenbezogene Daten von einer Datenschutzverletzung betroffen sind. Die Anforderungen der DSGVO sind etwas vage formuliert, wenn es an die ‚State of the Art‘-Technologien geht, die Firmen einsetzen sollten, um gegen Datenschutzverletzungen vorzubeugen und Angriffe abzuwehren. Da gibt es einiges an Interpretationsspielraum f\u00fcr Kommentare. Artikel 29 ist beispielsweise k\u00fcrzlich um einige spezifische Reporting-Empfehlungen bei der Anzeigepflicht erweitert worden. Dabei geht es insbesondere um Ransomware. Wenn es einer Ransomware gelingt personenbezogene Daten zu verschl\u00fcsseln, dann ist das als Datenschutzverletzung meldepflichtig. Ebenso ist es meldepflichtig, sollten Sie kein ausreichendes Backup dieser Daten gefahren haben. Und selbst wenn Sie ein Backup haben, k\u00f6nnen die Regulierungsbeh\u00f6rden an dieser Stelle nachfassen, etwa ob Sie ausreichende Datenschutzvorkehrungen getroffen haben was insbesondere den Schutz vor Malware anbelangt. Zudem muss die L\u00f6sung nachweislich einen ausreichenden Malware-Schutz bieten.“<\/p>\n

Frage:<\/strong> „Gibt es noch weitere erw\u00e4hnenswerte Punkte?“<\/p>\n

Grashion:<\/strong> \u201eRegulierer und Regulierungsbeh\u00f6rden sind sicherlich nicht dazu da Firmen unn\u00f6tig zu bestrafen, die Opfer einer Datenschutzverletzung geworden sind. Aber diese Kontrollinstanzen sollten in der Lage sein, gute Praktiken aufzuzeigen, die zur Umsetzung der DSGVO geeignet sind. Jedes Unternehmen, das in der Lage ist zu zeigen, dass und wie es personenbezogene Daten sch\u00fctzt, wird davon profitieren. Insbesondere was seinen Ruf und die Position im Wettbewerb anbelangt.\u201c<\/p>\n","protected":false},"excerpt":{"rendered":"

Inzwischen sind es nur noch wenige Monate bis die EU-Datenschutz-Grundverordnung in Kraft tritt. Dazu Fragen und vor allem Antworten von<\/p>\n","protected":false},"author":1,"featured_media":12260,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[10140,622],"tags":[1139,9697,1015,9408,3923,1458,7847,5633,5432,10939,1651,4733],"class_list":["post-12269","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance","category-interview","tag-audit","tag-cylance","tag-datenschutz","tag-dsgvo","tag-eu","tag-malware","tag-privacy","tag-prozess","tag-ransomware","tag-regulierung","tag-schulung","tag-transparenz"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12269","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12269"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12269\/revisions"}],"predecessor-version":[{"id":12270,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12269\/revisions\/12270"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/12260"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12269"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12269"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12269"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}