2. GDPR Advent:
GDPR by Design

In diesem Beitrag geht es um die Realisierung der Datenschutzgrundverordnung by Design, also wie wir die Datenschutzanforderungen im Unternehmen automatisch verinnerlichen können. Das Thema gehe ich folgendermaßen an:

  • Ein Alptraum für viele Firmen…
  • Begriffsdefinition
  • In drei Schritten zu GDPR by Design
    1. Planen
    2. Standardisieren
    3. Automatisieren
  • Zusammenfassung

 

Ein Alptraum für viele Firmen…

„Bitte senden Sie mir eine Kopie über meine persönlichen Daten, die Sie haben oder verarbeiten.“

„Bitte bestätigen Sie mir, ob Sie persönliche Daten von mir verarbeiten oder nicht. Falls ja, nennen Sie mir bitte die Kategorien personenbezogener Daten, von denen Sie Daten von mir besitzen. Sagen Sie mir bitte ganz speziell, was Sie über mich in Ihren Informationssystemen wissen, egal ob gespeichert in Datenbanken, Emails, Dokumenten, als Sprache oder anderen Formen von Media.“

„Bitte stellen Sie mir eine Liste von allen Drittanbieterlösungen zur Verfügung, mit denen Sie (vermutlich) meine persönlichen Daten geteilt haben. Außerdem, ich würde gern wissen, welche Sicherheitsmaßnahmen Sie für diese Drittanbieterlösungen einsetzen, um den Transfer meiner persönlichen Daten zu überwachen.“

Wie liest sich das für euch? Seit ihr vorbereitet? Wisst ihr, wie ihr diese Anfragen abarbeiten könnt? Ganz egal, ob Cloud oder On-Premises, das wird auf uns zukommen und wird weitreichende Anpassungen erfordern. Also, wie bereiten wir uns nun darauf vor, um GDPR by Design in unserem Unternehmen etablieren zu können?

 

Begriffsdefinition:

Der weit verbreitete Begriff „Privacy by Design and by Default“ (übrigens ist dies Artikel 25 des GDPR), sollte in diesem Kontext erweitert werden zu GDPR by Design. Gemeint ist damit, dass alles Neue grundsätzliche die Privatsphäre und GDPR Anforderungen standardmäßig verinnerlichen sollte.

Beispielsweise berücksichtigen neue Produkte das Speichern möglicher personenbezogener Daten und weisen in der Produktbeschreibung leicht und verständlich darauf hin. Neue Projekte und dazu mögliche Webseitensammlungen, Groups, Teams müssen „verschlagwortet“ werden, Dokumente getaggt und überwacht werden. Nur wenn von der ersten Sekunde eines z.B. neuen Projekts die Grundsätze der GDPR berücksichtigt werden, können obige Anfragen leicht und ohne großen Aufwand bearbeitet werden.

Wichtig sind in diesem Zusammenhang die Begriffsbestimmung und das Verständnis, was personenbezogene Daten sind.

„Personenbezogene Daten“ [bezeichnen] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. (GDPR, Artikel 4)

Hier sind ein paar Beispiele zu den genannten Kategorien personenbezogener Daten:

  • Städtenamen
  • Namen von Regionen
  • Geburtsdatum Schlüsselwort oder DD/MM/YYYY
  • Telefonnummern
  • Email-Adressen
  • Gesundheitsüberprüfungen / Krankheiten
  • Kriminalfälle / kriminelle Verurteilungen
  • IP Adressen
  • Philosophischer, religiöser und politischer Glauben
  • Ethnische Herkunft
  • Sexuelle Orientierung
  • Zugehörigkeit zu einer Gewerkschaft

 

In drei Schritten zu GDPR by Design:

Bevor wir Software zur Unterstützung anwenden können, müssen wir zunächst Prozesse und Richtlinien definieren. Dies empfehle ich in drei Schritten:

GDPR by Design in three steps

  1. Planen:

Wie bereits oben erwähnt, muss Datenschutz von Anfang an gelebt werden. Das heißt, dass für jede Abteilung, jedes Projekt, jedes Produkt usw. die Grundsätze der GDPR angewendet werden müssen. Entwickeln Sie also Prozesse, um die notwendigen Informationen abzufragen.

Weitere Ressourcen, was berücksichtigt werden muss, finden wir im Microsoft Trust Center. Dort hat Microsoft viele Dokumente zum Thema GDPR zusammen getragen.

  1. Standardisieren:

Wenn wir uns das Wissen angeeignet haben, was denn nun abgefragt und geprüft werden muss, dann sollte dies standardisiert werden, damit wir nicht bei jedem Projekt von Neuem mit der Recherche beginnen müssen. Diese Standardisierung wird gleichermaßen Management, Administratoren und Endanwendern Sicherheit geben, dass Ihr Unternehmen auf dem richtigen Weg ist bzw. die Anforderungen bereits sauber umsetzt.

Ich möchte euch nun zwei mögliche Ansätze vorstellen, die euch bei Punkt eins unterstützen und gleichzeitig eine Standardisierung realisieren:

(Detailliertes) GDPR Assessment

Dieses Assessment ist ein Set von Fragen, welche die Kategorien DiscoverManageProtectReport abdecken. Basierend auf den Antworten erhält man dann ein Ergebnis, wie „reif“ das Unternehmen für GDPR ist.

GDPR Assessment Tool

Ziel dieser und aller anderen Assessments ist es, die Erfahrungskurve durch Schulungen und Standardisierung zu erhöhen.

GDPR Maturity Curve

Sowohl der kurze Online Test (26 Fragen) als auch das umfangreichere detaillierte GDPR Assessment (Link zum Download) in der „On-Premises“ Version bieten eine gute Unterstützung, um GDPR by Design zu leben und Prozesse und Anforderungen zu standardisieren.

Compliance Center

Dieses brandneue Tool wurde stark ge-hyped und Firmen dachten, dies ist der heilige Gral zur GDPR Compliance. Das Tool stellt sehr übersichtlich dar, welche GDPR Anforderungen seitens Microsoft in Office 365 erfüllt werden, und welche Anforderungen noch vom Datenbesitzer, also der Firma, umgesetzt werden müssen.

Microsoft Compliance Center GDPR

Leider ist auch dies auch nur ein Assessment und meiner Meinung nach die professionelle Version des obigen GDPR Assessment Tools. So sind beispielsweise sehr schön die Anforderungen der einzelnen GDPR Artikel dargestellt. Je Anforderung kann man einzelne Aufgaben an Mitarbeiter zuweisen, den Fortschritt verfolgen und am Ende die erfolgreiche Umsetzung festhalten. Sollten Anforderungen nicht vollständig implementiert werden, jedoch das Risiko der Nichterfüllung als gering eingeschätzt wird, so kann man auch dies festhalten. Dies ist also wirklich eine sehr gute Standardisierung, um GDPR by Design zu leben.

Demo Video: https://youtu.be/-ScjtTIOnQs

Letztendlich ist dieses Compliance Center aber nur eine Zusammenfassung an Anforderungen, die es zu erfüllen gilt. Die notwendigen Aufgaben müssen aber immer noch selbst erledigt werden – und dabei hilft das Center nicht.

  1. Automatisieren:

Um den Datenschutz GDPR by Design ganzheitlicher zu realisieren, müssen Prozesse and Standards automatisiert werden. Dies dient nicht nur der Sicherheit durch Eliminierung menschlicher Fehler, sondern spart auch Zeit.

Also nicht nur verpflichtende Umfragen zu Beginn von Projekten, sondern auch regelmäßig Wiederkehrende Überprüfungen sind notwendig, um sicherzustellen, dass meine Daten da liegen, wo sie sein sollen und wir einen Überblick behalten, wo personenbezogene Daten gespeichert und verarbeitet werden.

Ein kostenloses Tool für diese Anwendung ist das Privacy Impact Assessment (PIA) von der Firma AvePoint in Zusammenarbeit mit der IAPP (International Association of Privacy Professionals).

PIA for GDPR

Dieses Projekt wird von einer Privacy Community ständig erweitert und so existieren bereits viele verschiedene Fragenkataloge. Ähnlich wie beim Compliance Center können Aufgaben zugewiesen und verfolgt werden. Es können jedoch zusätzliche Fragen und Anforderungen eingespielt, Abfragen automatisiert und Risikobewertungen angepasst werden.

Basierend auf diesen Fragenkatalogen können dann übersichtliche „Datenkarten“ erstellt werden, die Aufschluss darüber geben, wo welche personenbezogenen Daten gespeichert werden. Dies ist eine wichtige Errungenschaft für die Dokumentations- und Auskunftspflichten der GDPR.

GDPR Data Map

Die Informationen aus den PIA Fragenkatalogen können noch weiter aufgebohrt werden, sodass auch sogenannte Data Flows visualisiert werden können. Dies zeigt somit wo personenbezogene Daten verarbeitet werden und welche Anwendungen bzw. Drittanbieterlösungen dies tun.

GDPR Data Process Flow

Diese letzten beiden Screenshots sind eine kostenpflichtige Erweiterung des PIA Tools.

Zusammenfassung:

Um GDPR in unserem Unternehmen leben zu können, können wir uns nicht nur auf Software verlassen. Wir müssen auch den operationellen Teil planen, standardisieren und automatisieren. Für die ersten beiden Schritte unterstützt uns Microsoft vorbildlich mit Dokumenten, Informationen und Assessment Tools sowie dem neuen Compliance Center. Für eine Automatisierung können wir auf andere kostenlose Tools zurückgreifen.

Es gibt weitere interessante Ideen, wie man GDPR in der Unternehmenskultur verankern kann. Denn wie im 1. Advent geschrieben, alle müssen enger zusammenrücken und jeder einzelne Mitarbeiter muss „compliant denken“. Die Firma Veritas hat dazu kürzlich eine schöne Infografik veröffentlicht mit Statistiken und der kulturellen Komponente für GDPR by Design.

Infografik:
https://www.veritas.com/content/dam/Veritas/docs/infographics/gdpr-infographic-ch3-en.pdf

Wir sehen, GDPR Compliance muss erst mal nicht teuer sein (ohne Man-Power). Dieser operationelle Teil gibt einen wichtigen Rahmen für Prozesse und das Gesamtbild vor. Er hilft uns jedoch nur sehr eingeschränkt beim Scannen bestehender Datenbestände, sowie dem Überwachen, Handeln und Protokollieren der Daten selbst.

Auch dafür hat uns Microsoft Werkzeuge in die Hand gegeben, die wir uns in den nächsten beiden Advents-Sonntagen anschauen werden. Bis dahin viel Spaß beim Ausprobieren oben genannter Tools.

Happy „SharePointing“!

———-

Weitere GDPR-Advent-Themen:

  1. Wissens-Check, was ist und bringt die EU-DSGVO
  2. GDPR by Design
  3. Identifikation der Daten
  4. Überwachen, handeln und Protokollieren

 

1. GDPR Advent
Fakten-Check, was ist und bringt die EU-DSGVO

Auch in diesem Jahr möchte ich euch die Wartezeit auf Weihnachten etwas verkürzen. Aus aktuellem Anlass schauen wir uns dieses Jahr die EU-Datenschutzgrundverordnung an oder kurz die EU-DSGVO oder Englisch EU-GDPR (General Data Protection Regulation).

Das Thema möchte ich auf jeden Adventssonntag aufteilen und zwar folgendermaßen:

  1. Wissens-Check, was ist und bringt die EU-DSGVO
  2. GDPR by Design
  3. Identifikation der Daten
  4. Überwachen, handeln und Protokollieren

Da die Zeit drängt, bis das Gesetzt scharf geschaltet wird, ist mein Ziel, dass ihr euch am Ende dieser Reihe gut aufgestellt fühlt, um euer Unternehmen mit Microsoft’s Lösungen bestens vorzubereiten.

 

Security is Sexy:

Dieses Jahr feierten wir das 2. Jubiläum von Windows 10. Ungefähr 20 Jahre zuvor, feierten wir noch das 2. Jubiläum von Windows 95. Das war eine Zeit, in der Computer Spezialisten cool wurden, weil Microsoft’s Strategie, auf jeden Schreibtisch einen Computer zu stellen, richtig Fahrt aufgenommen hatte. Jedoch lag der Fokus auf Benutzerfreundlichkeit und nur wirkliche Nerds beschäftigten sich unter dem Radar mit IT Sicherheit.

Heute sind aus diesen Nerds Geeks geworden und sie sind Spezialisten im Bereich Sicherheit. Vielleicht tragen sie mittlerweile sogar einen Anzug, weil sie eventuell sogar in der Führungsetage großer Unternehmen sitzen. Dies ist eine wichtige Tatsache, denn IT Administratoren stehen nicht länger allein in der Verantwortung, wenn es um Compliance (Datenschutz) und IT Sicherheit geht. Die Verantwortung wurde auf die Geschäftsführung übertragen.

Dies bedeutet jedoch nicht, dass Sicherheit nur ein Management Thema ist. Generell müssen nun alle viel enger bei diesem Thema zusammen arbeiten. Aber man kann heutzutage wirklich mit jedem über IT Sicherheit sprechen, von Top-Managern bis hin zu Endbenutzern. In der Ära von BYOD (Bring your own Device) sind Unternehmen besorgt über Ihre Unternehmensdaten, während auch Endbenutzer besorgt sind über ihre persönlichen Daten. Folglich, wo auch immer du bist und mit wem du sprichst, du findest immer spannende Geschichten über IT Sicherheit. Oder einfach gesagt: Security is sexy!

 

EU-DSGVO (GDPR) – Faktencheck:

Diese Entwicklung der IT Kernthemen sowie die EU-DSGVO machen deutlich, was der zentrale Punkt der IT Sicherheit ist: DATEN! Firmen wie Soziale Netzwerke basieren auf Daten ihrer Nutzer. Auch in jeder anderen Firma sind Daten mittlerweile zum entscheidenden Wettbewerbsvorteil geworden.

Damit nun der „kleine Mann“ im Geflecht mit den großen Konzernen nicht die Kontrolle über seine wertvollen personenbezogenen Daten verliert, unterstützt ihn dabei die EU-DSGVO und reguliert die Aufbewahrung und Verarbeitung. Grundsätzlich ist dies ein Verbotsgesetzt mit Erlaubnisvorbehalt, das heißt, dass erst mal alles mit personenbezogenen Daten verboten ist, das Gesetz regelt jedoch, wann, wie und wo man doch diese Daten speichern und verarbeiten kann.

Ein kleiner Faktencheck zu dieser Verordnung:

  • Am 4. Mai 2016 im EU-Amtsblatt veröffentlicht
  • 20 Tage später in Kraft getreten
  • Ab 25. Mai 2018 anwendbar für Unternehmen und Behörden, die mit personenbezogenen Daten von EU-Bürgern arbeiten, nicht mehr nur Firmen, die einen Sitz in der EU haben
  • 99 Artikel und 173 Erwägungsgründe
  • Stärkere Nutzerrechte
    • Leichterer Zugang zu persönlichen Daten
    • Klar und leicht verständlich: wer hat welche Daten zu welchem Zweck wie und wo verarbeitet (und ob sie gehackt wurden – dies hätte Uber aus aktuellem Anlass sehr teuer werden können
    • Stärkeres Recht auf Vergessen
  • Einwilligung in Datenverarbeitung erst ab 16 (das wird interessant für Facebook…)
  • Höhere Bußgelder möglich
    GDPR-Strafen

Besonders die Regelungen zu den Nutzerrechten stellen uns vor ganz neue Herausforderungen – besonders bei historisch gewachsenen Altsystemen, wie FileShares, weil zur Einführung garantiert niemand daran gedacht hat zu notieren, wo welche Daten liegen und ob sie personenbezogen sind. Das Gesetz hat aber Passagen, die nicht so eindeutig sind und im Vergleich zum deutschen Bundesdatenschutzgesetz verwässern bzw. einen Rückschritt bedeuten.

Vor- und Nachteile:

GDPR-Pro-und-Contra

So stark die Zweckgebundenheit auch klingt, es wird Firmen und Behörden leicht gemacht, diese in Anspruch zu nehmen und somit Daten anders zu verarbeiten, als ursprünglich geplant.

Auch der Datenschutzbeauftragte ist leider nur für wenige Unternehmen Pflicht. Glücklicherweise ist das Thema GDPR sehr präsent bei Industrie und Verbrauchern, sodass ein GDPR kompatibler Umgang mit personenbezogenen Daten wirklich ein Markenzeichen ist, wenn auch keine direkten finanziellen Vorteile mehr damit verbunden sind. Schon heute merken wir ja bereits Anfragen von Kunden, ob denn diese Software die Daten auch GDPR-konform verarbeitet. Die Firmen, welche diese Standards also vorweisen können, werden einen Wettbewerbsvorteil haben.

Um diese Standards nun einhalten zu können, kommen einige zusätzlichen Aufgaben auf uns zu.

Anforderungen:

GDPR-Anforderungen

In Bezug auf die Informationspflichten sowie das gestärkte Recht auf Vergessen, also das Löschen von Daten, sind Ausnahmen vorgesehen. So gibt es unter anderem keine Pflicht zur Auskunft bzw. Löschung, wenn:

  • Geheimhaltungspflicht besteht
  • die Speicherung für die Datensicherheit und der Datenschutzkontrolle notwendig ist
  • die Auskunft einen unverhältnismäßigen Aufwand erfordern würde
  • eine weitere Verarbeitung der Daten mit geeigneten technischen und organisatorischen Mitteln ausgeschlossen ist
  • Daten aufgrund gesetzlicher oder satzungsgemäßer Aufbewahrungsvorschriften nicht gelöscht werden dürfen

Diese Ausnahmen betreffen unter anderem Backup-Systeme. Meiner Meinung nach ist es wichtig, dass man in diesen Punkten „die Kirche im Dorf lässt“. Stellen wir uns nur mal vor, was es bedeuten würde, einzelne Daten aus langjährigen Backups zu löschen…

Ausblick und Denkanstöße:

Dennoch keine Frage, dies sind die weitreichendste Datenschutzrichtlinien weltweit. Aus einer Umfrage zur EU-DSGVO möchte ich euch einen Auszug zeigen, der deutlich beschreibt, wie teilnehmende Firmen dieser Umfrage über die Zukunft mit dieser Regelung denken:

Welchen Einfluss hat die neue EU-DSGVO für Ihr Unternehmen?

  • 52%: Unser Unternehmen wird vermutlich Strafen zahlen müssen.
  • 2/3: Wir erwarten dadurch Änderungen in unserer Europa-Strategie.

Würden Sie mehr in Datenschutz investieren?

  • 55%: Wir planen zusätzliche Mitarbeiter-Trainings.
  • 53%: Wir werden uns mit zusätzlichen Technologien vorbereiten.

Ich persönlich habe das Gefühl, es herrscht eine Mischung aus Panik und Gelassenheit. Das Thema scheint irgendwie zu groß, als dass man es anpacken möchte. Besonders weil ein unglaublich hoher Aufwand damit zusammen hängt, nun endlich wissen zu müssen, was denn alles so für Daten in meinem Unternehmen liegen und ob sie GDPR relevant sind.

Um diese Anforderungen erfüllen zu können, müssen wir unsere Datenverarbeitungssysteme entscheidend umstellen. So gilt es z.B. neue Begriffe und Definitionen zu kennen und umzusetzen. Außerdem, was sind eigentlich alles personenbezogene Daten? Die Antworten auf diese Fragen und wie wir nun unser Unternehmen auf diese neuen Anforderungen optimal vorbereiten können, erfahrt ihr am 2. Advent.

Nicki Borell hat außerdem das Thema in einem sehr schönen White Paper von rechtlicher Seite beleuchtet. Wer damit weiter ins Detail gehen möchte, findet den Englischen und Deutschen Download Link hier:
http://www.sharepointtalk.net/2017/11/gdprdsgvo-field-guide-for-office-365.html

Den original Gesetzestext gibt es im Internet hier:
http://www.privacy-regulation.eu/en/index.htm (English)http://www.privacy-regulation.eu/de/index.htm (Deutsch)

Bis zum zweiten Advent möchte ich euch gern noch zwei Aussagen zur Diskussion im Kommentar überlassen:

  1. „Das ist der Grund, warum ich mit On-Premises Lösungen für fast alles [in Europa] gehe. Ich versuche fast jedes Stückchen Daten aus der Cloud raus zu halten, einfach weil niemand weiß, wohin sich die Regulierung in den nächsten Jahren entwickeln wird.“
  2. „Wir müssen vielleicht in Betracht ziehen, unsere dot-com Website wieder auf EU-Servern zu hosten, um komplett sicher zu stellen, dass wir compliant sind. Die Alternative ist, in eine Compliance Lösung zu investieren, aber diese wird auch signifikante Kosten haben.

Was meint ihr, sind diese Aussagen richtig, falsch, sinnvoll, abwägig … ?

Happy „SharePointing“!