Willkommen, Datenschutz

Am Einhalten der EU Datenschutzverordnung (DSGVO) führt kein Weg vorbei. Schließlich geht es um die Privatsphäre der EU-Bürger beziehungsweise darum, die Kontrolle der Bürger über ihre persönlichen Daten zu stärken. Wobei Datenschutz ohnehin selbstverständlich und keine Pflichtübung sein sollte für Unternehmen. Um DSGVO-konform zu sein, müssen Organisationen ihre Technik anpassen. Wo aber gilt es hier anzusetzen?

microsoft

Die DSGVO (Englisch: General Data Protection Regulation, GDPR) wurde wahrhaft hinreichend erläutert in den letzten Monaten. Daher in aller Kürze: Sie ist eine Verordnung der EU zum Schutz personenbezogener Daten. Wird sie weitflächig umgesetzt, schützt dies die Privatsphäre der EU-Bürger nachhaltiger als jede bisherige Regelung. Die DSGVO beinhaltet neue Bestimmungen für Unternehmen, Behörden, gemeinnützige und andere Organisationen, die Waren und Dienstleistungen für Menschen in der EU anbieten oder Daten im Zusammenhang mit EU-Bürgern erfassen und analysieren. Wichtig: Die Datenschutz-Grundverordnung gilt unabhängig vom Sitz der Organisation.

Grundsätzlich sollten Unternehmen sich der DSGVO in vier Schritten nähern: Ermitteln, Kontrollieren, Schützen, Berichten. Zuerst gilt es zu ermitteln, in welchem Umfang die eigene Organisation beziehungsweise die vorhandenen Daten von der Verordnung erfasst sind. Das Sicherstellen des rechtmäßigen Umgangs mit diesen Daten ist der zweite Schritt. Nur so können die Kunden durch die Verordnung eingeräumten Auskunfts- oder Löschansprüche erfüllt werden.

Außerdem müssen die gespeicherten oder übertragenen Daten bestmöglich geschützt werden. Beispielsweise durch Verschlüsselung. Und zu guter Letzt müssen alle relevanten Prozesse und Transaktionen dokumentiert werden. „Die DSGVO schreibt an verschiedenen Stellen Transparenz vor, wie sie bisher unbekannt war“, sagt Michael Kranawetter, National Security Officer bei Microsoft Deutschland. „Für Microsoft genießen der Schutz der Privatsphäre seiner Kunden und der hierfür notwendige Datenschutz schon immer höchste Wichtigkeit“, ergänzt Kranawetter.

Daher ist die GDPR aus Sicht von Microsoft ein wichtiger Schritt, um die Rechte von Einzelpersonen in Bezug auf den Datenschutz zu verdeutlichen und umzusetzen. „Als Anbieter von Cloud-Diensten wie Office 365, Dynamics 365, Microsoft Azure, SQL Server oder Enterprise Mobility + Security (EMS) will Microsoft selbst natürlich konform sein bis zur ab Mai 2018 gültigen Verordnung“ sagt Milad Aslaner, Senior Product Manager – Cyber Security bei Microsoft Deutschland.

Microsoft wird in seinen vertraglichen Verpflichtungen bis dahin Zusicherungen in Bezug auf die Inhalte der DSGVO verankern. In Teilen sind die Verträge schon jetzt DSGVO-konform: Die Verordnung verlangt von Unternehmen, dass nur die Auftragsverarbeiter mit personenbezogen Daten von EU-Bürgern arbeiten dürfen, die den Anforderungen rund um das Verarbeiten solcher Daten entsprechen. Im März 2017 hat Microsoft vertragliche Garantien mit derartigen Zusicherungen veröffentlicht.

Die betreffenden Verträge steuern unter anderem das Verarbeiten sowie die Sicherheit personenbezogener Daten, deren Übertragung in Drittländer oder die Vertraulichkeitsanforderungen für Personen, die für den Zugriff auf personenbezogene Daten berechtigt sind. Sie unterstützen Kunden zudem dabei, auf Anfragen einzelner Personen hinsichtlich Korrektur, Änderung oder Löschung ihrer personenbezogenen Daten einzugehen oder das Einhalten der GDPR an sich nachzuweisen. Gleichzeitig unterstützt Microsoft seine Kunden aber auch durch Werkzeuge, damit sich Anwender auf ihr Kerngeschäft konzentrieren können – ohne jedes Detail der DSGVO im Schlaf aufsagen zu müssen.

Gleichzeitig unterstützt Microsoft seine Kunden aber auch durch Werkzeuge, damit sich Anwender auf ihr Kerngeschäft konzentrieren können – ohne jedes Detail der DSGVO im Schlaf aufsagen zu müssen. So unterstützen die verschiedenen Cloud-Angebote wie Azure oder Office 365 Anwender bei jedem der vier beschriebenen Schritte. In den Produkten selbst sind etliche Mechanismen, die Anwendern das Einhalten der DSGVO-Vorgaben erleichtern. So bringt Azure beispielsweise Verschlüsselungstechniken für ruhende Daten mit oder Anmeldeverfahren, die unberechtigte Zugriffe unterbinden. Auch beim Klassifizieren von Daten – einer Grundvoraussetzung für GDPR-Konformität – unterstützt die Cloud-Plattform.

Darüber hinaus bietet Microsoft noch eigenständige Hilfsmittel. „Der webbasierte GDPR Benchmark beispielsweise hilft Unternehmen durch einen Fragenkatalog, die Techniken und Maßnahmen zu identifizieren, die in ihrer jeweiligen Situation beim Einhalten der DSGVO-Vorgaben helfen“, führt Aslaner aus. Seine Partner unterstützt Microsoft mit noch detaillierteren Materialien wie dem GDPR Activity Hub oder Demos. Ziel: Partner und Endkunde ermitteln in Workshops den jeweils notwendigen Handlungsbedarf und die daraus resultierenden notwendigen Maßnahmen. Das Gespann aus kompetenten Partnern, auf die DSGVO ausgelegten Produkten und nützlichen Hilfsmitteln kann Anwendern also einen beträchtlichen Teil des Schreckens nehmen, der ansonsten im Zusammenhang mit der EU-Datenschutzgrundverordnung lauern würden.

Erfahren Sie mehr unter https://aka.ms/it-sicherheit