DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Daten­schutz­grund­ver­ordnung

Anfang 2012 hat sich die EU-Kom­­mission erst­malig mit einer struk­tu­rellen Modi­fi­kation der bis­he­rigen Euro­päische Daten­­schutz-Rich­t­­linie 95/46/EG befasst.

Erklärtes Ziel war es, die national unab­hän­gigen und eigen­stän­digen Daten­schutz­re­ge­lungen der Mit­glieds­staaten mit einem teil­weise sehr unter­schied­lichen Daten­schutz­niveau „ein­zu­fangen“ und in eine ein­heit­liche Rechts- und Markt­ordnung auf hohem Grund­rechts­niveau zusam­men­zu­führen.

Dabei sollten die aus tech­ni­scher Sicht völlig über­holten Rege­lungen von 1995 an den aktu­ellen Stand der Digi­ta­li­sierung ange­passt werden, denn die aus dem Bun­des­da­ten­schutz­gesetz pos­tu­lierte „Infor­ma­tio­nelle Selbst­be­stimmung“ lief Gefahr, zunehmend an Sub­stanz zu ver­lieren. Deutlich wurde dies durch die Vielzahl von Pres­se­mel­dungen über Cyber­kri­mi­na­lität, Daten­spionage, ‑sabotage und –miss­brauch. Die Vor­fälle ver­stärkten den Ein­druck, dass die betrof­fenen Bürger den Rechts­ver­stößen quasi rechte- und machtlos aus­ge­liefert sind und daher „erheb­liche Risiken für den Schutz natür­licher Per­sonen bestehen“ (Art. 9 DSGVO). Kein Wunder, dass nach einer Umfrage der BITKOM im Jahr 2014 bereits 86 Prozent der Befragten ihre per­sön­lichen Daten im Internet für unsicher hielten.

Auch wenn Kri­tiker die — ab 25. Mai 2018 unmit­telbar gel­tende — Euro­päische Daten­­schutz-Grun­d­­ver­­­ordnung als „auf­ge­weicht“ betrachten, so über­wiegt dennoch der positive Ein­druck, dass damit ernst­zu­neh­mende Schritte unter­nommen wurden, um die Kon­troll­mög­lich­keiten und Rechte der Bürger bezüglich ihrer per­so­nen­be­zo­genen Daten signi­fikant zu stärken.

Die Durch­setzung dieser Rechte bedeutet jedoch zunächst eines: Sehr viel Arbeit für die ein­zelnen Länder der EU (Füllen der Öff­nungs­klauseln, Anpassung geson­derter Daten­schutz­be­stim­mungen wie z. B. im Tele­me­di­en­gesetz, Sozi­al­ge­setzbuch etc. an die neuen Rege­lungen der DSGVO) und ins­be­sondere für alle daten­ver­ar­bei­tenden Unter­nehmen. Denn sie haben künftig eine Vielzahl neuer Dokumentations‑, Melde- und Geneh­mi­gungs­pflichten zu beachten, um nach­weisen zu können, mit welchen Maß­nahmen sie die neuen Anfor­de­rungen an die Ver­ar­beitung per­so­nen­be­zo­gener Daten umsetzen.

Gemeint sind Anfor­de­rungen wie z. B. „Privacy by Design“ (Beachtung des Daten­schutzes schon bei der Kon­zeption neuer Software), „Privacy by Default“ (daten­schutz­kon­forme Vor­ein­stel­lungen), das modi­fi­zierte Ein­­wil­­li­­gungs- und Trans­pa­renz­prinzip, aber auch die über­ar­bei­teten Grund­sätze zur Zweck­bindung und Daten­mi­ni­mierung, zur Spei­cher­be­grenzung oder zur Rich­tigkeit, Inte­grität und Ver­trau­lichkeit.

Wer weiß schon exakt, wie diese Rege­lungen ange­messen, wirt­schaftlich und frist­ge­recht umge­setzt werden sollen, um dro­hende Sank­tionen zu ver­meiden? Schließlich sollen die Geld­bußen gem. Art. 83 DSGVO künftig „wirksam, ver­hält­nis­mäßig und abschre­ckend“ sein und wurden daher vor­sorglich je nach Verstoß auf bis zu 20 Mil­lionen Euro oder bis zu 4 Prozent des welt­weiten Jah­res­um­satzes ange­hoben.

Nach­fol­gende Emp­feh­lungen könnten helfen, die Vielzahl an Auf­gaben struk­tu­riert anzu­gehen.

  1. Klären Sie zunächst, in welcher Rolle Sie von der EU-DSGVO betroffen sind, da abhängig davon unter­schied­liche Umset­zungs­maß­nahmen auf Sie zukommen. Sind Sie „Ver­ant­wort­licher“ (Ent­schei­dungs­gewalt über die Zwecke und Mittel der Ver­ar­beitung von per­so­nen­be­zo­genen Daten) und/oder „Auf­trags­ver­ar­beiter“ (natür­liche Stelle, die per­so­nen­be­zogene Daten im Auftrag des Ver­ant­wort­lichen ver­ar­beitet) und/oder Her­steller von Pro­dukten bzw. Anbieter von Dienst­leis­tungen?
  2. Nutzen Sie den nötigen Aufwand gleich zu Beginn als Chance, das Image Ihres Unter­nehmen intern und extern zu fördern. Erstellen Sie einen Kom­mu­ni­ka­ti­onsplan, um Ihre Mit­ar­beiter für das Umstel­lungs­projekt zu begeistern und Ihre Kunden über die erreichten „Mei­len­steine“ der Umsetzung zu infor­mieren.
  3. Prüfen Sie alle internen Pro­zesse zur Beschaffung von Waren und Dienst­leis­tungen sowie zur Beauf­tragung von Partnern. Ent­sprechen die bestehenden Ver­träge den neuen Anfor­de­rungen an die Ver­ar­beitung per­so­nen­be­zo­gener Daten (recht­mäßig, fair, trans­parent, nur für spe­zi­fische, explizite und legitime Zwecke, begrenzt auf das für die Zweck­er­rei­chung not­wendige Maß, …). Werden die Rechts­grund­lagen zum Transfer in Dritt­staaten beachtet?
  4. Prüfen Sie im gleichen Zusam­menhang alle bestehenden Ver­träge mit Ihren Kunden. Wichtig an dieser Stelle: Haben Sie in der Ver­gan­genheit Ein­wil­li­gungen zur Nutzung per­so­nen­be­zo­gener Daten ein­geholt, z. B. zum Zweck der Werbung oder Befragung? Sind diese noch rechts­konform? Ein­wil­li­gungen müssen eine positiv beja­hende Handlung sein, frei und infor­miert gegeben werden und dürfen nicht mit anderen Anfor­de­rungen ver­knüpft werden. Schweigen oder vor­an­ge­kreuzte Kästchen gelten nicht mehr als Ein­wil­ligung. Haben Sie Ihre Kunden über ihre Wider­spruchs­rechte infor­miert? Können Ein­wil­li­gungen künftig ebenso leicht zurück­ge­nommen wie gegeben werden? Haben Sie ein Ver­fahren, um Ein­wil­li­gungen und Wider­sprüche zu ver­walten?
  5. Prüfen Sie alle Soft­ware­pro­dukte, die Sie intern ein­setzen oder die von Ihnen ange­boten werden. Werden die Rechte der Betrof­fenen hin­sichtlich Infor­mation über die Erhebung von Daten, Aus­kunft, Berich­tigung, Löschen (Ver­gessen werden), Ein­schränkung der Ver­ar­beitung, Daten­über­trag­barkeit, Wider­spruch, …) pro­gramm­tech­nisch umge­setzt? Welche Pro­gramm­hilfen, ‑hand­bücher, ‑anlei­tungen, ‑online-Hilfen und das ent­spre­chende Wer­be­ma­terial müssen bezüglich der Trans­pa­renz­pflichten ange­passt werden?
  6. Erstellen Sie ein Konzept zur ange­mes­senen Doku­men­tation Ihrer Daten­­schutz- und Sicher­heits­maß­nahmen im Unter­nehmen, so dass Sie diese jederzeit nach­weisen können. Doku­men­tieren Sie Ihre IT-Risiken und defi­nieren Sie die Schutz­ziele für Ihre Anwen­dungen und Daten hin­sichtlich Ver­füg­barkeit, Inte­grität, Ver­trau­lichkeit und Belast­barkeit. Planen Sie ange­messene Schutz­maß­nahmen auf Basis einer Risi­ko­ein­schätzung und über­prüfen Sie regel­mäßig die Wirk­samkeit dieser Maß­nahmen. Abhängig von der Unter­neh­mens­größe kann es hilf­reich sein, sich beim Aufbau eines Manage­ment­systems für Infor­ma­ti­ons­si­cherheit an eta­blierten Stan­dards wie z. B. ISO 27001 zu ori­en­tieren.

Noch eine wichtige Emp­fehlung zum Schluss: Fangen Sie recht­zeitig an, denn die ver­blei­bende Zeit vergeht vor­aus­sichtlich wieder einmal „wie im Fluge“.

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Robert Lederer, DATEV eG

Dipl.-Betriebswirt (FH), Dipl.-Wirtschaftsinformatiker (FH), zer­ti­fi­zierter Daten­schutz- und IT-Security Auditor (TÜV), 5 Jahre Pro­jekt­leiter für attri­butive Qua­li­täts­si­che­rungs­systeme mit sta­tis­ti­scher Pro­zess­kon­trolle in der Auto­mobil-Industrie, seit 1995 bei DATEV eG, zunächst zuständig für Pro­dukt­mar­keting und Service MS-Office-Pro­dukte und Doku­men­ten­or­ga­ni­sation im Geschäftsfeld Eigen­or­ga­ni­sation, seit 2000 tätig für Vor­stands-Kor­re­spondenz, Qua­li­täts­ma­nagement und Reporting in der Stabs­stelle „Service Quality Management“ beim Bereichs­vor­stand Service und Ver­trieb der DATEV eG, seit 2002 dort als Fach­be­rater und Bereichs­be­auf­tragter zuständig für den Daten­schutz.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.