EU-DSGVO - Stand der Technik

IT-Sicherheit und die Datenschutz-Grundverordnung

| Autor / Redakteur: André Neumann* / Peter Schmitz

Die Uhr tickt! Am 25.5.2018 endet die Übergangsfrist für die Datenschutz-Grundverordnung. Die Vorgaben zu verstehen und umzusetzen, fällt vielen Unternehmen nicht leicht.
Die Uhr tickt! Am 25.5.2018 endet die Übergangsfrist für die Datenschutz-Grundverordnung. Die Vorgaben zu verstehen und umzusetzen, fällt vielen Unternehmen nicht leicht. (Bild: Pixabay / CC0)

Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist für viele Unternehmen eine besondere Herausforderung verbunden, müssen sie doch ihre IT-Systeme entsprechend dem Stand der Technik absichern. So will es der Gesetzgeber. Doch was ist eigentlich der „Stand der Technik“? Hier scheiden sich die Geister.

Die neue EU-DSGVO regelt europaweit den Schutz und die Verarbeitung personenbezogener Daten. In Artikel 32 der Verordnung heißt es: „Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und ggf. der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Wie gerade solche Unternehmen mit einer derart schwammigen Formulierung umgehen sollen, die nicht aus der IT-Branche kommen, bleibt freilich ungeklärt.

Denn was genau ist der „Stand der Technik“? Die Gesetzesmacher scheinen sich auf den ersten Blick selbst nicht darüber im Klaren zu sein. Zumindest lassen sie viele Unternehmen ratlos zurück. Und die wichtigste Frage bleibt unbeantwortet: Was genau ist jetzt zu tun?

Für Betroffene mag es überraschend klingen, doch die vage Formulierung vom „Stand der Dinge“ hat der Gesetzgeber ganz bewusst gewählt. Zum einen entzieht sich die Politik auf diese Weise einer potentiellen Haftung oder Anfechtbarkeit. Zum anderen weiß auch die Politik, dass die technologische Entwicklung heutzutage rasend schnell voranschreitet und durch eine einfache Verordnung nicht adäquat abgebildet werden kann. So sind bestimmte Maßnahmen schon wieder veraltet, wenn die Verordnung denn tatsächlich in Kraft tritt. Es bleibt abzuwarten, ob sich der Gesetzgeber im Rahmen eventueller Novellierungen der Vorordnung künftig anders auszudrücken weiß. Trotzdem entbindet diese Schwammigkeit in der sprachlichen Formulierung die Unternehmen nicht von ihrer vorgeschriebenen Pflicht, ihre IT-Systeme auf den neuesten Stand zu bringen und moderne Sicherheitsstandards umzusetzen.

9 DSGVO-Mythen enttarnt!

Klarheit bei der Datenschutz-Grundverordnung

9 DSGVO-Mythen enttarnt!

31.01.18 - Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Was stimmt? lesen

Schlussendlich lässt sich der Stand der Technik in drei Stufen unterteilen. Die erste Stufe beruht auf Technologien und Konzepten, die in der Vergangenheit bereits erfolgreich erprobt und umgesetzt wurden. So entsteht ein Konsens, der auf bewährten Maßnahmen beruht. Das Problem dieser Ebene ist, dass sie Innovationen und den Blick auf Technologien von morgen gänzlich ausschließt.

Die zweite Ebene verzichtet auf einen Konsens und konzentriert sich von vornherein auf innovativere Technologien. Doch eine ausschließliche Konzentration auf schnellere Innovationen ist gerade für Unternehmen aus IT-fremden Industriesegmenten häufig ein Problem.

Schließlich gibt es eine dritte Ebene. Hier stehen jene Technologien im Mittelpunkt, die sich noch in der Forschung und Entwicklung befinden, also Technologien von morgen, die sich in der Praxis noch nicht ausreichend bewährt haben. Ideal für die EU-Datenschutzgrundverordnung wäre eine Konzentration auf einen Platz zwischen der ersten und zweiten Ebene, also eine Nutzung bewährter Technologien unter fortwährender Bereitschaft, diese auf dem neuesten und sichersten Stand zu halten. Auf diese Weise sind Unternehmen in der Lage, in der Praxis einen größtmöglichen Datenschutz zu garantieren.

Orientierungshilfen

Folgerichtig sollten sich Unternehmen daher kontinuierlich selbst über aktuelle technische Entwicklungen informieren. Hilfe finden sie beispielsweise beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI gibt sein IT-Grundschutz-Kompendium sowie technische Richtlinien heraus, welche es regelmäßig aktualisiert. Hier werden Mindeststandards etwa zu kryptografischen Verfahren erläutert, die im Business-Kontext zu beachten sind.

Auch die Aufsichtsbehörden für Datenschutz sowie Fachverbände geben regelmäßig Informationsmaterialien heraus, die als Überblick und Ratgeber für neueste Sicherheitstechnologien dienen. Zumindest in der Theorie erhalten Unternehmen dann eine gute Vorstellung davon, was in puncto IT-Sicherheit und Datenschutzverordnung zu tun ist.

Die konkrete Umsetzung muss dann freilich noch erfolgen. Dies beinhaltet auch die Suche nach einem geeigneten Hersteller der notwendigen Systeme. Eine weitere Orientierungshilfe bilden Zertifikate zur Informationssicherheit nach ISO 27001. Die EU-DSGVO verfügt derzeit über keinen einheitlichen zertifizierbaren Standard. Lediglich Teilbereiche werden über verschiedene Modelle abgedeckt. Weitere Möglichkeiten zur Orientierung erhalten Unternehmen über den Anforderungskatalog des BSI „Cloud Computing Compliance Controls Catalogue“ (C5). Auch das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz (ULD) von Schleswig-Holstein hat praktische Guidelines zum Thema Datenschutz veröffentlicht. Dabei gilt es jedoch zu beachten, dass ein Zertifikat nur den aktuellen Sicherheitsstatus ablichtet. Wie bereits erwähnt, entwickelt sich die Technik allerdings rasend schnell weiter.

Meldepflichten gibt es nicht nur bei der DSGVO

Meldepflichten bei IT-Sicherheitsvorfällen

Meldepflichten gibt es nicht nur bei der DSGVO

30.01.18 - Viele Unternehmen haben bisher Schwierigkeiten damit, die verschärften Meldepflichten nach Datenschutz-Grundverordnung umzusetzen. Große Probleme bereitet Vielen dabei, dass die Meldung der Datenpanne innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde erfolgen soll. Dabei sind dies nicht die einzigen Meldepflichten, mit denen sich Unternehmen beschäftigen müssen. lesen

Viele Unternehmen sind nicht vorbereitet

Insgesamt mag es nicht überraschen, dass sich ein Großteil der Unternehmen in Deutschland als nicht ausreichend vorbereitet auf die neue DSGVO bezeichnet. Dies besagt zumindest eine Umfrage des Branchenverbandes Bitkom. So gaben lediglich 13 Prozent der Befragten an, bereits konkrete Maßnahmen in Angriff genommen zu haben – und immerhin 49 Prozent beschäftigen sich mit dem Thema. Viele Unternehmen haben Mühe damit, den Ausführungen der neuen Verordnung zu folgen.

Die Anforderungen sind umfangreich und die konkrete Umsetzung in vielen Fällen schwierig, so ehrenwert sie auch sein mögen. Über 30 Prozent der Unternehmen bemängeln denn auch laut Bitkom konkrete Umsetzungshilfen. Abhilfe schafft die Zusammenarbeit mit erfahrenen Dienstleistern, die sich tagtäglich mit Risikoszenarien, Abwehrmechanismen und ganzheitlicher Sicherheit auseinandersetzen.

Trotzdem bleibt das auftraggebende Unternehmen gegenüber dem Gesetzgeber in der Verantwortung. Kommt es zu einer Datenpanne, sind IT-Dienstleister in der Beweispflicht, sich von einer gewissen Mitschuld zu befreien. Ein solcher Vorgang ist dann schnell ein Fall für die Versicherung – oder ein Gericht. Denn ab dem Stichtag sind IT Service Provider ebenso in einer höheren Informations- und Beratungspflicht gegenüber ihren Kunden.

Ziel: Ganzheitlicher Datenschutz „by Design“

Die neue EU-DSGVO beinhaltet eine umfassende Modernisierung der Systeme, die insbesondere auf den „Privacy by Design“-Ansatz abzielt. Er beruht auf einem grundlegenden und ganzheitlichen Sicherheitskonzept für personenbezogene Daten. Umso mehr gilt es, bei der Zusammenarbeit mit Providern ein entsprechendes Vertrauen aufzubauen. Beispielsweise muss ein Provider schon dann Alarm schlagen, wenn die Gegebenheiten eine Datenpanne ermöglichen, auch wenn diese faktisch noch gar nicht stattgefunden hat.

Ziel ist es, das Risiko schon im Vorfeld zu minimieren, bevor der eigentliche Ernstfall eintritt. Zu diesem Vorgehen passen ebenso die strengeren Meldepflichten. IT-Dienstleister müssen diesbezüglich gegenüber ihren Auftraggebern maximale Transparenz einräumen. Geschieht dies nicht und verstößt ein Unternehmen gegen die Auflagen der EU-Verordnung, werden, wie eingangs erwähnt, zum Teil empfindliche Bußgelder für die Unternehmen fällig.

Die DSGVO-Verantwortung sollen am liebsten andere tragen

Der Maßstab in Sachen Datenschutz wackelt

Die DSGVO-Verantwortung sollen am liebsten andere tragen

08.01.18 - In Deutschland legen die Unternehmenslenker und die Verbraucher großen Wert auf Datenschutz und Sicherheit. Doch die Ansichten bezüglich der nächsten Stufe des Datenschutzes und der Privatsphäre – und dazu lässt sich die Europäische Datenschutzgrundverordnung, kurz DSVGO, rechnen, sind sehr gespalten. Hilft sie der Digitalisierung? lesen

Die Übergangsfrist endet ... bald

Die Uhr tickt! In wenigen Monaten endet die Übergangsfrist für die EU-Datenschutz-Grundverordnung. Die Vorgaben zu verstehen und umzusetzen, fällt vielen Unternehmen in Deutschland nicht leicht. Doch gibt es Abhilfe in Form von Guidelines und Empfehlungen sowie erfahrene IT-Dienstleister, die mit Rat und Tat zur Seite stehen. Unternehmen sollten daher außerbetriebliche Hilfen in Anspruch nehmen und eruieren, welche Maßnahmen sinnvoll und notwendig sind, um den Missbrauch sensibler Daten zu verhindern. Im eigenen Interesse sollten Unternehmen den Aufwand nicht scheuen. Denn so kompliziert die neue Verordnung auf den ersten Blick auch scheinen mag, die Erfüllung der damit vorhandenen Vorgaben ist Pflicht.

*Über den Autor: André Neumann ist Director Supplier Management & Data Privacy bei Nexinto.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45158410 / Services)