Aufrufe
vor 3 Jahren

Netzwoche 08/2017

16 DOSSIER KOMPAKT

16 DOSSIER KOMPAKT Datenschutz In Kooperation mit SNP EU-Datenschutzverordnung – und nun? Nicht nur Onlineshops sind von der europäischen Datenschutzgrundverordnung betroffen. Auch die IT-Abteilung, die ein neues System testet, kann gegen die Verordnung verstossen. Mit einer vorausschauenden Planung können IT-Abteilungen Probleme vermeiden. DER AUTOR Gerhard Krauss Managing Director, SNP Applications DACH Bereits letztes Jahr, am 24. Mai 2016, ist die EU-Datenschutzgrundverordnung (DSGVO) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten in Kraft getreten. Die Verordnung ist ab dem 25. Mai 2018 anzuwenden, womit Unternehmen bis Mai nächsten Jahres Zeit haben, sich entsprechend vorzubereiten und die Verordnung umzusetzen. Hier müssen Unternehmen aktiv werden Zur Vorbereitung der Umsetzung der EU-Datenschutzgrundverordnung müssen die Datenschutzabteilungen jedes Unternehmens Konzepte erstellen, wie die Informationssicherheit in der eigenen Datenverarbeitung zu wahren ist. Diese Konzepte definieren sowohl den Umgang mit personenbezogenen Daten in der eigenen IT-Landschaft und beschreiben zudem Richtlinien und Prozesse, die die Themen Datenschutz, Rechenschaftspflichten, Datenportabilität oder auch die Umsetzung des Löschanspruchs von Betroffenen berücksichtigen. Die Wahrung der Informationssicherheit ist vor allem in nichtproduktiven Anwendungssystemen dringend notwendig. Testsysteme sind meist aus gutem Grund mit produktionsnahen Daten versehen. Wenn in Testsystemen mit «echten» Daten gearbeitet werden soll, müssen zwingend Massnahmen getroffen werden, die den Schutz aller personenbezogenen Daten sicherstellen. Insbesondere, wenn es sich um Anwendungssysteme handelt, auf die auch externe Bearbeiter zugreifen, die ausserhalb der EU arbeiten oder leben. Hierfür bietet sich die Anonymisierung beziehungsweise Pseudoanonymisierung der Daten an, die auf personenbezogene Daten angewandt wird. Das A und O: die Analyse Für die Einführung der Anonymisierung bedarf es einer ausführlichen Analysephase, nach der dann die Umsetzung erfolgt. Eine wesentliche Voraussetzung für die Anonymisierung von Daten ist, diejenigen Prozesse zu identifizieren, die personenbezogene Daten verarbeiten beziehungsweise verwenden. Es gibt Werkzeuge, die diese Analysen unterstützen. Sie werden eingesetzt, um Arbeitsabläufe unter anderem aus SAP-, EBS-, JD-Edwards- oder Peoplesoft- ERP-Systemen, basierend auf Stamm- und Bewegungsdaten, zu analysieren und zu veranschaulichen. Solche Auswertungen sind auch im Zuge von Anonymisierungsprojekten relevant. Sie helfen zu verstehen, welche Prozessvarianten in den Anwendungssystemen zum Einsatz kommen und wie sich eine Anonymisierung auf sie auswirkt. Ebenso wichtig wie die Ausprägung von Geschäftsprozessen ist die Kommunikation zwischen Systemen. Über Schnittstellen wird der Informationsaustausch innerhalb der eigenen Systemlandschaft sowie zu externen Kommunikationspartnern gewährleistet. Bei einer Anonymisierung darf man nicht den Fehler machen, ein Anwendungssystem nur für sich zu betrachten. Es muss klar analysiert werden, welche Systeme miteinander kommunizieren und welche Daten zwischen diesen Systemen ausgetauscht werden. Wenn man etwa Daten nur in einem ERP-System anonymisiert, und Daten aus einem anderen System werden in nicht anonymisierter Form über eine Schnittstelle wieder zurückgespielt, kann die Anonymisierung bestimmter Daten unwirksam werden. Die Zeit läuft Ein Jahr ist schnell vorbei und ehe man es sich versieht, ist der 25. Mai 2018. Beginnen Sie jetzt mit den vorbereitenden Aktivitäten, die für die Umsetzung der EU-Datenschutzgrundverordnung nötig sind! Je detaillierter die Umsetzung der Kernpunkte der Verordnung vorbereitet wird, desto weniger Probleme werden entstehen, wenn es zur eigentlichen Umsetzung kommt – und desto geringer ist das Risiko hoher Strafen wegen Nichterfüllung. Beginnen Sie jetzt mit den vorbereitenden Aktivitäten, die für die Umsetzung der EU-Datenschutzgrundverordnung nötig sind! Bild: iStock 08 / 2017

In Kooperation mit SNPDatenschutz DOSSIER KOMPAKT17 «Das Top-Level ist in der Pflicht, den nötigen Druck aufzubauen» Welche Folgen hat die europäische Datenschutzgrundverordnung für Schweizer Unternehmen? Worauf müssen IT-Verantwortliche achten? Gerhard Krauss, Managing Director bei SNP Applications DACH, erklärt, worauf IT- Verantwortliche bei Systemtests achten sollten. Interview: George Sarpong Worin liegt die Brisanz der europäischen Datenschutzgrundverordnung (DSGVO) für Schweizer Unternehmen? Gerhard Krauss: Die DSGVO wird auch Auswirkungen auf Nicht- EU-Unternehmen haben. Insbesondere Unternehmen, die geschäftliche Aktivitäten in der EU respektive zur EU haben, sind davon betroffen. Dadurch wird EU-Recht auch für Schweizer Unternehmen direkt gültig. Dies ist einer der wesentlichen Gründe, wieso vor Weihnachten 2016 ein neuer Gesetzesentwurf in die Vernehmlassung geschickt wurde. Aufgrund der Dauer der Vernehmlassung und der folgenden parlamentarischen Behandlung wird es schwierig sein, das Gesetz bis zum Inkrafttreten der EU- Verordnung in der Schweiz in Kraft zu setzen. Welche Folgen wird das haben? Alle wesentlichen Änderungen, die in der DSGVO aufgenommen wurden, werden von der Schweiz übernommen. Daher sollten sich auch Schweizer Unternehmen mit der DSGVO frühzeitig auseinandersetzen. Bei der DSGVO muss der IT-Verantwortliche Recht umsetzen. Wen sollten CIOs ins Boot holen, um die Unternehmens-IT DSGVO-konform zu betreiben? Das Top-Level ist in der Pflicht, den nötigen Druck aufzubauen und Unterstützung anzubieten, um interne Regeln anzupassen, Business-Cases auszuarbeiten sowie die technische Infrastruktur bereitzustellen. Für grössere Unternehmen bietet es sich an, einen Rechtsbeistand hinzuzuziehen. Verbände könnten kleinere KMUs unterstützen. Wichtig wird sein, dass Unternehmen ihre internen Geschäfts- und administrativen Abläufe neu bewerten. Firmen sollten die genutzten Daten, beziehungsweise die Datenqualität, in der IT-Landschaft analysieren und Daten nach Relevanz sortieren. Hierbei können sicherlich externe Beratungshäuser helfen. Wie unterstützt SNP seine Kunden bei der Umsetzung der DSGVO? Unsere Services sind nicht nur darauf ausgerichtet, Unternehmen auf die Einhaltung dieser Verordnung vorzubereiten. Wir wollen zudem sicherstellen, dass die persönlichen Daten auch in Zukunft geschützt sind. « Wichtig wird sein, dass Unternehmen ihre internen Geschäfts- und administrativen Abläufe neu bewerten. » Gerhard Krauss, Managing Director bei SNP Applications DACH DIE DSGVO FORDERT SCHWEIZER FIRMEN Die revidierte EU-Datenschutz-Grundverordnung gilt ab Mai 2018. Darin wird geregelt, wie Unternehmen und Behörden mit personenbezogenen Daten umgehen sollen. Die Verordnung betrifft auch Unternehmen und Organsationen in der Schweiz: Unternehmen, die EU-Bürger beschäftigen, Spitäler, die Menschen aus dem EU-Raum versorgen oder Händler, die über ihren Webshop Kunden in Europa beliefern. Die Regelungen sind umfangreich und ziehen teils empfindliche Strafen im Millionenbereich nach sich. Rechtsexperten gehen davon aus, dass es kaum eine Behörde oder Firma schaffen wird, nicht gegen die Verordnung zu verstossen. Daher empfehlen Juristen, interne Fachgruppen zu etablieren, die sich mit der Datenhaltung und dem Datenschutz im Unternehmen befassen. Was heisst das konkret? SNP bietet massgeschneiderte Lösungen für die unterschiedlichen Phasen eines Informationsmanagement- und Anonymisierungsprojekts. Wir adressieren die spezifischen Erfordernisse und Herausforderungen mit unabhängiger Beratung und Expertise, die den Anforderungen von Sicherheitsexperten gerecht werden. Zusammen mit dem Kunden erarbeiten wir eine Anforderungsanalyse. In dieser halten wir fest, was der Kunde benötigt. Anschliessend stellen wir verschiedene Handlungsoptionen für das Unternehmen bereit. Für die gesetzlichen und regulatorischen Anforderungen kann SNP auf Spezialisten in den Bereichen Compliance und Revision zurückgreifen, was erhebliche Vorteile bei der Implementierung von DSGVO bietet. www.netzwoche.ch © netzmedien ag 08 / 2017

Archiv