DSGVO, Lektion 2: VERWALTEN Sie Ihre Daten

Lassen Sie uns damit weitermachen, womit wir in den beiden vorangegangenen Blogposts begonnen haben.Im ersten Post gaben wir Ihnen einen allgemeinen Überblick über den Weg, den Veeam zur Erfüllung der DSGVO-Vorschriften geht, und erläuterten, welche fünf Lektionen wir dabei bereits gelernt haben.Im zweiten Post gingen wir näher auf das erste der folgenden fünf Prinzipien ein.

  1. Sie müssen Ihre Daten kennen
  2. Verwalten Sie die Daten
  3. Schützen Sie die Daten
  4. Dokumentation und Compliance
  5. Kontinuierliche Optimierung

Wir wollen uns heute das zweite Prinzip ansehen: Verwalten Sie die Daten.

Wenn Sie die Aufgaben, die sich aus dem ersten Prinzip ergeben, bereits abgeschlossen haben und wissen, welche personenbezogenen Daten Sie haben und wo sich diese befinden, können Sie jetzt die Regeln und Prozesse für den Zugriff und die Nutzung dieser Daten festlegen.

Die wichtigsten Fragen lauten in diesem Zusammenhang:

  1. Wer hat Zugriff auf diese Daten (und hat wann auf sie zugegriffen)?
  2. Warum wird auf diese Daten zugegriffen?
  3. Was ist der Zweck?

Wir haben festgestellt, dass es viele verschiedene Abteilungen in einem Unternehmen gibt, die personenbezogene Daten aus sehr unterschiedlichen Gründen verarbeiten.Beispielsweise Marketing, Vertrieb und Personalabteilung.Eine der wichtigsten Abteilungen davon ist die Personalabteilung (HR).Einige der Daten, die diese von Mitarbeitern erfasst oder besitzt, gelten nicht als „personenbezogene Daten“, sondern als „sensible personenbezogene Daten”.Mit diesen sind strengere Sicherheitsmaßnahmen und ein höherer Schutz verbunden.Wir haben gelernt, dass auf der Personalabteilung im Zusammenhang mit der Datenverarbeitung ein besonderer Fokus liegt und sie spezielle Aufmerksamkeit erfordert.

Aber Datenverwaltung ist nicht nur ein Thema im eigenen Haus.Veeam nutzt auch externe Anbieter für die Verarbeitung bestimmter Daten.Wenn dies auch auf Sie zutrifft, stellen Sie sicher, dass Sie diese Anbieter hinsichtlich der Einhaltung der DSGVO prüfen. Aber auch Sie selbst müssen die Compliance in Ihren Prozessen und Arbeitsabläufen gewährleisten.Die Verantwortung für die Daten liegt auch dann bei Ihnen, wenn diese durch die Hände vonDrittanbietern gehen.

Wer, warum und was?

Nachdem sie den vollen Umfang ihrer Daten erkannt und diese klassifiziert haben, stellen viele Unternehmen fest, dass ihre Daten nicht sorgfältig genug verwaltet werden.Wenn Sie die Vorlagen nutzen, die wir Ihnen mit unserem Whitepaper bereitstellen, wissen Sie, warum auf bestimmte Informationen zugegriffen wird und was damit geschieht (Zweck).Das ist der Moment, in dem man die passenden Abläufe definieren und Prozesse erstellen bzw. sicherstellen sollte, dass Personen nur dann Zugriff auf die Daten haben, wenn es der jeweilige betriebliche Vorgang verlangt.

Prüfen Sie auch Ihre Vertraulichkeitsvereinbarungen und überarbeiten Sie sie gegebenenfalls.Die DSGVO erfordert, dass Sie genau sagen können, was Sie erfassen, zu welchem Zweck,  wo die Daten genutzt und schließlich wie lange sie aufbewahrt werden.Implementieren Sie gleichzeitig ein Verfahren, mit dem Sie auf Anfrage mitteilen können, was Sie speichern, und gegebenenfalls Änderungen oder Löschungen von Daten vornehmen können.

Prüfen Sie schließlich die Zugangskontrolllisten Ihrer internen Teams.Es kommt häufig vor, dass die internen IT-Mitarbeiter Zugang zu sämtlichen Daten haben.Dokumentieren Sie diesen Zugriff und gewährleisten Sie Prüfungen, wenn die IT für ihre Arbeit einen entsprechenden Zugriff braucht.

Fazit

Wenn Sie wissen, welche Daten Sie haben und wo sie liegen, sollten Sie auch die Gründe für deren Verwendung kennen und wissen, wer darauf zugreifen kann.Nutzen Sie technische Lösungen und schließen Sie sich mit externen Partnern kurz, um zu erfahren, wie diese mit den Compliance-Vorschriften umgehen.Bedenken Sie, dass Sie immer für Ihre Daten verantwortlich bleiben.Nutzen Sie Lösungen, die Ihnen helfen, die Speicherorte festzustellen, und markieren Sie personenbezogene und sensible personenbezogene Daten.Erstellen Sie Audit-Reports für Personen mit Datenzugriff.Planen Sie Möglichkeiten der Datenwiederherstellung.(Zu wissen, wer auf Ihre Produktivdaten zugreifen kann, genügt nicht, wenn alles beliebig wiederhergestellt werden kann). Und da viele Risiken von innen kommen, achten Sie auf den physischen Schutz Ihrer Infrastruktur.

Exit mobile version