DSGVO-Compliance leicht gemacht


Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union (EU), die am 25. Mai 2018 in Kraft getreten ist. Sie reglementiert die Art und Weise, wie Organisationen personenbezogene Daten erheben, verwalten und speichern.

Die DSGVO gilt für jede Organisation, die Daten von EU-Bürgern verarbeitet, unabhängig von ihrem Standort. Das Hauptziel der DSGVO ist es, den Bürgern der EU mehr Kontrolle über die Verwendung ihrer persönlichen Daten zu geben und damit ihre Datenschutzrechte zu stärken.

Wie wirkt sich die DSGVO auf Ihre Organisation aus?

Die DSGVO umfasst 11 Kapitel und 99 Artikel, die Unternehmen befolgen müssen, um Bußgelder zu vermeiden. Die Verordnung verlangt von Unternehmen, dass sie:

  • die Einwilligung der betroffenen Personen in der EU einholen, bevor sie deren persönliche Daten erfassen.
  • alle Aktivitäten aufzeichnen, die im Zusammenhang mit personenbezogenen Daten durchgeführt werden, z. B. Anlegen, Ändern oder Löschen von Daten.
  • Daten-Audits durchführen sowie Bewertungen und Berichte erstellen.
  • alle gesammelten Daten wieder löschen, sobald der Zweck für den sie erhoben wurden erfüllt ist.
  • konkrete Prozesse zur Behandlung von Datenschutzverletzungen und zur Benachrichtigung der zuständigen Behörden haben.

Um die Anforderungen der DSGVO rechtzeitig umsetzen zu können, stehen Unternehmen zahlreiche IT-Werkzeuge zur Verfügung.

Wie kann IT helfen, die DSGVO-Vorgaben umzusetzen?

Die mit insgesamt 99 Artikeln sehr umfangreiche DSGVO sollte von Unternehmen am besten in einem mehrstufigen Prozess umgesetzt werden. Diese Checkliste hilft Ihnen bei den ersten Schritten. Sie benötigen:

  1. Ein zentrales Repository, in dem Log-Dateien aus verschiedenen Quellen gespeichert, überwacht und analysiert werden können
  2. Einen Benachrichtigungsmechanismus, der die Administratoren in Echtzeit über verdächtige Aktivitäten innerhalb des Unternehmensnetzwerks informiert
  3. Ein Audit-System, das die Integrität, Vertraulichkeit und Sicherheit der von der eigenen IT-Umgebung generierten Log-Dateien sicherstellt
  4. Geeignete Mittel zur Absicherung von IT-Assets, in denen personenbezogene Daten gespeichert werden
  5. Ein System, das alle datenbezogenen Aktionen aufzeichnet und bei Bedarf in detaillierten Berichten auswerten kann
  6. Eine Möglichkeit, um festzustellen, wer auf privilegierte Accounts und sensible Informationen zugegriffen hat
  7. Angemessene Sicherheits- und Encryption-Maßnahmen während der Bearbeitung personenbezogener Informationen
  8. Einen Mechanismus, der Sicherheitsverletzungen zeitnah identifiziert, meldet sowie auf diese reagiert
  9. Ein Monitoring-System für IT-Assets und -Systeme, auf denen sich personenbezogene Informationen in jeglicher Form befinden
  10. Ein Werkzeug, das die IT-Umgebung regelmäßig auf Sicherheitsschwachstellen überprüft und bei deren Absicherung hilft

Was steht eigentlich genau in den Artikeln der DSGVO?

Die Anforderungen der DSGVO sind umfangreich und komplex. Vor diesem Hintergrund ist es wenig erstaunlich, dass es derzeit keine Lösung gibt, die alle Forderungen der Verordnung adressiert. Viele der Compliance-Vorschriften lassen sich mit den richtigen IT-Tools allerdings deutlich leichter umsetzen.

Wir stellen Ihnen anhand einiger Beispiele vor, was in den Artikeln der DSGVO genau steht und wie unsere Lösungen Ihnen bei deren Erfüllung helfen können:

Artikel 5 (1) (b)

„Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);“

Wie hilft ManageEngine bei der Umsetzung?

Die Datenzugriffsberichte von DataSecurity Plus unterstützen Sie dabei, Anomalien beim Datenzugriff sowie beim Sammeln, Modifizieren oder Löschen von Daten zu identifizieren.

Mit den vorkonfigurierten Alarm-Profilen in Log360 können Sie die zuständigen Behörden benachrichtigen, falls verdächtige Aktivitäten auftreten.

Geeignete Produkte


Artikel 5 (1) (d)

„Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);“

Wie hilft ManageEngine bei der Umsetzung?

Richten Sie einen regelmäßigen Scan aller Unternehmensgeräte in Endpoint Central (ehemals Desktop Central) ein, um die Verfügbarkeit und Integrität personenbezogener Daten kontinuierlich sicher zu stellen.

Überwachen Sie Ihre Daten und löschen Sie veraltete oder inkorrekte Informationen mit Hilfe der Datei- und Speicheranalyse-Reports in DataSecurity Plus.

Nutzen Sie die Datenbank-Audits von Log360, um herauszufinden, wie lange personenbezogene Daten gespeichert wurden und löschen Sie Daten, sobald deren Speicherzweck erfüllt wurde.


Artikel 5 (1) (f)

„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);“

Wie hilft ManageEngine bei der Umsetzung?

Behalten Sie mit Endpoint Central (ehemals Desktop Central) den Überblick, welche Anwender oder Geräte versuchen, auf Unternehmensanwendungen oder -daten zuzugreifen.

Die vorkonfigurierten Benachrichtigungsprofile von Log360 schlagen bei unerlaubten Datenzugriffsversuchen umgehend Alarm.

Stellen Sie die Integrität vertraulicher Dateien und Ordner mit Log360 sicher und lassen Sie sich bei kritischen Dateiänderungen umgehend benachrichtigen.

Mit den vorkonfigurierten DSGVO-Berichtvorlagen in EventLog Analyzer können Sie alle Aktivitäten auditieren, die entweder die personenbezogenen Daten selbst betreffen oder die Systeme, auf denen diese gespeichert sind.

EventLog Analyzer hilft Ihnen dabei, Datenschutz- oder Sicherheitsbeauftragte bei Verstößen gegen die Vertraulichkeit personenbezogener Daten umgehend zu warnen.


Artikel 5 (2)

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

Wie hilft ManageEngine bei der Umsetzung?

Mit den Reports in ADManager Plus können Sie belegen, dass Ihre Datenverarbeitungsverfahren sicher und DSGVO-konform sind. Die Berichte lassen sich in vielen Dateiformaten exportieren und können bei Bedarf regelmäßig per E-Mail an wichtige Stakeholder versendet werden.

Geeignete Produkte


Artikel 24 (1)

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Wie hilft ManageEngine bei der Umsetzung?

Endpoint Central (ehemals Desktop Central) überprüft regelmäßig für Sie, ob die Konfiguration von IT-Assets und -Geräten immer noch mit der unternehmensintern vorgesehen Konfiguration übereinstimmt.

Stellen Sie mit Endpoint Central (ehemals Desktop Central) sensible Geschäftsdokumente auf bestimmten Geräten bereit und beschränken Sie den Zugriff auf autorisierte Personen und/oder Anwendungen.

Versenden Sie mit ADManager Plus Berichte per E-Mail oder legen Sie diese an einem bestimmten Speicherort ab. Auf diese Weise haben Sie immer alle Daten, die für eine Untersuchung oder eine Sicherheitsbewertung benötigt werden könnten.


Artikel 25 (2)

„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“

Wie hilft ManageEngine bei der Umsetzung?

Nutzen Sie Endpoint Central (ehemals Desktop Central), um private und geschäftliche Daten auf mobilen Endgeräten voneinander getrennt zu halten (durch das Anlegen von Containern).Beschränken Sie den Zugang auf Unternehmensressourcen auf den Arbeitsplatz.

Endpoint Central (ehemals Desktop Central) unterstützt Sie dabei, IT-Assets oder -Geräte auf Anwenderwunsch aus dem Firmennetzwerk zu entfernen. Löschen Sie alle persönlichen Daten eines bestimmten Anwenders von Ihren Servern und entziehen Sie den Zugriff auf diese Daten.

Verhindern Sie mit Password Manager Pro, dass sich unautorisierte Anwender Zugang zu Datenbanken mit personenbezogenen Daten verschaffen.

Überwachen Sie Änderungen der Zugriffsberechtigungen mit den Benachrichtigungsregeln von ADManager Plus, um illegale oder unautorisierte Änderungen zu identifizieren.


Artikel 30

„Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“

Wie hilft ManageEngine bei der Umsetzung?

ADManager Plus hilft Ihnen, einen vollständigen Audit-Trail für alle Aktivitäten in Ihrem Unternehmen anzulegen, die personenbezogene Daten betreffen.

Zeichnen Sie alle Aktivitäten zur Verarbeitung personenbezogener Daten – wie in der DSGVO gefordert – mit dem „Audit Log Viewer“ in Endpoint Central (ehemals Desktop Central) auf.


Artikel 32 (1) (a)

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten;“

Wie hilft ManageEngine bei der Umsetzung?

Key Manager Plus unterstützt Sie bei einem mehrschichtigen Ansatz bei der Informationssicherheit, sichert Daten während deren Übermittlung und vereinfacht die Überwachung und Verwaltung digitaler Schlüssel.

Verschlüsseln Sie persönliche Daten auf mobilen Endgeräten mit Endpoint Central (ehemals Desktop Central).


Artikel 32 (1) (b)

„(…) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;“

Wie hilft ManageEngine bei der Umsetzung?

Nutzen Sie Key Manager Plus, um Informationen zu schützen und zu verschlüsseln, die eine eindeutige Identifizierung von Personen ermöglichen würden.

Mit DataSecurity Plus können Sie Speichersysteme, Services oder Anwendungen überwachen und auditieren, die personenbezogene Daten speichern oder verarbeiten.

Log360 hilft Ihnen, unautorisierte Zugriffsversuche oder Anomalien im Anwenderverhalten zu erkennen, die mit diesen Systemen und Services in Verbindung stehen.

Dokumentieren Sie Änderungen an kritischen Ressourcen wie Firewalls, dem Active Directory, Datenbanken oder Dateiservern mit ADAudit Plus und lassen Sie sich in Echtzeit von der Lösung benachrichtigen.


Artikel 32 (1) (d)

„(…) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Wie hilft ManageEngine bei der Umsetzung?

Endpoint Central (ehemals Desktop Central) überprüft regelmäßig für Sie, ob die Konfiguration von IT-Assets und -Geräten immer noch mit der unternehmensintern vorgesehen Konfiguration übereinstimmt.

Verhindern Sie mit Password Manager Pro, dass sich unautorisierte Anwender Zugang zu Datenbanken mit personenbezogenen Daten verschaffen.

Sorgen Sie mit Log360 für Sicherheit während der Datenverarbeitung, indem Sie Anomalien im Blick behalten, die potentielle Datenschutzverletzungen sein könnten.

Überwachen Sie alle Aktivitäten auf Systemen, die personenbezogene Daten speichern sowie alle Änderungen an den Daten selbst mit EventLog Analyzer.


Artikel 32 (2)

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“

Wie hilft ManageEngine bei der Umsetzung?

Legen Sie in Endpoint Central (ehemals Desktop Central) Alarme für den Fall an, dass sich ein Gerät über einen vordefinierten Zeitraum hinweg nicht beim Server meldet.

Zentralisieren und korrelieren Sie Sicherheitsdaten von verschiedenen Quellen mit Log360, um potentielle Datensicherheitsverstöße umgehend zu identifizieren und einen Datenverlust zu verhindern.

Dokumentieren Sie Änderungen an personenbezogenen Daten (z.B. Modifizierung, Löschung, Umbenennung oder Änderungen an den Zugriffsberechtigungen) mit Log360.


Artikel 32 (4)

„Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“

Wie hilft ManageEngine bei der Umsetzung?

Verwalten, überwachen und dokumentieren Sie mit Password Manager Pro administrative Zugriffe auf Systeme und Anwendungen, die Informationen zur Identifizierung von Personen verarbeiten.

Log360 und ADManager Plus helfen Ihnen, Anwender aufzuspüren, die ohne die entsprechende Erlaubnis auf personenbezogene Daten zugreifen.


Artikel 33

1. „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
2. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich. (…)
5. Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.“

Wie hilft ManageEngine bei der Umsetzung?

Spüren Sie Datensicherheitsverstöße in Ihrem Netzwerk mit der Echtzeit-Alarm-Konsole und der „Correlation Engine“ von Log360 umgehend auf.

Erkennen Sie bekannte Angriffsmuster wie DoS, DDoS, SQL-Injections oder Ransomware mit Log360 und dämmen Sie diese ein.

Nutzen Sie Korrelationsregeln und Alarmprofile, um unbekannte Angriffsmuster aufzuspüren.

Die Log-Suchmaschine in Log360 hilft Ihnen bei forensischen Analysen. So können Sie herausfinden, wann ein Datenschutzmissbrauch stattgefunden hat, welche Daten und Systeme betroffen sind und wer beteiligt war.

Zeichnen Sie privilegierte Zugriffe mit Password Manager Pro als Video auf, um für forensische Audits gerüstet zu sein.

Exportieren Sie alle forensischen Informationen und erstellen Sie Incident-Reports für die zuständigen Behörden mit den umfangreichen Reports von Log360.

Geeignete Produkte


ManageEngine bietet eine Reihe von Lösungen an, die bei der Umsetzung der DSGVO unterstützen. Mit den richtigen Anwendungen können Sie sich darauf verlassen, dass alle Aktivitäten Ihres Unternehmens überwacht und auditiert werden, um Missmanagement bei der Verwaltung personenbezogener Daten zu vermeiden.


Folgende Lösungen unterstützen Sie bei der
DSGVO-Compliance:

ADAudit Plus

ADAudit Plus ist eine umfassende IT-Sicherheitslösung, die Zugriffe und Aktivitäten auf Servern überwacht, auf denen personenbezogene Daten gespeichert sind. So werden Verstöße, unbefugte Zugriffe und Änderungen an personenbezogenen Daten unverzüglich erkannt. Mit den Funktionen zum Monitoring der Benutzeranmeldungen können Sie Brute-Force-Angriffe einfach identifizieren. Zudem erhalten Sie Einblick in Anmeldefehler, Anmeldeaktivitäten und vieles mehr.

ADManager Plus

ADManager Plus ist eine webbasierte Monitoring- und Reporting-Lösung für das Active Directory, mit der Sie die Benutzerberechtigungen für den Zugriff auf personenbezogene Daten überprüfen können. ADManager Plus erstellt einen lückenlosen Audit-Trail und stellt sicher, dass Ihr Unternehmen über geeignete Maßnahmen zur Einhaltung der Datensicherheit verfügt.

Endpoint Central

Endpoint Central (ehemals Desktop Central) ist eine Endpoint-Management-Lösung, die Datenverantwortliche bei der Verwaltung personenbezogener Daten unterstützt und dabei die Privatsphäre der Anwender bei vollständiger Transparenz schützt. Sichern Sie personenbezogene Daten auf Desktops, Servern und mobilen Geräten, indem Sie alle Schwachstellen Ihres Netzwerks im Blick haben und Berichte erstellen, um DSGVO-konform zu bleiben.

EventLog Analyzer

EventLog Analyzer, unsere umfassende Log-Management- und -Audit-Lösung, unterstützt Sie bei der Einhaltung der Datensicherheits­anforderungen der DSGVO. Umfangreiche Reporting- und Suchfunktionen helfen Ihnen, angemessen und zeitnah auf Verstöße zu reagieren.


DataSecurity Plus

Verbessern Sie die Sicherheit Ihres Unternehmens, verhindern Sie Datenlecks und vermeiden Sie Compliance-bezogene Sanktionen, indem Sie alle Aktivitäten auf Ihren Dateiservern kontinuierlich überwachen und dokumentieren. DataSecurity Plus hilft Ihnen, die Integrität vertraulicher Dateien und Ordner sicherzustellen und benachrichtigt Sie bei kritischen Dateiänderungen umgehend.

Key Manager Plus

KeyManager Plus unterstützt Sie bei einem mehrschichtigen Ansatz bei der Informationssicherheit: Mit der Lösung können Sie Ihre Public-Key-Infrastruktur einfach überwachen und verwalten. Digitale Schlüssel und Zertifikate lassen sich so einfach aufspüren, bereitstellen oder austauschen. Das stellt sicher, dass personenbezogene Daten sicher und verschlüsselt abgelegt sind.

Log 360

Log 360 ist eine umfassende Lösung für Log-Management und Netzwerksicherheit, die Zugriffe auf und kritische Änderungen an Datenbanken mit personenbezogenen Daten dokumentiert. Außerdem überwacht Log360 Benutzeraktivitäten, auditiert kritische Änderungen im Active Directory in Echtzeit und benachrichtigt Administratoren sofort über ungewöhnliche Vorfälle und Sicherheitsangriffe.

Password Manager Pro

Mit Password Manager Pro, unserer Lösung für Privileged Access Management (PAM), verhindern Sie, dass Angreifer die Zugänge privilegierter Anwender nutzen, um auf personenbezogene Daten zuzugreifen. Verwalten, überwachen und dokumentieren Sie die Zugriffe von Superusern und Administratoren auf Systeme und Anwendungen, die personenbezogene Daten verarbeiten.


Kontaktaufnahme

Bitte geben Sie Ihre Daten ein:


Die Datenschutzhinweise habe ich zur Kenntnis genommen.
Pflichtfelder sind mit einem * gekennzeichnet.


Haftungsausschluss:

Die vollständige Einhaltung der DSGVO erfordert eine Vielzahl von Lösungen, Prozessen, Menschen und Technologien.
Dieses Material dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung im Hinblick auf die Einhaltung der DSGVO dar. ManageEngine gibt keine ausdrücklichen, stillschweigenden oder gesetzlichen Garantien in Bezug auf die Informationen in diesem Material ab.

ManageEngine – Support & Kontakt


MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren