{"id":14083,"date":"2019-03-19T11:58:37","date_gmt":"2019-03-19T10:58:37","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=14083"},"modified":"2019-03-18T10:01:49","modified_gmt":"2019-03-18T09:01:49","slug":"personenbezogene-daten-in-den-griff-bekommen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=14083","title":{"rendered":"Personenbezogene Daten in den Griff bekommen"},"content":{"rendered":"\n

Autor\/Redakteur: Thomas Ehrlich, Country Manager DACH bei Varonis Systems<\/a>\/gg<\/p>\n\n\n\n

Nach wie vor haben noch zahlreiche Unternehmen Schwierigkeiten bei der Umsetzung der DSGVO und stehen vor gro\u00dfen Herausforderungen im Umgang mit den personenbezogenen Daten (PII). Deren Identifikation ist dabei \u00fcberhaupt erst die Grundlage daf\u00fcr, weiteren Anforderungen nachkommen zu k\u00f6nnen, etwa dem Recht auf L\u00f6schung. Und auch ein effektiver Schutz der sensiblen Informationen ist nur m\u00f6glich, wenn man wei\u00df, was \u00fcberhaupt gesch\u00fctzt werden muss. Die zentrale Frage f\u00fcr Unternehmen lautet also zun\u00e4chst: Wo haben wir personenbezogene Daten gespeichert?<\/p>\n\n\n\n

\"\"
Bild: Varonis<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Zun\u00e4chst\nmuss jedoch gekl\u00e4rt werden, was \u00fcberhaupt personenbezogene Daten sind. Namen,\nAdressen, Telefonnummern, Sozialversicherungs- und Ausweisnummern sind die\nklassischen Beispiele f\u00fcr PII. Die DSGVO definiert diese als s\u00e4mtliche\nInformationen, die etwas \u00fcber eine Person aussagen. Entsprechend kommen auch\nbeispielsweise E-Mail-Adressen, Nutzernamen, Standorte, IP-Adressen und\nbiometrische Informationen hinzu, wenn diese einer Person (mit vertretbarem\nAufwand) zugeordnet werden k\u00f6nnen. Erschwert wird die Identifizierung der Daten\ndadurch, dass die EU aus 28 Mitgliedsstaaten mit 24 Amtssprachen besteht \u2013 mit\nunterschiedlichen Formaten f\u00fcr Nummernschilder, Telefonnummern oder Ausweise. <\/p>\n\n\n\n

Daten \u2013 \u00fcberall <\/strong><\/p>\n\n\n\n

Das gr\u00f6\u00dfte Problem beim Aufsp\u00fcren von personenbezogenen Daten liegt darin, dass diese oftmals an Orten gespeichert sind, mit denen (urspr\u00fcnglich) nicht gerechnet wurde. Vielfach herrscht noch die Annahme vor, dass diese Daten ausschlie\u00dflich in den entsprechenden Datenbanksystemen (wie etwa im CRM oder in HR-Systemen) vorgehalten werden. In der Praxis finden Daten aber immer einen Weg aus diesen Datenbanken heraus und landen auf Mail- und Datenservern \u2013 beispielsweise in Word-Dokumenten, Excel-Tabellen oder Pr\u00e4sentationen. Und selbstverst\u00e4ndlich fallen auch diese \u2013 verstreuten, unstrukturierten \u2013 Daten unter die DSGVO. An sich w\u00e4ren personenbezogene Daten nicht schwierig zu identifizieren. Aber selbst wenn man nach speziellen personenbezogenen Informationen sucht, muss man zumindest wissen, wo man suchen muss. <\/p>\n\n\n\n\n\n\n\n

In\nden letzten Jahren \u2013 sp\u00e4testens durch die Einf\u00fchrung der DSGVO \u2013 ist es f\u00fcr\nUnternehmen immer wichtiger geworden, genau zu wissen, wo ihre Daten\ngespeichert sind. Die Identifikation dieser relevanten Daten ist zwar zeit- und\nressourcenaufwendig, mittels entsprechender L\u00f6sungen aber durchaus zu\nbew\u00e4ltigen. Das Wissen \u00fcber die gespeicherten personenbezogenen Daten bildet\nauch die Grundlage f\u00fcr den zweiten wesentlichen Aspekt der\nDatenschutz-Grundverordnung: Den effektiven Schutz dieser Daten. <\/p>\n\n\n\n

Ist also das scheinbare Hauptproblem (Wo sind unsere Daten gespeichert?) gel\u00f6st, tauchen neue Fragen und Herausforderungen auf: Wer hat Zugriff auf diese Daten? Haben (ausschlie\u00dflich) die richtigen Personen Zugriff? Wer ist f\u00fcr die Daten verantwortlich? Welche Daten sollten oder m\u00fcssen gel\u00f6scht oder archiviert werden? Und vor allem: Wie k\u00f6nnen diese Daten effektiv gesch\u00fctzt werden? <\/p>\n\n\n\n

\"\"
Bild: Varonis<\/figcaption><\/figure>\n\n\n\n

Generell\ngilt: Je weniger Mitarbeiter Zugriff auf die sensiblen Daten haben, desto\ngeringer ist das Risiko eines Vorfalls. Entsprechend sollte ein\nPrivilegienmodell auf Basis der minimalen Rechtevergabe durchgesetzt werden.\nDurch das \u201eneed-to-know\u201c-Prinzip erhalten nur diejenigen Mitarbeiter Zugriff,\ndie ihn f\u00fcr ihre Arbeit auch tats\u00e4chlich ben\u00f6tigen. Um dies pr\u00e4zise zu steuern,\nempfiehlt sich die Einf\u00fchrung von Datenverantwortlichen (data owner). Diese\ngeh\u00f6ren nicht der IT-Abteilung, sondern den jeweiligen Fachabteilungen oder\nProjektgruppen an und k\u00f6nnen gut bewerten, wer entsprechende Rechte (wie lange)\nben\u00f6tigt. <\/p>\n\n\n\n

Was muss wie gesch\u00fctzt werden?<\/strong>\n\nSelbstverst\u00e4ndlich ist es sinnvoll, s\u00e4mtliche Daten\ninnerhalb eines Unternehmens zu sch\u00fctzen, aber nicht alle ben\u00f6tigen eben die\ngleichen Schutzma\u00dfnahmen. Bei personenbezogenen Daten sieht die DSGVO etwa im\nFalle eines Datenschutzversto\u00dfes eine Meldung innerhalb von 72 Stunden nach dessen\nIdentifizierung vor. Unternehmen m\u00fcssen also z\u00fcgig in der Lage sein, zu\nerkl\u00e4ren, was passiert ist, wie es passiert ist und wer beziehungsweise was\nbetroffen ist. Auch aus diesem Grund m\u00fcssen Unternehmen wissen, wer was mit\nwelchen Daten macht, also eine Datei erstellt, darauf zugreift, \u00e4ndert,\nverschiebt oder l\u00f6scht, und ob sich ein Mitarbeiter (beziehungsweise dessen\nKonto) auff\u00e4llig verh\u00e4lt. Mittels intelligenter Analyse des Nutzerverhaltens\nkann so abnormales Verhalten rasch erkannt (und automatisiert) unterbunden\nwerden.\n\n\n\n<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Thomas Ehrlich, Country Manager DACH bei Varonis Systems\/gg Nach wie vor haben noch zahlreiche Unternehmen Schwierigkeiten bei der Umsetzung<\/p>\n","protected":false},"author":1,"featured_media":14084,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,10140],"tags":[471,4466,9408,3923,10255,12169,5206,10061],"class_list":["post-14083","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-compliance","tag-archivierung","tag-biometrie","tag-dsgvo","tag-eu","tag-hr","tag-personenbezogene-daten","tag-pii","tag-varonis"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14083","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14083"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14083\/revisions"}],"predecessor-version":[{"id":14086,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/14083\/revisions\/14086"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/14084"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14083"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14083"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14083"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}