Tipps für wirkungsvollen Datenschutz nach dem „Facebook-Urteil“
5. August 2019Webseiten-Betreiber dürfen nicht mehr die Daten ihrer Nutzer über Social-Plugins, wie etwa den Facebook-Like-Button, ungefragt an Dritte übertragen. Diese Entscheidung hat der Europäischen Gerichtshofs getroffen. Dieses Urteilhat massive Auswirkungen auf den kompletten Datenschutz und somit die IT-Abteilungen in den Unternehmen.
Der Abfluss von Daten an Dienste wie Facebook, Google & Co. ist ein Paradebeispiel für gefährliche Lücken im Informationssicherheits- und Datenschutz-Managementsystem. Unternehmen sollten das Urteil des Europäischen Gerichtshofs zum Facebook-Like-Button als Anlass nehmen, ihre eigenen Prozesse und Strukturen auf Herz und Nieren in Bezug auf Datenschutz und Datensicherheit zu prüfen.
Denn selbst kleine Organisationen verfügen heutzutage über Hunderte Schnittstellen zu ihren Kunden, Lieferanten, Partnern und zu sozialen Medien. Das macht die Überwachung und Ordnung von Datenflüssen zu einer hochkomplexen Aufgabe, welche Datenschutzbeauftragte und IT-Administratoren gemeinsam bewältigen müssen. Der Datenschutzbeauftragte muss wissen, welche personenbezogenen Daten in der Organisation vorhanden sind – es liegt an der IT, diese Informationen bereitzustellen.
Die folgenden Tipps helfen Organisationen und Unternehmen dabei, Datenschutz-Lücken zuverlässig aufzudecken und zu schließen:
- Regelmäßige Scans sind Pflicht: Zunächst gilt es, sich einen Überblick über die Daten zu verschaffen, die in der Vielzahl der Datenbanken und File-Systemen vorhanden sind. Ein gut organisierter Scan aller Datenhaltungssysteme – etwa mit Guardium Analyzer von IBM – bringt die gewünschten Informationen ans Licht. Für die anschließende Auswertung und Analyse des Dateninventars arbeiten Datenschutzbeauftragte eng mit den IT-Spezialisten zusammen. Die lückenlose Dokumentation der gewonnenen Erkenntnisse im Managementsystem bildet die Basis für alle weiteren Maßnahmen.
- Daten effektiv klassifizieren: Aus der Datenbank lässt sich ein Katalog von Daten ableiten, die einen besonderen Schutzbedarf haben und nicht weiterverarbeitet werden dürfen. Dabei ist das richtige Datenbank-Design essenziell für eine eindeutige Typisierung und Klassifizierung von Daten. Bei unstrukturierten Daten oder Freitexten ist es schwieriger und aufwendiger, den Schutzbedarf festzustellen. Je nach Datenmenge lässt sich eine solche Untersuchung manuell, automatisiert oder mit dem Einsatz von künstlicher Intelligenz (KI) bewältigen. Anschließend kann der Datenschutzbeauftragte in Zusammenarbeit mit der IT veranlassen, dass die kritischen Daten ordentlich verarbeitet oder gelöscht werden.
- Datenverarbeitung optimieren: Datenbanken, die optimal konfiguriert sind und betrieben werden, bieten weniger Fehlerquellen und erhöhen die Qualität der Datenverarbeitung. Dazu gehört beispielsweise, dass Datenbankadministratoren und Nutzer nur Zugriff auf die Daten haben, die sie wirklich benötigen. Ein effizientes Zugriffsmanagement schützt privilegierte Konten und bewahrt manchen Nutzer davor, Daten inkorrekt zu verarbeiten. Es gibt eine Vielzahl von Tools, die das Identity Management von privilegierten Nutzern und das Datenbank-Monitoring erleichtern.
- Risiken abwägen: Die Analyse von Daten und Verarbeitungsprozessen bringt eine Vielzahl an möglichen Maßnahmen und technischen Hilfsmitteln mit sich. Wo anfangen? Es empfiehlt sich, eine Risikoanalyse durchzuführen und die möglichen Folgen dieser Risiken abzuschätzen. Basierend darauf können Organisationen entscheiden, welche Maßnahmen unbedingt und unmittelbar erforderlich sind – und welche eher nicht. Priorität genießen kritische Daten, die verschlüsselt oder maskiert werden müssen. Beispielsweise sollten Administratoren zwar Fehler beheben, aber nicht die Namen, Bankverbindungen oder Kreditkartennummern von Kunden oder Mitarbeitern sehen können. Wichtige Daten lassen sich zusätzlich durch einen automatisierten Alarm absichern, der anzeigt, wenn Daten abnormal verarbeitet werden oder Nutzer versuchen, auf Daten außerhalb ihrer Zuständigkeit zuzugreifen.
- Sicherheitskalender führen: Der effektive Schutz von Daten ist kein einmaliges Projekt, sondern eine immerwährende Aufgabe. Das Aufspüren und Klassifizieren von Daten sowie die Risikoabwägung müssen turnusmäßig erfolgen und gehören in den Sicherheitskalender jeder Organisation. Alle Maßnahmen, Prozesse und Managementsysteme gehören regelmäßig auf den Prüfstand – ebenso wie bis dato erzielte Ergebnisse. Anpassungen an neue Vorschriften wie etwa DSGVO, PCI-DSS und andere industriespezifische Standards gehören zu internen Audits dazu.
Um den hohen Anforderungen der geltenden Datenschutz-Bestimmungen gerecht zu werden, müssen Organisationen viel Zeit und Ressourcen aufwenden – was sie nicht selten vor große Herausforderungen stellt. Erfahrene Berater bieten wertvolle Unterstützung bei der Ausarbeitung eines Datenschutzkonzeptes sowie der Auswahl zeitsparender Tools. Prominente Fälle wie das Urteil zum Like-Button von Facebook zeigen, dass die Datenschutz-Diskussion weiter Fahrt aufnimmt. Organisationen müssen daher kontinuierlich kritisch prüfen, wo Handlungsbedarf besteht, und notwendige Maßnahmen möglichst zügig vorantreiben.
Karl-Heinz Wonsak ist Security Solution Manager bei Axians IT Solutions.