In sechs Monaten tritt die Datenschutz-Grundverordnung in Kraft. Während Juristen Einwilligungsformulare und Auftragsverarbeitungsverträge klären, haben wir im technischen Team unsere eigenen Herausforderungen: Verschlüsselung, Audit-Logs, Recht auf Löschung und Datenportabilität.
DSGVO aus technischer Perspektive¶
- Datenminimierung – erheben Sie nur, was Sie wirklich brauchen
- Zweckbindung – verwenden Sie Daten nur für den angegebenen Zweck
- Recht auf Löschung – Sie müssen in der Lage sein, die Daten einer bestimmten Person zu löschen
- Datenportabilität – Export in einem maschinenlesbaren Format
- Meldung von Datenschutzverletzungen – 72 Stunden zur Meldung eines Vorfalls
Audit: Wo haben wir überall personenbezogene Daten?¶
Wir haben ein Inventar aller Systeme und Datenflüsse erstellt. Es dauerte zwei Wochen und brachte Systeme zum Vorschein, von denen niemand wusste, dass sie personenbezogene Daten verarbeiten. Datenbanken, Logs, Backups, Analytics, CRM…
Technische Maßnahmen: Verschlüsselung¶
At Rest: Alle Daten auf der Festplatte verschlüsselt. AWS EBS Encryption, S3 Server-Side Encryption, LUKS für On-Premise. In Transit: TLS überall, einschließlich interner Services.
Recht auf Löschung – Ein technischer Albtraum¶
Daten befinden sich in der Produktions-DB, in Backups der letzten 90 Tage, in Log-Dateien, in Analytics-Systemen, im Cache, im Suchindex… Unsere Lösung: ein zentralisierter “User Data Service” mit einer API für vollständige Löschung.
Plan bis Mai 2018¶
- Q4 2017: Daten-Mapping, Gap-Analyse
- Q1 2018: Implementierung von Verschlüsselung, Löschungs-API, Audit-Logging
- Q2 2018: Testing, Dokumentation, Schulung
DSGVO ist eine Chance, nicht nur eine Pflicht¶
Richtig umgesetzte DSGVO verbessert Sicherheit, Datenqualität und Kundenvertrauen. Aufschieben hat keinen Sinn – der 25. Mai 2018 rückt schnell näher.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns