DSGVO-konform: So findet der Handel aus dem Dilemma heraus

Laut einer Umfrage des Softwareherstellers TeamDrive haben 80 Prozent der deutschen Unternehmen die Datenschutz-Grundverordnung (DSGVO) nur mangelhaft oder unvollständig umgesetzt. Und wie der Studie DSGVO-Index des Marktforschungsunternehmens techconsult zu entnehmen ist, haben 18 Prozent der 259 befragten Unternehmen in Deutschland noch nicht angefangen, die Inhalte der DSGVO umzusetzen. Laut dieser Studie sind 27 Prozent der Handelsunternehmen noch nicht DSGVO-konform.

Angesichts der Tatsache, dass Handelsunternehmen naturgemäß mehr personenbezogene Daten speichern, als Unternehmen aus anderen Branchen, ist diese Erkenntnis besorgniserregend. Andererseits kann dieses Ergebnis kaum überraschen. Gerade mittelständische Unternehmen stehen in technischer, organisatorischer und finanzieller Hinsicht großen Herausforderungen gegenüber. Denn hinsichtlich des Schutzes personenbezogener Daten sind eine Menge an Vorgaben zu erfüllen, die so manches Unternehmen an den Rand seiner personellen und finanziellen Leistungsfähigkeit bringen dürfte.

DSGVO-konform: Hilfe durch Automatisierung

Einen Ausweg bieten hier automatisierte Systeme. Viele DSGVO-Prinzipien können mit ihnen abgedeckt werden. So kann ein Endpoint-Managementsystem bei der Compliance von Betriebssystemen helfen, indem PCs automatisch mit der richtigen Version bestückt werden. Auch unternehmensspezifische Datenschutzanforderungen, etwa die Deaktivierung von Funktionen oder das Nicht-Senden von Nutzungsstatistiken, können automatisiert berücksichtigt werden.

Dasselbe gilt für die Compliance von mobilen Apps. Unsichere Apps sollten auf einem geschäftlich genutzten mobilen Endgerät grundsätzlich nicht verwendet werden. Hier kann ein Mobile Application Management die Einhaltung der Compliance-Regeln unterstützten. Damit können Administratoren über ein Black- und Whitelisting im festlegen, welche Apps verwendet werden dürfen. Die Steuerung kann auch noch granularer erfolgen, indem sogar die App-Einstellungen vom Administrator vorgegeben werden.

DSGVO-konform: dienstliche und private Bereiche trennen

Bei der gemischten – also privaten und dienstlichen – Verwendung von mobilen Endgeräten müssen Unternehmen darauf achten, dass sich diese zwei Bereiche nicht überschneiden und getrennt voneinander gehalten werden. Schließlich haben Kundendaten der eigenen Firma nichts in den privat genutzten Apps zu suchen. Simples Sperren von Apps auf Basis einer Whitelist ist dabei kein Allheilmittel, da so die Funktionalität für den privaten Bereich massiv beeinträchtigt wird. Oft werden hierfür stattdessen Container-Lösungen eingesetzt. Hier befinden sich die dienstlichen Daten bei privaten Endgeräten in einer separaten, abgeschlossenen Zone, bei privat mitgenutzten dienstlichen Geräten verhält es sich umgekehrt.

Doch diese Lösung ist langfristig nicht effizient, da Container zusätzlich zum eigentlichen Betriebssystem des Endgeräts verwaltet werden müssen. Es empfiehlt sich, eine Lösung zu wählen, bei der die Trennung zwischen privaten und dienstlichen Bereichen nicht zusätzlich installiert werden muss. Unternehmen sollten daher auf Lösungen zurückgreifen, die die bereits vorhandenen Möglichkeiten von Android und iOS unterstützen.

DSGVO-Compliance wirksam einhalten

Automatisierte Systeme versehen jedoch auch bei der Einhaltung der in der DSGVO explizit formulierten Anforderungen ihre Dienste. So ist nach Artikel 32 Absatz 1a die Verschlüsselung personenbezogener Daten verpflichtend. Hier kann eine Datei- und Datenträgerverschlüsselung sowohl Festplatten als auch mobile Endgeräte beziehungsweise einzelne Dateien nach einem zertifizierten Verfahren verschlüsseln. Ein automatisiertes Schwachstellen Management führt die in Artikel 32 Absatz 1d geforderte Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen durch.

Inventarisierungs-Tools können die in Artikel 5 geforderte „Richtigkeit“ sicherstellen: Denn nach dieser müssen alle Infrastrukturdaten möglichst aktuell verfügbar sein, um notwendige Administrationsmaßnahmen zum Schutz der Infrastruktur zu ermöglichen. Schließlich ist die IT ab einer bestimmten Unternehmensgröße einfach zu komplex, um sie noch manuell erfassen zu können. Hinzu kommt, dass sich der Status ständig ändert, so dass die Administratoren – wenn sie einmal den aktuellen Stand erfasst haben – bereits mit veralteten Informationen arbeiten.

DSGVO-konforme Systeme vermeiden Geldbußen

Automatisierte Managementsysteme sind für jedes – aber insbesondere für mittelständische – Unternehmen deswegen so interessant, weil sie mit Einhaltung der DSGVO-Compliance im Falle eines Datenlecks nachweisen können, dass sie ihrer Sorgfaltspflicht stets entsprochen haben. Sollten sie dies nicht können, sind die Konsequenzen möglicherweise gravierend. Bis zu 20 Millionen Euro oder vier Prozent des Bruttojahresumsatzes können bei Fehlverhalten fällig werden.

Neben der Sicherstellung der Compliance kommt aber auch ein anderer wichtiger Aspekt hinzu. Ein Managementsystem entlastet Administratoren von Routineaufgaben. Dadurch entfallen Fehlerquellen, die bei der manuellen Bearbeitung anfallen. So können mit einer Automatisierung keine Risikofaktoren mehr übersehen werden. Eine Entlastung der Administratoren ist angesichts des derzeitigen Expertenmangels ohnehin geboten, sind diese doch häufig auch mit umsatzrelevanten Aufgaben beschäftigt. So gesehen, ist die Anschaffung eines Management- und Dokumentationssystems im ureigensten Interesse jeder Unternehmensführung, um DSGVO-konform aufgestellt zu sein.

Quelle: BaramundiQuelle: Baramundi

Über den Autor: Robert Klinger ist Produktmanager bei der baramundi software AG. Zu Beginn seiner Laufbahn war der diplomierte Wirtschaftsinformatiker als Entwickler im Bereich Software-Consulting tätig, bevor er ins Produktmanagement wechselte. Schwerpunktmäßig ist er bei der baramundi software AG für die Themen Unified Endpoint Management (UEM), „Clouding“ und „Unclouding“ bestehender UEM-Komponenten verantwortlich sowie für den Einsatz der baramundi Management Suite für die Einhaltung von Compliance sowie Datenschutzrichtlinien. (sg)

Lesen Sie auch das Kommentar zur DSGVO: Neue Risiken für den Datenschutz