2. GDPR Advent:
GDPR by Design

In diesem Beitrag geht es um die Realisierung der Datenschutzgrundverordnung by Design, also wie wir die Datenschutzanforderungen im Unternehmen automatisch verinnerlichen können. Das Thema gehe ich folgendermaßen an:

• Ein Alptraum für viele Firmen…
• Begriffsdefinition
• In drei Schritten zu GDPR by Design
  1. Planen
  2. Standardisieren
  3. Automatisieren
• Zusammenfassung

 

Ein Alptraum für viele Firmen…

„Bitte senden Sie mir eine Kopie über meine persönlichen Daten, die Sie haben oder verarbeiten.“

„Bitte bestätigen Sie mir, ob Sie persönliche Daten von mir verarbeiten oder nicht. Falls ja, nennen Sie mir bitte die Kategorien personenbezogener Daten, von denen Sie Daten von mir besitzen. Sagen Sie mir bitte ganz speziell, was Sie über mich in Ihren Informationssystemen wissen, egal ob gespeichert in Datenbanken, Emails, Dokumenten, als Sprache oder anderen Formen von Media.“

„Bitte stellen Sie mir eine Liste von allen Drittanbieterlösungen zur Verfügung, mit denen Sie (vermutlich) meine persönlichen Daten geteilt haben. Außerdem, ich würde gern wissen, welche Sicherheitsmaßnahmen Sie für diese Drittanbieterlösungen einsetzen, um den Transfer meiner persönlichen Daten zu überwachen.“

Wie liest sich das für euch? Seit ihr vorbereitet? Wisst ihr, wie ihr diese Anfragen abarbeiten könnt? Ganz egal, ob Cloud oder On-Premises, das wird auf uns zukommen und wird weitreichende Anpassungen erfordern. Also, wie bereiten wir uns nun darauf vor, um GDPR by Design in unserem Unternehmen etablieren zu können?

 

Begriffsdefinition:

Der weit verbreitete Begriff „Privacy by Design and by Default“ (übrigens ist dies Artikel 25 des GDPR), sollte in diesem Kontext erweitert werden zu GDPR by Design. Gemeint ist damit, dass alles Neue grundsätzliche die Privatsphäre und GDPR Anforderungen standardmäßig verinnerlichen sollte.

Beispielsweise berücksichtigen neue Produkte das Speichern möglicher personenbezogener Daten und weisen in der Produktbeschreibung leicht und verständlich darauf hin. Neue Projekte und dazu mögliche Webseitensammlungen, Groups, Teams müssen „verschlagwortet“ werden, Dokumente getaggt und überwacht werden. Nur wenn von der ersten Sekunde eines z.B. neuen Projekts die Grundsätze der GDPR berücksichtigt werden, können obige Anfragen leicht und ohne großen Aufwand bearbeitet werden.

Wichtig sind in diesem Zusammenhang die Begriffsbestimmung und das Verständnis, was personenbezogene Daten sind.

„Personenbezogene Daten“ [bezeichnen] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. (GDPR, Artikel 4)

Hier sind ein paar Beispiele zu den genannten Kategorien personenbezogener Daten:

• Städtenamen
• Namen von Regionen
• Geburtsdatum Schlüsselwort oder DD/MM/YYYY
• Telefonnummern
• Email-Adressen
• Gesundheitsüberprüfungen / Krankheiten
• Kriminalfälle / kriminelle Verurteilungen
• IP Adressen
• Philosophischer, religiöser und politischer Glauben
• Ethnische Herkunft
• Sexuelle Orientierung
• Zugehörigkeit zu einer Gewerkschaft
• …

 

In drei Schritten zu GDPR by Design:

Bevor wir Software zur Unterstützung anwenden können, müssen wir zunächst Prozesse und Richtlinien definieren. Dies empfehle ich in drei Schritten:

1. Planen:

Wie bereits oben erwähnt, muss Datenschutz von Anfang an gelebt werden. Das heißt, dass für jede Abteilung, jedes Projekt, jedes Produkt usw. die Grundsätze der GDPR angewendet werden müssen. Entwickeln Sie also Prozesse, um die notwendigen Informationen abzufragen.

Weitere Ressourcen, was berücksichtigt werden muss, finden wir im Microsoft Trust Center. Dort hat Microsoft viele Dokumente zum Thema GDPR zusammen getragen.

2. Standardisieren:

Wenn wir uns das Wissen angeeignet haben, was denn nun abgefragt und geprüft werden muss, dann sollte dies standardisiert werden, damit wir nicht bei jedem Projekt von Neuem mit der Recherche beginnen müssen. Diese Standardisierung wird gleichermaßen Management, Administratoren und Endanwendern Sicherheit geben, dass Ihr Unternehmen auf dem richtigen Weg ist bzw. die Anforderungen bereits sauber umsetzt.

Ich möchte euch nun zwei mögliche Ansätze vorstellen, die euch bei Punkt eins unterstützen und gleichzeitig eine Standardisierung realisieren:

(Detailliertes) GDPR Assessment

Dieses Assessment ist ein Set von Fragen, welche die Kategorien Discover – Manage – Protect – Report abdecken. Basierend auf den Antworten erhält man dann ein Ergebnis, wie „reif“ das Unternehmen für GDPR ist.

Ziel dieser und aller anderen Assessments ist es, die Erfahrungskurve durch Schulungen und Standardisierung zu erhöhen.

Sowohl der kurze Online Test (26 Fragen) als auch das umfangreichere detaillierte GDPR Assessment (Link zum Download) in der „On-Premises“ Version bieten eine gute Unterstützung, um GDPR by Design zu leben und Prozesse und Anforderungen zu standardisieren.

Compliance Manager

Dieses brandneue Tool wurde stark ge-hyped und Firmen dachten, dies ist der heilige Gral zur GDPR Compliance. Das Tool stellt sehr übersichtlich dar, welche GDPR Anforderungen seitens Microsoft in Office 365 erfüllt werden, und welche Anforderungen noch vom Datenbesitzer, also der Firma, umgesetzt werden müssen.

Leider ist auch dies auch nur ein Assessment und meiner Meinung nach die professionelle Version des obigen GDPR Assessment Tools. So sind beispielsweise sehr schön die Anforderungen der einzelnen GDPR Artikel dargestellt. Je Anforderung kann man einzelne Aufgaben an Mitarbeiter zuweisen, den Fortschritt verfolgen und am Ende die erfolgreiche Umsetzung festhalten. Sollten Anforderungen nicht vollständig implementiert werden, jedoch das Risiko der Nichterfüllung als gering eingeschätzt wird, so kann man auch dies festhalten. Dies ist also wirklich eine sehr gute Standardisierung, um GDPR by Design zu leben.

Demo Video: https://youtu.be/-ScjtTIOnQs

Letztendlich ist dieser Compliance Manager aber nur eine Zusammenfassung an Anforderungen, die es zu erfüllen gilt. Die notwendigen Aufgaben müssen aber immer noch selbst erledigt werden – und dabei hilft das Center nicht.

3. Automatisieren:

Um den Datenschutz GDPR by Design ganzheitlicher zu realisieren, müssen Prozesse and Standards automatisiert werden. Dies dient nicht nur der Sicherheit durch Eliminierung menschlicher Fehler, sondern spart auch Zeit.

Also nicht nur verpflichtende Umfragen zu Beginn von Projekten, sondern auch regelmäßig Wiederkehrende Überprüfungen sind notwendig, um sicherzustellen, dass meine Daten da liegen, wo sie sein sollen und wir einen Überblick behalten, wo personenbezogene Daten gespeichert und verarbeitet werden.

Ein kostenloses Tool für diese Anwendung ist das Privacy Impact Assessment (PIA) von der Firma AvePoint in Zusammenarbeit mit der IAPP (International Association of Privacy Professionals).

Dieses Projekt wird von einer Privacy Community ständig erweitert und so existieren bereits viele verschiedene Fragenkataloge. Ähnlich wie beim Compliance Center können Aufgaben zugewiesen und verfolgt werden. Es können jedoch zusätzliche Fragen und Anforderungen eingespielt, Abfragen automatisiert und Risikobewertungen angepasst werden.

Basierend auf diesen Fragenkatalogen können dann übersichtliche „Datenkarten“ erstellt werden, die Aufschluss darüber geben, wo welche personenbezogenen Daten gespeichert werden. Dies ist eine wichtige Errungenschaft für die Dokumentations- und Auskunftspflichten der GDPR.

Die Informationen aus den PIA Fragenkatalogen können noch weiter aufgebohrt werden, sodass auch sogenannte Data Flows visualisiert werden können. Dies zeigt somit wo personenbezogene Daten verarbeitet werden und welche Anwendungen bzw. Drittanbieterlösungen dies tun.

Diese letzten beiden Screenshots sind eine kostenpflichtige Erweiterung des PIA Tools.

Zusammenfassung:

Um GDPR in unserem Unternehmen leben zu können, können wir uns nicht nur auf Software verlassen. Wir müssen auch den operationellen Teil planen, standardisieren und automatisieren. Für die ersten beiden Schritte unterstützt uns Microsoft vorbildlich mit Dokumenten, Informationen und Assessment Tools sowie dem neuen Compliance Center. Für eine Automatisierung können wir auf andere kostenlose Tools zurückgreifen.

Es gibt weitere interessante Ideen, wie man GDPR in der Unternehmenskultur verankern kann. Denn wie im 1. Advent geschrieben, alle müssen enger zusammenrücken und jeder einzelne Mitarbeiter muss „compliant denken“. Die Firma Veritas hat dazu kürzlich eine schöne Infografik veröffentlicht mit Statistiken und der kulturellen Komponente für GDPR by Design.

Infografik:
https://www.veritas.com/content/dam/Veritas/docs/infographics/gdpr-infographic-ch3-en.pdf

Wir sehen, GDPR Compliance muss erst mal nicht teuer sein (ohne Man-Power). Dieser operationelle Teil gibt einen wichtigen Rahmen für Prozesse und das Gesamtbild vor. Er hilft uns jedoch nur sehr eingeschränkt beim Scannen bestehender Datenbestände, sowie dem Überwachen, Handeln und Protokollieren der Daten selbst.

Auch dafür hat uns Microsoft Werkzeuge in die Hand gegeben, die wir uns in den nächsten beiden Advents-Sonntagen anschauen werden. Bis dahin viel Spaß beim Ausprobieren oben genannter Tools.

Happy „SharePointing“!

———-

Weitere GDPR-Advent-Themen:

1. Wissens-Check, was ist und bringt die EU-DSGVO
2. GDPR by Design
3. Identifikation der Daten
4. Überwachen, handeln und Protokollieren