DSGVO-Konformität: Definitionen, Anforderungen und Compliance-Checkliste

Was ist DSGVO-Konformität?

DSGVO-Konformität bedeutet die Einhaltung der Datenschutz-Grundverordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten von Personen innerhalb der EU regelt. Dazu gehören Maßnahmen zum Schutz der Privatsphäre, die Gewährleistung von Transparenz und die Wahrung der Rechte des Einzelnen in Bezug auf seine Daten. Verstöße können zu erheblichen Geldstrafen führen.

Zu den wichtigsten Aspekten der DSGVO-Konformität gehören:

• Rechtmäßigkeit, Fairness und Transparenz: Organisationen müssen Daten auf eine Weise verarbeiten, die rechtmäßig, fair und für Einzelpersonen transparent ist.
• Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken nicht zu vereinbaren ist.
• Datenminimierung: Organisationen sollten nur die für den beabsichtigten Zweck erforderliche Mindestmenge an personenbezogenen Daten erfassen.
• Datengenauigkeit: Personenbezogene Daten müssen korrekt und auf dem neuesten Stand sein.
• Speicherbegrenzung: Daten sollten nicht länger gespeichert werden, als es für den Zweck ihrer Erhebung erforderlich ist.
• Integrität und Vertraulichkeit: Daten müssen vor unbefugter oder unrechtmäßiger Verarbeitung, versehentlichem Verlust, Zerstörung oder Beschädigung geschützt werden.
• Rechenschaftspflicht: Organisationen müssen in der Lage sein, ihre Einhaltung der DSGVO nachzuweisen.
• Individuelle Rechte: Einzelpersonen haben Rechte in Bezug auf ihre personenbezogenen Daten, einschließlich des Rechts auf Zugriff, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.
• Einwilligung: In vielen Fällen ist vor der Verarbeitung personenbezogener Daten eine ausdrückliche Einwilligung erforderlich, und diese Einwilligung muss freiwillig, spezifisch, informiert und eindeutig erfolgen.

Jede Organisation, die personenbezogene Daten von Personen innerhalb der EU verarbeitet, unterliegt der DSGVO, unabhängig von ihrem Standort. Dies gilt sowohl für Verantwortliche (diejenigen, die die Zwecke und Mittel der Verarbeitung bestimmen) als auch für Auftragsverarbeiter (diejenigen, die Daten im Auftrag der Verantwortlichen verarbeiten).

Die Geldbußen für die Nichteinhaltung der DSGVO können erheblich sein und bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.

Was ist der Zweck der DSGVO?

Der Hauptzweck der DSGVO ist der Schutz personenbezogener Daten von EU-Bürgern. Im digitalen Zeitalter sind personenbezogene Daten zu einem wertvollen Gut geworden. Sie werden von Organisationen für eine Vielzahl von Zwecken – von Marketing bis Forschung – gesammelt, gespeichert, verarbeitet und verkauft. Diese Datensammlung hat jedoch auch zu zahlreichen Datenschutzverletzungen geführt, da personenbezogene Daten häufig in die falschen Hände geraten.

Die DSGVO gibt den Einzelnen die Kontrolle über personenbezogene Daten zurück und gibt ihnen das Recht zu entscheiden, wer ihre Daten erfassen, wie sie verwendet und wann sie gelöscht werden. Sie verpflichtet Unternehmen außerdem dazu, transparent mit ihren Daten umzugehen und geeignete Maßnahmen zum Schutz personenbezogener Daten vor unbefugtem Zugriff oder Verlust zu ergreifen.

Die DSGVO zielt außerdem darauf ab, die Datenschutzgesetze in der gesamten EU zu harmonisieren und ein einheitliches Regelwerk zu schaffen, das für alle EU-Mitgliedsstaaten gilt. Dies erleichtert es Unternehmen, die Gesetze zu verstehen und einzuhalten, und reduziert die rechtlichen Komplexitäten, die mit der Geschäftstätigkeit in mehreren EU-Ländern verbunden sind.

Gilt die DSGVO für Ihr Unternehmen?

Um festzustellen, ob ein Unternehmen die DSGVO einhalten muss, müssen Sie zwei wichtige Aspekte bewerten: den sachlichen und den räumlichen Geltungsbereich. Diese definieren die Arten von Aktivitäten und geografischen Kontexten, die unter die Verordnung fallen.

Materieller Geltungsbereich

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten, unabhängig davon, ob diese vollständig oder teilweise automatisiert erfolgt. Sie umfasst auch die manuelle Verarbeitung, sofern die Daten in einem strukturierten Ablagesystem organisiert sind. Gängige Aktivitäten wie das Erheben, Speichern, Zugreifen, Analysieren, Offenlegen oder Löschen personenbezogener Daten fallen typischerweise in diesen Anwendungsbereich. Wenn Ihr Unternehmen personenbezogene Daten in nahezu jeder Form verarbeitet, unterliegt es wahrscheinlich den Anforderungen der DSGVO.

Räumlicher Geltungsbereich

Die Verordnung gilt für Organisationen mit Sitz in der EU, unabhängig davon, wo die Datenverarbeitung stattfindet. Sie hat jedoch auch extraterritoriale Reichweite. Wenn Ihre Organisation außerhalb der EU ansässig ist, aber Waren oder Dienstleistungen für Personen in der EU anbietet – oder deren Verhalten innerhalb der EU überwacht –, fällt sie ebenfalls unter die DSGVO. Dies gilt auch, wenn die Dienstleistungen kostenlos angeboten werden.

Beispielsweise unterliegt ein in den USA ansässiges Unternehmen, das Produkte an EU-Kunden verkauft oder das Verhalten von EU-Nutzern mithilfe von Cookies oder Analysetools verfolgt, wahrscheinlich der DSGVO. Dies gilt auch für nichtkommerzielle Organisationen, beispielsweise eine ausländische Regierungswebsite, die personenbezogene Daten von EU-Besuchern sammelt.

Die DSGVO-Terminologie verstehen

Um die DSGVO-Konformität effektiv zu gewährleisten, ist es wichtig, die in der Verordnung definierten Schlüsselbegriffe zu verstehen:

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören direkte Kennungen (wie Name oder Ausweisnummer) und indirekte Kennungen (wie IP-Adressen oder Standortdaten).
• Betroffene Person: Die Person, deren personenbezogene Daten erhoben, gespeichert oder verarbeitet werden. Gemäß der DSGVO haben betroffene Personen bestimmte Rechte, darunter Auskunft, Berichtigung und Löschung.
• Datenverantwortlicher: Die Organisation oder Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Verantwortliche sind dafür verantwortlich, dass die Datenverarbeitung der DSGVO entspricht.
• Auftragsverarbeiter: Eine Partei, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Auftragsverarbeiter müssen den Anweisungen des Verantwortlichen folgen und geeignete Sicherheitsmaßnahmen ergreifen.
• Verarbeitung: Jeder mit personenbezogenen Daten durchgeführte Vorgang, unabhängig davon, ob automatisiert oder nicht. Dazu gehören das Erheben, Aufzeichnen, Speichern, Verändern, Abfragen, Verwenden, Offenbaren oder Löschen von Daten.
• Einwilligung: Freiwillig gegebene, spezifische, informierte und eindeutige Willensbekundung der betroffenen Person. Die Einwilligung muss aktiv erteilt werden – bereits angekreuzte Kästchen oder Inaktivität reichen nicht aus.
• Datenschutzbeauftragter (DSB): Eine für bestimmte Organisationen erforderliche Rolle, die für die Überwachung von Datenschutzstrategien und die Sicherstellung der Einhaltung der DSGVO-Anforderungen verantwortlich ist.

Das Verständnis dieser Begriffe ist für die Auslegung der Verpflichtungen und die korrekte Umsetzung der DSGVO-Kontrollen von entscheidender Bedeutung.

Welche Daten schützt die DSGVO?

Die DSGVO schützt eine Vielzahl personenbezogener Daten. Dazu gehören alle Informationen, die zur direkten oder indirekten Identifizierung einer Person verwendet werden können. Beispiele für personenbezogene Daten sind Namen, Adressen, Telefonnummern, E-Mail-Adressen und Identifikationsnummern.

Die DSGVO geht jedoch über grundlegende personenbezogene Daten hinaus. Sie schützt auch sensible personenbezogene Daten, darunter Informationen über die rassische oder ethnische Herkunft einer Person, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftsmitgliedschaft, genetische Daten, biometrische Daten, Gesundheitsinformationen und Informationen über die sexuelle Orientierung einer Person.

Die DSGVO schützt auch Online-Kennungen wie IP-Adressen, Cookies und Mobilgerätekennungen. Sie schützt sogar pseudonymisierte Daten, also Daten, die so verändert wurden, dass sie ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können.

Wichtige Anforderungen der DSGVO

Hier ist eine kurze Zusammenfassung der DSGVO-Anforderungen:

• Rechtmäßige, faire und transparente Verarbeitung: Organisationen müssen über eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten verfügen und klar und offen darlegen, wie sie personenbezogene Daten verwenden werden.
• Zweckbindung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken nicht zu vereinbaren ist.
• Datenminimierung: Personenbezogene Daten müssen angemessen, relevant und auf das für die Zwecke ihrer Verarbeitung erforderliche Maß beschränkt sein. Dies kann die Anonymisierung oder Pseudonymisierung von Daten beinhalten, um das Risiko einer Schädigung von Personen zu verringern.
• Richtigkeit: Personenbezogene Daten müssen richtig und, falls erforderlich, auf dem neuesten Stand sein. Unrichtige Daten sind unverzüglich zu berichtigen oder zu löschen.
• Speicherbeschränkung: Personenbezogene Daten sollten nicht länger gespeichert werden, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Unternehmen sollten klare Richtlinien für die Datenaufbewahrung und -löschung haben.
• Integrität und Vertraulichkeit: Dieser Grundsatz besagt, dass personenbezogene Daten in einer Weise verarbeitet werden sollten, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung.
• Rechenschaftspflicht: Unternehmen müssen die DSGVO nicht nur einhalten, sondern auch nachweisen können. Dies kann die Führung detaillierter Aufzeichnungen der Datenverarbeitungsaktivitäten, die Durchführung regelmäßiger Audits und die Ernennung eines Datenschutzbeauftragten umfassen.
• Recht auf Vergessenwerden: EU-Bürger haben das Recht, ihre Daten innerhalb einer angemessenen Frist vom Verantwortlichen löschen zu lassen, wenn einer der folgenden Gründe zutrifft:
  • Wenn personenbezogene Daten für den Zweck, für den sie erhoben oder verarbeitet wurden, nicht mehr erforderlich sind
  • Wenn der Inhaber der personenbezogenen Daten seine Einwilligung widerruft oder Einwände gegen die Verarbeitung erhebt und keine Rechtsgrundlage für die weitere Verarbeitung der Daten besteht
  • Wenn die Daten ausschließlich für Direktmarketing verwendet werden oder ein Kind betroffen ist
  • Wenn der Eigentümer der Verarbeitung widerspricht und keine zwingenden gesetzlichen/legitimen Gründe für eine Fortsetzung vorliegen oder PII-Daten gelöscht werden müssen, um einer gesetzlichen Verpflichtung nachzukommen

Bußgelder und Strafen bei Nichteinhaltung der DSGVO

Die Nichteinhaltung der DSGVO kann zu hohen Bußgeldern und Strafen führen. Die Höchststrafe für einen schwerwiegenden Verstoß beträgt bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist. Geringere Verstöße können mit einer Geldstrafe von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens geahndet werden.

Seit der Verabschiedung der DSGVO im Jahr 2018 setzt die EU das Gesetz strenger durch. In den letzten Jahren wurden gegen mehrere Unternehmen Bußgelder in Höhe von Hunderten Millionen Dollar verhängt. Bußgelder sind jedoch nicht das einzige Risiko. Verstöße können auch zu Reputationsschäden, Vertrauensverlust und möglichen rechtlichen Schritten von Personen führen, deren Daten missbraucht wurden.

Die Schnittstelle zwischen DSGVO und KI

Künstliche Intelligenz (KI) hat die Welt im Sturm erobert und diverse Sektoren revolutioniert, darunter das Gesundheitswesen, das Finanzwesen und das Marketing. Mit dem Aufstieg der KI steigt jedoch auch das Risiko für die Sicherheit personenbezogener Daten. Die DSGVO spielt eine wichtige Rolle bei der Gewährleistung eines ethischen Umgangs mit KI.

KI-Systeme benötigen oft große Datenmengen, um effektiv zu funktionieren. Diese Daten enthalten oft personenbezogene Daten, die durch die DSGVO geschützt sind. Daher müssen Unternehmen, die KI einsetzen, sicherstellen, dass sie die DSGVO einhalten. Andernfalls drohen rechtliche Konsequenzen. Die Schnittstelle zwischen DSGVO und KI ist daher ein kritischer Bereich, den Unternehmen verstehen und bewältigen müssen.

Die DSGVO bietet nicht nur Schutz personenbezogener Daten, sondern fördert auch Innovationen im Bereich KI, indem sie Bestimmungen zur KI-Entwicklung enthält. Durch die Festlegung von Richtlinien für die Datennutzung unterstützt die DSGVO Unternehmen bei der Entwicklung von KI-Systemen, die die Privatsphäre respektieren und ethische Standards einhalten.

Eine kurze Checkliste zur Sicherstellung der DSGVO-Konformität

Hier sind einige Maßnahmen, die Sie ergreifen können, um die DSGVO-Konformität Ihres Unternehmens zu verbessern:

• Datenschutz durch Technikgestaltung: Dieses Konzept erfordert, dass Unternehmen den Datenschutz bereits in der frühen Entwurfsphase jedes Projekts berücksichtigen, das personenbezogene Daten nutzt. Darüber hinaus erfordert es die Berücksichtigung von Datenschutzfunktionen während des gesamten Projektlebenszyklus. Dies bedeutet, dass die Auswirkungen auf den Datenschutz von Beginn an berücksichtigt und Datenschutzmaßnahmen in Ihre Systeme und Prozesse integriert werden.
• Alle Daten abbilden: Identifizieren Sie alle Quellen personenbezogener Daten innerhalb des Unternehmens, einschließlich interner Systeme, Anwendungen von Drittanbietern und physischer Aufzeichnungen. Dokumentieren Sie, welche Daten erfasst werden, auf welcher Rechtsgrundlage sie verarbeitet werden, wer Zugriff darauf hat, wo sie gespeichert werden und wie sie zwischen Systemen oder Abteilungen fließen. Diese Transparenz ist unerlässlich für die Einhaltung von Vorschriften, die Beantwortung von Anfragen betroffener Personen und die Durchführung von Risikobewertungen.
• Entwickeln und dokumentieren Sie Datenschutzrichtlinien: Dazu gehört die Festlegung, wie personenbezogene Daten innerhalb des Unternehmens erhoben, verarbeitet, gespeichert und weitergegeben werden. Diese Richtlinien sollten den Datenschutzansatz Ihres Unternehmens detailliert beschreiben und den Mitarbeitern Leitlinien zur Verfügung stellen.
• Führen Sie Datenschutz-Folgenabschätzungen (DSFA) durch: Für jede Verarbeitungsaktivität, die voraussichtlich ein hohes Risiko für individuelle Rechte mit sich bringt – wie z. B. Profiling, die umfangreiche Verarbeitung sensibler Daten oder systematische Überwachung –, ist eine DSFA durchzuführen. Diese Bewertung sollte die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung bewerten, potenzielle Risiken für personenbezogene Daten identifizieren und Maßnahmen zur Risikominderung skizzieren. DSFA müssen vor Beginn der Verarbeitung abgeschlossen und regelmäßig überprüft werden.
• Richten Sie Prozesse für Datenzugriff, -berichtigung, -löschung und -übertragbarkeit ein: Es ist wichtig, datenbezogene Anfragen innerhalb der vorgegebenen Fristen zu bearbeiten. Gemäß der DSGVO haben Einzelpersonen das Recht, auf ihre personenbezogenen Daten zuzugreifen, Ungenauigkeiten zu korrigieren, ihre Daten zu löschen und sie an eine andere Stelle zu übertragen. Organisationen müssen Systeme zum Auffinden und Abrufen personenbezogener Daten sowie Prozesse zum Korrigieren, Löschen und Übertragen von Daten einrichten.
• Implementieren Sie robuste Sicherheitsmaßnahmen: Die DSGVO verpflichtet Unternehmen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten. Dazu gehören die Implementierung von Verschlüsselung zum Schutz der Daten, die Einrichtung von Zugriffskontrollen zur Einschränkung des Zugriffs auf personenbezogene Daten und die Durchführung regelmäßiger Sicherheitsbewertungen, um potenzielle Schwachstellen zu identifizieren und zu beheben.
• Benennen Sie bei Bedarf einen Datenschutzbeauftragten: Je nach Größe und Art Ihres Unternehmens müssen Sie möglicherweise einen Datenschutzbeauftragten (DSB) ernennen. Diese Person ist für die Überwachung der Datenschutzstrategie und -implementierung innerhalb des Unternehmens verantwortlich.
• Erstellen Sie einen Reaktionsplan für Datenschutzverletzungen: Dieser Plan sollte die im Falle einer Datenschutzverletzung zu ergreifenden Maßnahmen beschreiben, einschließlich der Identifizierung der Verletzung, ihrer Eindämmung, der Bewertung der Auswirkungen, der Benachrichtigung der betroffenen Parteien und der Ergreifung von Maßnahmen zur Verhinderung künftiger Verletzungen. Gemäß der DSGVO können Unternehmen verpflichtet sein, Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der Verletzung der zuständigen Aufsichtsbehörde zu melden.
• Richtlinien zur Datenaufbewahrung festlegen und durchsetzen: Dabei wird festgelegt, wie lange personenbezogene Daten gespeichert werden sollen und was nach Ablauf der Aufbewahrungsfrist mit ihnen geschehen soll. Gemäß der DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist. Nach Ablauf der Aufbewahrungsfrist müssen die Daten gelöscht oder anonymisiert werden.

Exabeam: Verbesserte Bedrohungserkennung mit fortschrittlicher Sicherheitsanalyse

New-Scale SIEM ist eine KI-gesteuerte Sicherheitsbetriebsplattform der nächsten Generation, die Bedrohungserkennung, -untersuchung und -reaktion (TDIR) in einer intuitiven Lösung vereint, die Sicherheitsteams tatsächlich nutzen möchten. Durch die Kombination von Verhaltensanalysen, Automatisierung und offenen Integrationen schließt es die Lücke in der SIEM-Effektivität und bietet unbegrenzte Skalierbarkeit zum Aufnehmen, Analysieren, Speichern, Durchsuchen und Berichten von Petabytes an Daten von überall. Mit Hunderten von vorgefertigten Integrationen und der Möglichkeit, neue Protokollquellen in Minutenschnelle zu integrieren, unterstützt es Analysten dabei, intelligenter zu arbeiten, indem es die Alarmmüdigkeit um bis zu 60 % und die Untersuchungsdauer um bis zu 80 % reduziert. Mit mehr als 100 vorgefertigten Korrelationsregeln, integrierter Bedrohungsintelligenz und KI-gestützten Zeitleisten, die kritische Vorfälle schneller ans Licht bringen, können Sicherheitsteams 90 % der Insider-Bedrohungen erkennen und darauf reagieren, bevor andere Anbieter sie abfangen können, und gleichzeitig die Gesamtbetriebskosten um bis zu 35 % senken.

Die Plattform umfasst Exabeam Nova, eine Sammlung von sechs spezialisierten KI-Agenten, die in die Exabeam New-Scale SIEM und Security Log Management-Produkte integriert sind. Diese Agenten arbeiten mit Sicherheitsanalysten zusammen, um komplexe Aufgaben zu automatisieren, Untersuchungen zu beschleunigen und die Erkennungsgenauigkeit zu verbessern. Von der Suche in natürlicher Sprache und automatisierten Visualisierungen über die Erstellung von Korrelationsregeln und die Vorfall-Triage bis hin zur führungsorientierten Berichterstattung zur Sicherheitslage sorgt Nova für Geschwindigkeit, Präzision und Konsistenz in jeder Phase der Bedrohungserkennung, -untersuchung und -reaktion.

Für weitere Informationen zu den neuesten Änderungen im SIEM-Bereich empfehlen wir Ihnen, sich diesen Webcast mit dem Titel „Agentic AI – Reimagine Bedrohungserkennung, Investigation, and Response“ anzusehen.