DSGVO-Compliance-Software

Die DSGVO ist die im Mai 2018 in Kraft getretene Datenschutz-Grundverordnung der Europäischen Union. Die DSGVO garantiert den EU-Bürgern den Schutz ihrer Daten und ihrer Privatsphäre. Sie legt fest, wie Unternehmen mit personenbezogenen Daten umgehen und welche Sicherheitssysteme und ‑protokolle sie verwenden. Alle Unternehmen, die Waren oder Dienstleistungen an EU-Bürger vermarkten, müssen die Vorschriften der DSGVO einhalten, um keine Bußgelder zahlen zu müssen, und zwar unabhängig davon, ob sie selbst in der EU ansässig sind.

Für Unternehmen und Einzelpersonen, die in der EU tätig sind, umfasst die DSGVO-Compliance drei Hauptelemente:

1. Die Erfassung personenbezogener Daten wie Namen, E-Mail-Adressen und IP-Adressen
2. Die Verarbeitung und Nutzung von personenbezogenen Daten
3. Die Art und Weise, wie Unternehmen die Verwendung personenbezogener Daten minimieren und diese Daten schützen

Für die DSGVO-Compliance müssen Unternehmen verschiedene Verpflichtungen einhalten. Unternehmen bzw. Datenverantwortliche (Data Controller) können auch für die Arbeit von Drittanwendern haftbar gemacht werden und müssen die Datenschutzpraktiken ihrer Anbieter und Auftragnehmer überprüfen.  

Bestimmte Unternehmen müssen zur Einhaltung der DSGVO einen Datenschutzbeauftragten (DSB) ernennen, der dafür verantwortlich ist, die Datensicherheit zu überwachen und die DSGVO-Compliance umzusetzen. 

Best Practices für den Nachweis der DSGVO-Compliance umfassen mehr als nur das Aktualisieren von Websites und Software. Damit transparentere Datenpraktiken umgesetzt werden können, muss in den meisten Unternehmen ein Umdenken in den Schlüsselpositionen in Personalwesen, IT, Marketing und Sicherheit stattfinden – kurz: bei allen, die mit Verbraucherdaten in Kontakt kommen. Meist ist es für die DSGVO-Compliance erforderlich, neue Maßnahmen einzuführen und eine interne Überprüfung der Produkte, Dienstleistungen, Tools, Anbieter und der Beziehungen zu externen Kooperationspartnern durchzuführen.  

Neben der DSGVO für EU-Bürger und ‑Bewohner haben mehrere Regierungen strenge Datenschutzbestimmungen erlassen. Dazu gehören:

• Brasilien – Lei Geral de Proteção de Dados Pessoais (LGPD)
• Australien – Notifiable Data Breaches(NDB)-Zusatz zum Privacy Act
• Kalifornien – California Consumer Privacy Act (CCPA)
• Japan – Act on the Protection of Personal Information Act
• Südkorea – Personal Information Protection Act (PIPA)
• Thailand – Personal Data Protection Act (PDPA)
• Indien – Personal Data Protection Bill (PDPB)
• Südafrika – Protection of Personal Information Act (POPIA)
• China – Personal Data Protection Law (PDPL)
• Kanada – Digital Charter Implementation Act (DCIA)

Die meisten der in der DSGVO aufgeführten Anforderungen verlangen die Konformität der Geschäftspraktiken mit den folgenden sechs Prinzipien:

1. Datenschutzrichtlinien/Rechtliches
2. Datenschutz/Sicherheit
3. Rechte der betroffenen Personen
4. Datenmanagement/Mapping
5. Sensibilisierung/Schulungen
6. Benachrichtigung bei Datenschutzverletzungen

Mit den DSGVO-Compliance-Vorschriften soll ein höherer Standard für Datenschutz, Privatsphäre und Sicherheit personenbezogener Daten aus der EU geschaffen werden: 

• Die DSGVO erweitert den territorialen Geltungsbereich der EU-Anforderungen auf Unternehmen außerhalb der EU, die personenbezogene Daten von EU-Bürgern verarbeiten.
• Die DSGVO verlangt sowohl den Schutz personenbezogener Daten als auch den Nachweis von Schutzmaßnahmen für physische und digitale Orte, an denen personenbezogene Daten erfasst, verarbeitet, gespeichert oder übertragen werden.
• Unternehmen, die der DSGVO unterliegen, müssen in der Lage sein, festzustellen, wenn personenbezogene Daten exponiert oder kompromittiert wurden.

Für den Nachweis der DSGVO-Compliance sollten Unternehmen Bewertungen durchführen, Compliance-Lücken identifizieren und Maßnahmen einleiten, um diese Lücken zu schließen. Nachdem Unternehmen Lücken zwischen den derzeitigen Verfahren und den DSGVO-Anforderungen identifiziert haben, sollten sie betriebliche Richtlinien zu Einwilligung, Verfahren und technischen Maßnahmen entwickeln, um die Sicherheit von Daten zu gewährleisten und mögliche Compliance-Probleme von Dritten zu überwachen, für die sie haftbar gemacht werden könnten. Außerdem sollten sie den Datenfluss analysieren, um festzustellen, welche Datentypen verarbeitet werden, sowie Risikobewertungen für bestehende Sicherheitsmaßnahmen durchführen und die Wahrscheinlichkeit von Datensicherheitsverletzungen analysieren.

DSGVO-Compliance-Software hilft Unternehmen, die Vorschriften der DSGVO proaktiv einzuhalten, bevor Verstöße auftreten. Anders als andere Richtlinien empfiehlt die DSGVO keine spezifischen Protokolle oder Kontrollen, die einfach hinzugefügt werden können, sondern eine strenge interne Prüfung und die Einführung neuer Mechanismen.

DSGVO-Compliance-Lösungen können Unternehmen und ihren Datenschutzteams mit folgenden Funktionen helfen, die DSGVO-Vorschriften einzuhalten und Audits zu beschleunigen:

• Umfassende Systemüberwachung, häufig mithilfe von Protokolldaten, zum Erkennen potenzieller Datenschutzverletzungen
• Benachrichtigungen bei Sicherheitsverletzungen oder möglichen Problemen, einschließlich benutzerdefinierter Warnungen bei Sicherheitsproblemen, die die DSGVO-Compliance beeinträchtigen könnten
• Berichterstellungsfunktionen für eine verbesserte interne Kontrolle oder zum Nachweis der Compliance gegenüber Auditoren

Mit einer guten Compliance-Software wird es einfacher, die Compliance von Systemen durchgehend zu gewährleisten und mit entsprechenden Berichten nachzuweisen.

DSGVO-Compliance-Software bietet Unternehmen die erforderlichen Tools, um den internen Zugriff auf sensible Daten zu verwalten.

Tools zum Prüfen der DSGVO-Compliance unterstützen Sie bei folgenden Punkten:

• Ihre personenbezogenen Daten überblicken: Sie sollten zunächst eine Bestandsaufnahme der von Ihnen verarbeiteten Daten machen, die der DSGVO-Compliance unterliegen könnten. Die DSGVO-Vorschriften betreffen eine Vielzahl an personenbezogenen Daten, darunter individuelle IP-Adressen und Cookie-Daten sowie typische Datenpunkte wie Namen, Identifikationsnummern und Adressen. Mit einem DSGVO-Compliance-Tool können Sie nicht autorisierte Änderungen an kritischen Dateien und Ordnern schnell erkennen und so Datenschutzverletzungen verhindern. 
• Internen Benutzerzugriff verwalten: Externe Bedrohungen können zwar personenbezogene Daten betreffen, doch genauso wahrscheinlich sind DSGVO-Verstöße durch interne Bedrohungen. Dabei kann es sowohl um versehentliche als auch um böswillige Benutzeraktivitäten gehen. Tools zum Prüfen der DSGVO-Compliance helfen Ihnen, Benutzer proaktiv zu verwalten, sodass Sicherheitsverletzungen unwahrscheinlicher werden. Außerdem verhelfen DSGVO-Tools mit Funktionen wie automatisierten Vorlagen zu mehr Genauigkeit beim Zuweisen von Berechtigungen an Endbenutzer. Der Einsatz von Software zur Verwaltung des Benutzerzugriffs ist auch deshalb so wichtig, weil Administratoren damit besser überblicken können, welche Benutzerkonten vorhanden sind und auf welche Ressourcen diese Benutzer aktuell zugreifen können. So lassen sich Hochrisikokonten (d. h. Konten mit hohen Berechtigungsstufen) besser überwachen und verdächtige Zugriffe so früh wie möglich untersuchen. 
• Compliance-Berichte ausführen: Die automatisierte Berichterstellung bietet zwei Hauptvorteile. Erstens ermöglicht sie Administratoren einen schnellen, präzisen Überblick über Benutzeraktivitäten und Berechtigungseinstellungen. Sie können nach benutzerdefinierten Kriterien filtern, um Berichte mit genau den gewünschten Informationen zu erhalten. Zweitens können automatisch erstellte Berichte für den Compliance-Nachweis oder für forensische Untersuchungen an Auditoren weitergegeben werden. Wenn diese Berichte mit DSGVO-Software erstellt werden, können genau die für die DSGVO relevanten Informationen hervorgehoben werden. 

Access Rights Manager unterstützt Unternehmen dabei, schneller und einfacher die DSGVO-Compliance zu gewährleisten, indem sie die Risikobewertung automatisieren, Berichte für den Compliance-Nachweis erstellen und einfacher Prozesse zur Bearbeitung von Zugriffsanfragen von betroffenen Personen entwickeln können.

Die DSGVO verlangt, dass Unternehmen interne Audits und Fortschrittsprüfungen (Readiness Assessments) für den Datenzugriff durchführen, um mögliche Sicherheitsprobleme anzugehen. Access Rights Manager bietet einen Überblick über den Benutzerzugriff und ermöglicht es Administratoren, den Datenzugriff über ein Benutzerverwaltungssystem zu überwachen und zu überprüfen. Administratoren erhalten eine detaillierte Aufstellung darüber, welches Konto auf welchen Datenfluss zugegriffen hat und wann welche Änderungen erfolgt sind. 

Durch die Visualisierung von Kontoberechtigungen kann Access Rights Manager dabei helfen, kostspielige Datensicherheitsverletzungen zu verhindern. Das Benutzerverwaltungssystem von ARM stellt SharePoint-Berechtigungen in einer Baumstruktur dar und zeigt somit klar auf, wer wozu berechtigt ist. Der schnelle Überblick über nicht autorisierte Zugriffe und Änderungen an Windows-Fileservern vereinfacht die Überwachung.

Das manuelle Erstellen von Compliance-Berichten kann sehr zeitaufwändig sein. ARM ermöglicht die Automatisierung dieser Prozesse. Mit ARM können Administratoren Zugriffsaktivitäten protokollieren und einfacher die Compliance nachweisen, indem sie Berichte zum Benutzerzugriff erstellen und damit die Genauigkeit der Berichterstellung erhöhen und Audits optimieren.

• PCI DSS-Compliance-Software
• SOX-Compliance-Tool
• NERC CIP-Compliance-Tool
• HIPAA-Compliance-Software
• DISA STIG-Compliance-Tool
• Compliance-Management-Software
• Compliance-Berichterstellungstool
• Management der Cybersicherheitsrisiken
• Management der Informationssicherheitsrisiken