Was ist die DSGVO?

Die Allgemeine Datenschutzverordnung der Europäischen Union (DSGVO) ist eine historische Änderung des Verbraucherschutzes und der Privatsphäre. Das Ziel der DSGVO ist einfach: die Kontrolle der EU-Bürger über die Daten, die die Unternehmen über sie besitzen, zu verbessern. Während das Ziel einfach ist, ist es für die meisten Unternehmen nicht so einfach, die Compliance zu erreichen.

Nach vierjähriger Beratung wurde die aktuelle Version der DSGVO im April 2016 verabschiedet und trat am 25. Mai 2018 in Kraft. Laut einer Studie von Crowd Research Partners werden jedoch 60 % der Unternehmen die Frist für die Compliance der neuen DSGVO-Gesetzgebung voraussichtlich nicht einhalten.

Während einige Organisationen Schritte unternommen haben, um die notwendigen Prozesse und Verfahren zur Erreichung, Aufrechterhaltung und zum Nachweis der DSGVO-Compliance zu implementieren, unterschätzen viele Organisationen die Aufgabe und die erforderlichen Maßnahmen zur Aufrechterhaltung der Compliance. Dazu gehört eine umfassende Überprüfung, wer Zugriff auf welche Daten hat und wo sich die regulierten Daten befinden, sowie die Möglichkeit, erforderliche Sicherheitsaudits und kontinuierliche Kontrollen durchzuführen.

85 %

des Geschäftsrisikos kann
mit nur 5 % der Nutzer verbunden werden

€ 20 Mio.+

Mindeststrafe
bei Nichteinhaltung der DSGVO

Wer ist von der DSGVO betroffen?

Während die Verordnung nur für EU-Bürgerdaten gilt, müssen alle Unternehmen weltweit, die in der EU tätig sind oder über Websites verfügen, die in der EU zu finden sind, diese Vorschriften einhalten. Das hat wirklich globale Auswirkungen. Diese neue Regelung erfordert wesentliche Änderungen in der Art und Weise, wie und wo Unternehmen Kundendaten speichern, und vor allem, wie sie Mitarbeitern, Auftragnehmern und Geschäftspartnern Zugang zu diesen Daten gewähren.

DSGVO Schlüsselmandate und Sanktionen bei Nichterfüllung

Während viele Branchen- und Regierungsvorschriften, wie der Health Insurance Portability and Accountability Act (HIPPA), der Payment Card Industry Data Security Standard (PCI DSS) und die Gesetze zur Offenlegung von Datenverstößen darauf abzielen, die personenbezogenen Daten eines Verbrauchers zu schützen, geht die DSGVO viel weiter. Die Verordnung zielt darauf ab, die Datenschutzgesetze in ganz Europa zu harmonisieren, um den Datenschutz aller EU-Bürger zu schützen und zu stärken und die Art und Weise neu zu gestalten, wie Organisationen, die in der EU tätig sind, mit dem Datenschutz umgehen.

Sie verlangt von den EU-Bürgern, dass sie auf Aspekte ihrer Daten zugreifen und diese kontrollieren können, zusätzlich zu der Art und Weise, wie sie verarbeitet, verwendet, gelöscht und übertragen werden. Zu den Verfügungen in der DSGVO gehören:

  • Strenge Vorschriften für den Schutz, die Verwaltung und die Kontrolle aller PII der EU-Bürger;
  • Wesentliche Änderungen in der Art und Weise, wie und wo Unternehmen Kundendaten speichern;
  • eine Verfügung, Datenverstöße innerhalb von 72 Stunden nach Entdeckung zu melden; und
  • eine Erhöhung der Datenmanagementverpflichtungen eines Unternehmens bei steigender Risikochance.

 

Geldstrafen für Datenverstöße im Zusammenhang mit PII von EU-Bürgern können bis zu vier Prozent oder 20 Millionen Euro - je nachdem, welcher Betrag höher ist - des weltweiten Jahresumsatzes einer Organisation betragen. Das bedeutet, dass Lücken in der DSGVO-Abdeckung und Sicherheitsverletzungen kritische Konsequenzen für das Ergebnis eines Unternehmens haben können. Seien Sie vorbereitet. Laden Sie das DSGVO-Readiness eBook von SailPoint herunter oder holen Sie sich die Lösungsübersicht, die eine Schritt-für-Schritt-Anleitung zur DSGVO-Compliance bietet.

Get Your Organization Ready for GDPR

HOLEN SIE SICH DAS eBOOK

Schrittweise Anleitung: DSGVO-Compliance

HOLEN SIE SICH DIE LÖSUNGSÜBERSICHT

Weitere Überlegungen zur DSGVO

Die DSGVO erfordert nicht nur, dass Organisationen Least-Privilege-Rechte für PII-Daten von EU-Bürger integrieren, sondern auch, dass sie in der Lage sind, Verstöße gegen diese Richtlinie sofort zu erkennen und zu beheben. Unternehmen haben nun maximal 72 Stunden nach Bekanntwerden des Datenverstoßes Zeit, um jeden Datenverstoß im Zusammenhang mit Kundendaten zu melden, und müssen Einzelpersonen benachrichtigen, wenn nachteilige Auswirkungen festgestellt werden. Darüber hinaus muss der Datenverarbeiter des Unternehmens den Kontrolleur unverzüglich benachrichtigen, nachdem er von einer Verletzung der personenbezogenen Daten Kenntnis erlangt hat. Aufgrund dieser Änderungen ist es unerlässlich, Sicherheitslücken im Unternehmen zu erkennen und zu schließen.

Die Komplexität, die mit Unternehmensidentität, der DSGVO-Compliance und dem Datenschutz verbunden ist, bedeutet, dass der effektivste Weg in die Zukunft darin besteht, so viele Identitäts- und Zugriffsverwaltungstools und Sicherheitsauditprozesse wie möglich zu automatisieren. Automatisierung ist unerlässlich, wenn Prozesse regelmäßig wiederholt werden müssen und Reaktionen in Echtzeit erfolgen sollen.

Automatisiertes Provisioning und De-Provisioning des Zugriffs ist eine der wenigen Möglichkeiten, wie Unternehmen Sicherheitskontrollen wirklich verschärfen und gleichzeitig die Effizienz ihres Unternehmens steigern können. Laden Sie die untenstehende Lösungsübersicht herunter, um mehr über unseren ganzheitlichen Ansatz zu erfahren, der sowohl auf Prozess und Planung als auch auf Technologie ausgerichtet ist.

Bewältigung der Herausforderungen der DSGVO-Compliance

LÖSUNGSÜBERSICHT HERUNTERLADEN

Navigieren im Compliance-Minenfeld - Was Sie nicht sehen können, kann Sie etwas kosten

WEITERLESEN

Wie erfüllt man die DSGVO-Compliance?

Es gibt mehrere Schritte, die Organisationen unternehmen müssen, um sicherzustellen, dass sie DSGVO-konform sind. Der erste und wichtigste Schritt, den Unternehmen durchführen müssen, ist eine umfassende Sicherheitsüberprüfung und Risikobewertung durchzuführen und ihre Daten den Datenbesitzern in ihrer gesamten Umgebung zuzuordnen. Eine erfolgreiche DSGVO-Compliance setzt voraus, dass jedes Unternehmen weiß, wer seine Benutzer sind, wo sich behördlich kontrollierte und sensible Daten befinden und wie diese Daten existieren.

Sobald Daten und Eigentümer erfasst sind, müssen Unternehmen die Kontrollen verstärken, die bestimmen, wer Zugriff auf bestimmte Daten hat und wer nicht. Der Datenzugriff muss durch „Least Privilege“ gesteuert werden, so dass der Zugriff auf nur minimale Ressourcen erlaubt ist und der Zugriff auf sensible Daten stark eingeschränkt ist. Diese Rechte müssen regelmäßig überprüft werden.

Zuerst können Sie sich von den Anforderungen der DSGVO überfordert fühlen, besonders wenn man die finanziellen Auswirkungen der Nichteinhaltung berücksichtigt. Die Nutzung von Identity Governance als Kernstück Ihrer Sicherheitsstrategie zum Schutz des Zugriffs auf Kundendaten in Ihrem Unternehmen kann jedoch dazu beitragen, das Risiko eines Datenverstoßes und die daraus resultierenden Strafen zu minimieren.

Bodenhaftung: Der Countdown zur DSGVO

WEITERLESEN

Unterschätzen Sie die kommenden DSGVO-Anforderungen nicht

WEITERLESEN

Wie Identity Governance zur Sicherstellung der DSGVO-Compliance beiträgt

Der kosteneffektivste Weg, die DSGVO-Compliance zu erfüllen und aufrechtzuerhalten, besteht darin, Identity Governance in den Mittelpunkt der Sicherheits- und Compliance-Strategie zu stellen. Insbesondere ermöglichen Identity-Governance-Tools Unternehmen, ihre Risiken zielsicher einzuschätzen, ihre Kontrollen zu verstärken, Schwachstellen im Unternehmen zu schließen und ihre Erkennungs- und Prüfprozesse zu automatisieren. Indem sichergestellt wird, dass nur diejenigen, die Zugriff auf bestimmte Daten haben sollten, tatsächlich auf diese Daten zugreifen können, erhöht das Identitätsmanagement die Sicherheit von Anwendungen und Daten.

Für die DSGVO gibt es eine Reihe von Risiken, die Unternehmen für eine erfolgreiche Einhaltung bewerten müssen:

  • Entdecken Sie sensible Daten in der gesamten Umgebung, einschließlich strukturierter Daten (z. B. Daten in Anwendungen und Datenbanken) und unstrukturierter Daten (z. B. Word-Dokumente, Tabellenkalkulationen, Präsentationen)
  • Finden Sie heraus, wo diese Daten existieren (lokal oder auf verschiedenen Cloud-Diensten)
  • Identifizieren von exponierten und veralteten Daten
  • Identifizieren Sie Dateneigentümer und deren Zugriffsberechtigungen (einschließlich veralteter und ungenutzter Berechtigungen)
  • Überwachen Sie die Benutzeraktivität auf ungewöhnliche Anfragen

 

Durch die Bewertung von Risiken mit Identity Governance im Vordergrund kann ein Unternehmen eine Roadmap erstellen, um die dringendsten regulatorischen Lücken zu priorisieren und zu beheben und so die Daten des Unternehmens effektiv zu kontrollieren und zu sichern.

Wie kann unsere Open-Cloud-Identity Governance-Plattform Ihrem Unternehmen helfen?

Wir ermöglichen Ihnen, den Zugriff auf alle Apps und Daten für alle Benutzer zu sehen und zu kontrollieren. Auch für nicht-menschliche Benutzer wie Bots.

MEHR ERFAHREN
Kontaktieren Sie SailPoint

Erfahren Sie, wie SailPoint helfen kann

Wir möchten über Ihre geschäftlichen Herausforderungen sprechen und zeigen, wie unsere Identity-Plattform diese bewältigen kann.