Home | Community Forum | Blog

NextLabs und die DSGVO

Die attributbasierte Richtlinienplattform von NextLabs sichert sensible personenbezogene Daten auf der Datenebene – unabhängig davon, ob sie innerhalb oder außerhalb Ihres Unternehmens, in strukturierten oder unstrukturierten Formaten, in Applikationen, in der Cloud oder auf mobilen Geräten gespeichert sind. Die Lösungen von NextLabs helfen Ihnen, die konsistente Durchsetzung von DSGVO-bezogenen Compliance- und Sicherheitsrichtlinien im gesamten Unternehmen zu automatisieren, um persönlich identifizierbare Informationen (PII) zu schützen, den Zugriff auf PII zu überwachen und zu kontrollieren sowie Sicherheitsverletzungen durch Informationsaustausch, externe Verletzungen und internen Missbrauch zu verhindern.  

Nach der Datenschutz-Grundverordnung haben die betroffenen Personen das Recht auf:   

  • Zugang zu den über sie gesammelten personenbezogenen Daten zu erhalten und zu verstehen, wie diese verarbeitet und weitergegeben wurden   
  • Berichtigung unrichtiger personenbezogener Daten     
  • Löschung ihrer personenbezogenen Daten (,,Recht auf Vergessenwerden”)   
  • Verwendung ihrer personenbezogenen Daten einzuschränken   
  • Erhaltung der Daten, die sie zuvor bereitgestellt haben   
  • “unverzüglich” benachrichtigt zu werden, wenn ihre personenbezogenen Daten von einer Verletzung betroffen sind, die wahrscheinlich zu einem hohen Risiko für ihre “Rechte und Freiheiten” führt  

Gewährleistung der erweiterten Rechte der betroffenen Personen 

Wenn Ihr Unternehmen personenbezogene Daten von Personen mit Wohnsitz in der Europäischen Union (EU) erfasst, verarbeitet und/oder kontrolliert, kennen Sie sicherlich die Datenschutz-Grundverordnung (DSGVO). Dies ist die wichtigste Änderung des Datenschutzes seit 20 Jahren, und die Nichteinhaltung kann zu Sanktionen, Geldbußen (bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. EUR, je nachdem, welcher Betrag höher ist), Rufschädigung und individuellen Privatklagen führen.   

Die Datenschutz-Grundverordnung schützt die Rechte der in der EU ansässigen Personen (sowohl Bürger als auch Nicht-Bürger), zu bestimmen, ob, wann, wie und an wen ihre personenbezogenen Daten weitergegeben werden und wie sie verwendet werden können. Die Verordnung erweitert den Schutz für besondere Kategorien personenbezogener Daten wie rassische Herkunft, Religion, politische Überzeugungen, genetische/biometrische/gesundheitliche Daten, sexuelle Orientierung und mehr. 

Auswirkungen der DSGVO auf IT, Sicherheit und Compliance

Um alle in der Verordnung festgelegten Anforderungen (einschließlich der erweiterten Rechte der Betroffenen) zu erfüllen, müssen IT-, Sicherheits- und Compliance-Verantwortliche in der Lage sein:  

  • alle Quellen personenbezogener Daten zu identifizieren und zu klassifizieren, die das Unternehmen kontrolliert, und jederzeit zu wissen, wo sich diese Daten befinden 
  • den Zugriff auf personenbezogene Daten zu kontrollieren, so dass nur Personen mit der entsprechenden Berechtigung die Daten einsehen oder Aktionen durchführen können   
  • die Einhaltung der DSGVO zu dokumentieren und einen Prüfpfad darüber zu haben, wie, wann und wo die personenbezogenen Daten verwendet werden – sowohl innerhalb als auch außerhalb der Organisation 

Um die vollständige Einhaltung der DSGVO zu gewährleisten, benötigen Unternehmen ein System, das die Durchsetzung von Richtlinien automatisieren kann, um die Möglichkeit von Benutzerfehlern auszuschließen. Die Lösung muss außerdem die Benutzerattribute ohne menschliches Eingreifen auf dem neuesten Stand halten. Um personenbezogene Daten angemessen zu schützen, müssen die Daten direkt gesichert werden, um Daten zu schützen, die im gesamten Unternehmen (Kunden, Partner, Dienstleister, Benutzer) gemeinsam genutzt werden, unabhängig davon, welches Gerät für den Zugriff verwendet wird.   

NextLabs hat diese Fähigkeiten in seine Plattform-, Datenschutz- und Applikationssicherheitslösungen integriert. NextLabs bietet von Haus aus den in Artikel 25 der DSGVO geforderten ,,Datenschutz durch Design und Standard”. 

Identifizieren und Klassifizieren von persönlichen Daten

Die genaue Klassifizierung von Daten ist der Schlüssel zur Gewährleistung eines angemessenen Schutzes von personenbezogenen Daten. Es ist nicht möglich, den Anträgen der betroffenen Personen auf Zugriff, Berichtigung, Löschung, Einschränkung und Erhalt ihrer personenbezogenen Daten nachzukommen, wenn Sie nicht genau wissen, welche Daten sensibel sind und wo sich diese Daten befinden – sowohl innerhalb als auch außerhalb des Unternehmens, ob vor Ort oder in der Cloud.   

Mit der Datenklassifizierung können Sie nicht nur den Speicherort von PII nachverfolgen, sondern auch die Maßnahmen festlegen, die Personen ergreifen können, wenn sie auf die Daten zugreifen. Sie können Zugriffs- und Nutzungsrichtlinien definieren, die mit jeder Art von Klassifizierung verbunden sind.   

NextLabs arbeitet mit jedem Dateityp und klassifiziert automatisch große Dateispeicher auf der Grundlage Ihrer vordefinierten Regeln, Schlüsselwörter und Metadaten. Da die DSGVO beispielsweise Beschränkungen für den Umgang mit personenbezogenen Daten von Kindern vorsieht, sollten Sie das Alter der betroffenen Personen erfassen und zulässige Aktionen für die Daten festlegen. (Beachten Sie, dass Sie personenbezogene Daten nach jeder der geschützten Kategorien kategorisieren können, sei es Religion, Geschlecht oder andere.) NextLabs kann personenbezogene Daten kategorisieren, unabhängig davon, ob sie in strukturierten oder unstrukturierten Datenformaten vorliegen. Es kann auch bei folgenden Punkten helfen: 

  • Automatische Stapelklassifizierung auf der Grundlage Ihrer Regeln, wobei die Inhaltsanalyse zur Suche nach den gewünschten Schlüsselwörtern und Metadaten verwendet wird   
  • Anwendung eines regelbasierten Schutzes auf sensible Dateien   
  • Abtrennung sensibler Daten in bestimmte klassifizierte Verzeichnisse   
  • Überprüfen Sie inkrementelle Änderungen in von Ihnen festgelegten Zeitintervallen, um sicherzustellen, dass die Daten immer richtig klassifiziert sind.   
  • Verwalten Sie Ihre Regeln zentral und erstellen Sie Berichte, die zeigen, wie Ihr Unternehmen personenbezogene Daten verteilt und speichert

Kontrolle des Zugangs zu persönlichen Daten

In einem erweiterten Unternehmen, in dem wir sensible Daten unternehmensübergreifend, über externe Systeme und mit unbekannten Benutzern und Geräten austauschen, kann die konsistente Umsetzung von Autorisierungsrichtlinien eine unlösbare Aufgabe sein. In einem typischen Szenario verfügt jedes Anwendungs- und Systemsilo über Autorisierungsrichtlinien, die redundant, schwer zu ändern und kostspielig zu pflegen sind. Die zentralisierte Richtlinienverwaltung von NextLabs beschleunigt den Datenschutz und die Einhaltung von Vorschriften.   

Die NextLabs-Plattform ist identitätsbewusst, inhaltsbewusst und kontextbewusst. Sie wendet automatisch Schutzmaßnahmen auf Daten an, die auf deren Inhalt basieren, anstatt sich darauf zu verlassen, dass die Endbenutzer Richtlinien manuell auf jedes einzelne Dokument anwenden. 

Das System trifft Autorisierungsentscheidungen zur Laufzeit anhand von Kontextinformationen – oder Attributen – über den Benutzer (z. B. Titel, Abteilung, Projekt), die Daten (Klassifizierung, Kategorie, Typ, Inhalt) und die Umgebung (Gerät, Standort, Tageszeit). Auf diese Weise lassen sich fein abgestufte Entscheidungen treffen, um sicherzustellen, dass nur die richtigen Personen Zugriff auf sensible Informationen erhalten.   

Dieser Schutz der Daten ist dauerhaft. NextLabs schützt sensible persönliche Informationen auf Datenebene, unabhängig davon, ob sich diese Daten innerhalb oder außerhalb Ihres Unternehmens befinden, in strukturierten oder unstrukturierten Formaten oder in Anwendungen, der Cloud oder auf mobilen Geräten. Darüber hinaus können Sie: 

  • Maskieren, Löschen und Schwärzen von Feldern zur Einhaltung von Artikel 9 (erhöhter Schutz für besondere Kategorien von personenbezogenen Daten)   
  • Daten filtern, so dass Benutzer nur die Informationen sehen, für die sie berechtigt sind   
  • Erfüllung des Wunsches einer betroffenen Person, vergessen zu werden, durch Festlegen von Attributen für einen bestimmten Zeitraum/ein bestimmtes Enddatum (gefolgt von Löschung oder Unmöglichkeit des Zugriffs)   
  • Verschlüsselung von Daten, so dass personenbezogene Daten auch im Falle einer Sicherheitsverletzung sicher geschützt sind   
  • Trennen Sie Daten, um sicherzustellen, dass nur diejenigen, die Rechte haben, die Daten sehen können.   
  • Schutz über mehrere Systeme hinweg, basierend auf denselben Benutzerattributen 

Dokumentieren Sie die Einhaltung der DSGVO 

Die Datenschutz-Grundverordnung verlangt, dass Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörde melden und mitteilen, welche Daten gefährdet waren und wie viele betroffene Personen davon betroffen waren. Darüber hinaus müssen Sie in der Lage sein, die Einhaltung aller relevanten Artikel der DSGVO nachzuweisen und zu überprüfen, ob Ihre Partner in der Wertschöpfungskette diese ebenfalls einhalten.   

Eine zusätzliche Komplikation für die Einhaltung der Vorschriften besteht darin, dass einzelne EU-Länder zusätzlich zum GDPR-Mandat weitere Datenschutzvorschriften haben können, was die Einhaltung der Vorschriften über Ländergrenzen hinweg noch komplexer macht. Die fein abgestuften Richtlinien von NextLabs können lokale oder länderspezifische Unterschiede berücksichtigen und Zugriffsrechte entsprechend gewähren – so wird der Prozess rationalisiert und lässt sich leicht durchsetzen. 

NextLabs unterstützt Sie bei der Einhaltung der GDPR und bei der Dokumentation Ihrer Compliance durch die Zentralisierung der Richtlinienverwaltung mit voller Transparenz und Kontrolle. Unternehmen können die Erstellung, Durchsetzung und Verwaltung von Sicherheitsrichtlinien für alle Anwendungen und Systeme zentral steuern und so sicherstellen, dass die Richtlinien mit den Geschäftszielen übereinstimmen und im gesamten Unternehmen einheitlich angewendet werden.  

Umfassende Überwachung und Berichterstattung über Benutzeraktivitäten und Datenzugriff bieten verbesserte Audit- und Compliance-Funktionen und ermöglichen es Unternehmen, Anomalien in den Zugriffsmustern zu erkennen und Administratoren über verdächtiges Verhalten zu informieren – sogar bevor es zu einem Sicherheitsverstoß kommt. Die NextLabs-Plattform bietet eine permanente Ereignisüberwachung und -protokollierung im gesamten Unternehmen, so dass Benutzer mit dem richtigen Zugriff darauf Einblick nehmen können:   

  • Verwendungsmuster
  • Autorisierungsentscheidungen
  • Trend-Analyse
  • Audit-Trails für die gesamte Datennutzung 

Wie NextLabs die Einhaltung der DSGVO sicherstellt 

Die bloße Einführung von Datensicherheits-Tools und -Prozessen stellt nicht sicher, dass ein Unternehmen sensible Daten tatsächlich in dem von der GDPR geforderten Maße schützt. NextLabs gewährleistet die vollständige GDPR-Konformität durch seinen automatisierten, integrierten und durchgängigen Schutz von personenbezogenen Daten:   

  • DSGVO-Richtlinien werden auf einer einzigen Plattform erstellt und verwaltet und im gesamten Unternehmen konsistent und automatisch durchgesetzt. Unternehmen haben volle Transparenz darüber, welche Richtlinien durchgesetzt werden.   
  • Der Schutz von personenbezogenen Daten ist durchgängig, unabhängig davon, wo sich die Daten befinden: in der Cloud, auf Laptops, mobilen Geräten oder Dateiservern. Der Datenschutz bleibt während des gesamten Lebenszyklus bestehen, unabhängig davon, wo die Daten gespeichert sind.   
  • Richtlinien können leicht geändert oder aktualisiert werden, und das System setzt die neuen Richtlinien automatisch im gesamten Unternehmen durch.   
  • Wenn sich der Status eines Benutzers ändert (z. B. wenn ein Teammitglied ein Projekt verlässt), berücksichtigt das System die Statusänderungen automatisch bei der Bewertung von Zugriffsanfragen, so dass die aktuellsten Informationen verwendet werden, um festzustellen, ob der Zugriff gewährt werden sollte.   
  • Die zentralisierte Transparenz und Berichterstattung bietet eine Echtzeitansicht des Datenzugriffs und der Datennutzung, unabhängig davon, wo die Daten gespeichert sind. 

To comment on this post
Login to NextLabs Community

NextLabs seeks to provide helpful resources and easy to digest information on data-centric security related topics. To discuss and share insights on this resource with peers in the data security field, join the NextLabs community.