Der verdunkelte Blick aus dem Weltraum bei Nacht, die Lichter der Städte leuchten über die Kontinente unter einem riesigen, stillen Sternenmeer und erzeugen ein unheimliches Gefühl der Isolation und unsichtbarer Aktivität.

Die grundlegenden Rechte der betroffenen Person verstehen und Ihr Datenschutzprogramm mit SOAR einrichten

Benutzeravatar
Katie Bykowski
6 Leseminute

 

Der Die globale Datenschutzverordnung (DSGVO) feierte kürzlich ihr zweites Jubiläum.. Viele Organisationen scheinen noch immer Schwierigkeiten zu haben, sich in der zweijährigen Verordnung zurechtzufinden, da sie nun Anfragen von Betroffenen erhalten – also von Personen, deren personenbezogene Daten von einer Organisation erfasst wurden. Was müssen Sie über diese Anfragen wissen? In diesem Beitrag erläutere ich die acht “Grundrechte” der betroffenen Person gemäß DSGVO und diskutiere deren globale Auswirkungen auf Organisationen jeder Größe, von kleinen und mittelständischen Unternehmen (KMU) bis hin zu Großkonzernen. Da die mit diesen Rechten verbundenen regulatorischen und Compliance-Anforderungen in der Regel zeitaufwändige und mühsame Aufgaben mit sich bringen, zeige ich Ihnen, wie Organisationen eine SOAR-Lösung (Security Orchestration, Automation and Response) nutzen können, um ihre Effizienz zu steigern und die Einhaltung der Vorschriften zu gewährleisten.

Die 8 Rechte der betroffenen Person

  1. Zugangsrecht (Artikel 15): Dieses Recht schafft die Grundlage für spätere Datenschutzrechte, wie das Recht auf Löschung oder Berichtigung, erfordert aber auch einige wichtige Überlegungen. Erstens muss der Verantwortliche feststellen, ob personenbezogene Daten verarbeitet werden, und dem Betroffenen die Ergebnisse mitteilen. Zweitens muss der Verantwortliche, falls personenbezogene Daten verarbeitet werden, dem Betroffenen eine Reihe von Informationen zur Verfügung stellen. Vergessen Sie dabei nicht, gegebenenfalls beteiligte Dritte oder Auftragsverarbeiter zu berücksichtigen.
  2. Recht auf Berichtigung (Artikel 16): Dieses Recht stellt sicher, dass eine betroffene Person die Berichtigung unrichtiger Daten oder die Vervollständigung unvollständiger Daten verlangen kann.
  3. Recht auf Löschung (Artikel 17): Auch bekannt als die Recht auf Vergessenwerden, Dieses Recht ermöglicht es Betroffenen, die Löschung ihrer personenbezogenen Daten durch den Verantwortlichen zu verlangen. Die DSGVO sieht bestimmte Fälle vor, in denen eine unangemessene Verzögerung der Datenlöschung durch den Verantwortlichen gerechtfertigt ist. Es gibt jedoch auch Gründe, wie beispielsweise laufende Ermittlungen, die die Ausübung dieses Rechts verhindern können. Es handelt sich hierbei wahrscheinlich um eine der häufigsten Anfragen, denen Organisationen nachkommen müssen.
  4. Recht auf Einschränkung der Verarbeitung (Artikel 18): Dieses Recht ermöglicht es der betroffenen Person, vom Verantwortlichen die Einschränkung der Verarbeitung ihrer personenbezogenen Daten unter bestimmten Voraussetzungen zu verlangen, beispielsweise wenn der Verantwortliche die personenbezogenen Daten für den Verarbeitungszweck nicht mehr benötigt oder die Verarbeitung unrechtmäßig ist, die betroffene Person jedoch nicht von ihrem Recht auf Löschung Gebrauch machen möchte. Zu beachten ist, dass der Verantwortliche die betroffene Person informieren muss, sobald die Verarbeitungseinschränkungen aufgehoben werden.
  5. Recht auf Information (Artikel 19): Dieses Recht beschreibt eine Reihe von Umständen, unter denen der Verantwortliche die betroffene Person darüber informieren muss, wie ihre Daten verwendet werden und an wen sie übermittelt wurden. Dadurch wird sichergestellt, dass die betroffenen Personen informiert sind und somit eine angemessene Entscheidung treffen oder ihre Rechte entsprechend ausüben können.
  6. Recht auf Datenübertragbarkeit (Artikel 20): Dieses Recht gewährleistet, dass die betroffene Person verlangen kann, dass ihre personenbezogenen Daten in einem lesbaren Format und soweit technisch möglich von einem Verantwortlichen an einen anderen übertragen werden.
  7. Widerspruchsrecht (Artikel 21): Wird der Antrag einer betroffenen Person auf Einstellung der Verarbeitung ihrer Daten vom Verantwortlichen abgelehnt, hat die betroffene Person das Recht, gegen diese Ablehnung gemäß Artikel 18 Widerspruch einzulegen.
  8. Recht in Bezug auf automatisierte Entscheidungsfindung (Artikel 22): Dieses Recht ermöglicht es der betroffenen Person, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden, einschließlich Profiling, wenn dies rechtliche oder ähnlich schwerwiegende Folgen für sie haben kann. Artikel 22 nennt auch Ausnahmen von diesem Recht, beispielsweise Entscheidungen, die für einen Vertrag erforderlich sind oder gesetzlich zulässig sind. Dies kann insbesondere für Organisationen, vor allem solche mit zielgerichteten Marketingkampagnen, eine Herausforderung darstellen.

Weitere Überlegungen

Neben den acht Grundrechten der betroffenen Person gibt es eine Reihe weiterer Rechte und Aspekte, die Organisationen beachten sollten. Bestimmte Kategorien personenbezogener Daten, sogenannte “sensible Daten”, unterliegen besonderen Schutzbestimmungen. Dazu gehören personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10) sowie personenbezogene Daten, die sich auf ein Kind beziehen (Artikel 8).

Beachten Sie die Zeitvorgaben.

Bei der Beantwortung von Anfragen betroffener Personen müssen Organisationen wissen, welche Informationen sie angeben müssen, die Erfüllung der Anfragen bestätigen und alle Maßnahmen erläutern können. Beachten Sie die Fristen. Die DSGVO sieht strenge Fristen für die Beantwortung von Anfragen betroffener Personen (30 Tage) und die Meldung von Datenschutzverletzungen an die Aufsichtsbehörden (72 Stunden) vor.

Organisationen, die ihre Compliance-Prozesse in ihre SOAR-Plattform integrieren, können diese Zeitabläufe einfach verfolgen und mithilfe der SOAR-Kennzahlen, Berichte und Dashboards die Einhaltung von Compliance-Fristen sicherstellen. Neben der Echtzeitdarstellung von Prozesszeitabläufen kann die Organisation ihre SOAR-Plattform nutzen, um workflowbasierte Aufgaben wie Benachrichtigungen und Berichtseinreichungen auszulösen und so die korrekte und termingerechte Einhaltung der Prozesse zu gewährleisten.

Wichtige Ressourcen festlegen

Bei der Einrichtung Ihres Datenschutzprogramms ist ein Datenermittlungsprozess, der sensible Informationen über ihren gesamten Lebenszyklus hinweg identifiziert und abbildet – einschließlich des Datenaustauschs mit Dritten –, eine der wichtigsten Ressourcen. Ein dokumentierter Datenfluss und eine Datenklassifizierung sind grundlegende Voraussetzungen für die zukünftige Vorgehensweise.

Nachdem Sie die sensiblen Daten Ihres Unternehmens identifiziert und den Datenlebenszyklus abgebildet haben, klassifizieren Sie im nächsten Schritt die beteiligten Systeme. Dabei können verschiedene Faktoren die Priorisierung beeinflussen. Im Allgemeinen empfiehlt es sich, mit Risikofaktoren und der geschäftlichen Kritikalität zu beginnen. Dies hilft Ihrem Unternehmen, Bereiche mit hohem Risiko zu priorisieren, die strenge Kontrollen und Schutzmaßnahmen erfordern. Die gewonnenen Erkenntnisse lassen sich beim Aufbau von Kontrollen und der Implementierung unterstützender Technologien zur Risikominderung auch auf Geschäftsprozesse mit mittlerem und niedrigem Risiko übertragen.

Die Dokumentation ist entscheidend, um das Bewusstsein und das Verständnis Ihrer Organisation für Datenschutz zu bestätigen. Der Kulturwandel findet statt, sobald Datenschutz nicht mehr vernachlässigt, sondern bei jeder Änderung von Geschäftsprozessen, Beziehungen zu Dritten und den für automatisierte Entscheidungsfindung verwendeten Daten berücksichtigt wird.

Sobald Ihr Unternehmen die Grundlage für ein Datenschutz- und Sicherheitsprogramm geschaffen hat, sollten Sie die Anforderungen unbedingt bei der Auswahl von Geschäftspartnern, Datenverarbeitern oder anderen Drittanbietern berücksichtigen. Geschäftsprozesse lassen sich zwar auslagern, die Verantwortung für Risiken jedoch nicht. Die Wahl Ihrer SOAR-Plattform kann entscheidend für den Erfolg Ihrer Compliance sein. Nutzen Sie Ihre SOAR-Plattform, um Ihre Ressourcen zu identifizieren und zu verfolgen? Werden Ihre Kontrollen von Ihrer SOAR-Plattform erfasst und überwacht? Ist die gesamte Compliance-Dokumentation vollständig in Ihre SOAR-Plattform integriert? Erstellt und übermittelt Ihre SOAR-Plattform automatisch alle erforderlichen Compliance-Dokumente und -Berichte? Falls nicht, sollten Sie sich fragen: “Warum nicht?”

Weitere wichtige Ressourcen sind die unterstützenden Richtlinien und Verfahren zur Steuerung von Governance, Risikomanagement und Compliance. Ohne zu sehr ins Detail zu gehen: Diese Dokumente sind für Prüfer die erste Anlaufstelle, um die Gestaltung und Umsetzung der Kontrollen zu überprüfen. Fehlende Richtlinien und Verfahren führen schnell zu Compliance-Verstößen. Ein Verfahren, das unbedingt etabliert werden sollte, regelt, wie die Organisation Anfragen von betroffenen Personen entgegennimmt, verarbeitet, beantwortet und dokumentiert.

Gibt es ein Team oder eine Einzelperson, die diese Anfragen bearbeitet? Da diese Aufgabe häufig von IT- oder Sicherheitsexperten (SecOps) übernommen wird, sollten Sie die Auswirkungen bedenken, falls diese Rolle nur eine Nebenfunktion ist. Es ist wichtig, einen zentralen Kanal für die Entgegennahme und Beantwortung von Anfragen zu haben, um sicherzustellen, dass keine Anfragen betroffener Personen übersehen werden. SOAR kann hierbei hilfreich sein.

IT-Betriebs- und/oder Sicherheitsüberwachungsteams benötigen keine weiteren mühsamen und manuellen Prozesse, die ihre ohnehin knappe Zeit für die Erfüllung ihrer übrigen Aufgaben, einschließlich der Gewährleistung der Netzwerksicherheit des Unternehmens, in Anspruch nehmen. Die Automatisierung dieser zeitraubenden Aufgaben mit einer SOAR-Plattform steigert die Effizienz von IT-Betrieb und Sicherheitsüberwachung und verbessert die Compliance des Unternehmens, indem die Anzahl der zu erfassenden und zu meldenden Vorfälle reduziert oder sogar ganz vermieden wird. Dies ermöglicht es dem Unternehmen, die Einhaltung der Kontrollvorgaben nachzuweisen und gleichzeitig eine standardisierte Methode zur Bearbeitung von Anfragen und zur Bereitstellung entsprechender Nachweise zu gewährleisten.

Möchten Sie mehr erfahren?

Wenn Sie dies lesen, ist Ihr Unternehmen wahrscheinlich mit der täglichen Flut an Warnmeldungen aus der sich ständig verändernden Bedrohungslandschaft überfordert und sieht sich mit regulatorischen und Compliance-Prozessen und -Verfahren konfrontiert. Swimlane kann helfen! Sehen Sie sich dieses On-Demand-Webinar an., “Optimierung der Anforderungen an die Reaktion auf Vorfälle und die Meldung von Vorfällen im Rahmen der Compliance-Vorschriften”,” Erfahren Sie, wie SOAR Ihnen bei der Automatisierung Ihrer Compliance-Berichterstattung helfen kann.

Swimlane-Webinarbanner für "Optimierung der Anforderungen an die Reaktion auf Vorfälle und die Meldung von Vorfällen im Rahmen der Compliance" mit einem Mann mit Brille.

Webinar: Optimierung der Anforderungen an die Reaktion auf Vorfälle und die Berichterstattung im Rahmen der Compliance

Während SOC-Teams weiterhin Cyberbedrohungen abwehren und sich an sie anpassen, bleibt eines konstant: Die Reaktion auf Sicherheitsvorfälle erfordert weiterhin Dokumentation und Berichterstattung. Eine gängige Compliance-Anforderung in der Energiewirtschaft ist der Critical Infrastructure Protection (CIP)-Ansatz der North American Electric Reliability Corporation (NERC). Dieser umfasst Anforderungen zum Schutz der Anlagen, die für den Betrieb und die Stabilisierung des nordamerikanischen Stromnetzes unerlässlich sind. In dieser Aufzeichnung des Webinars erläutern Bob Swanson, Compliance Research Consultant, und Jay Spann, SOAR-Experte, wie SOAR die Erstellung von Compliance-Berichten und Audit-Dokumentationen optimieren und unterstützen kann. Jetzt ansehen!

Jetzt ansehen

Tags

STEIGEN

18. September 2020
Die Datenschutzbestimmungen in den USA verstehen und wie SOAR dabei helfen kann
Mehr lesen
15. August 2019
Bewährte Verfahren für Ihr Schwachstellenmanagementprogramm
Mehr lesen
17. Oktober 2019
APIs verstehen: REST
Mehr lesen

Fordern Sie eine Live-Demo an