DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Neues bei tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen

Die neue EU-Daten­­schut­z­­grun­d­­ver­­­ordnung (DSGVO) ver­spricht vor allem eines: ein­heit­liche Daten­­schutz-Stan­­dards für alle in der EU tätigen Unter­nehmen ab 25. Mai 2018. Was ist neu bei den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nahmen (TOM)?

Die neue EU-Daten­­schut­z­­grun­d­­ver­­­ordnung (DSGVO) ver­spricht vor allem eines: ein­heit­liche Daten­­schutz-Stan­­dards für alle in der EU tätigen Unter­nehmen ab 25. Mai 2018. Die vielen inhalt­lichen Neue­rungen erhöhen die Her­aus­for­de­rungen an das Daten­schutz­ma­nagement, um die vielen Tran­s­­parenz- und Doku­men­ta­ti­ons­pflichten zu erfüllen. Jede sich durch die Digi­ta­li­sierung wan­delnde Branche ist von der DSGVO betroffen und wird sich den neuen Her­aus­for­de­rungen stellen müssen.

EU-Daten­­schutz prä­zi­siert tech­nische und orga­ni­sa­to­rische Maßnahmen

Aktuell gel­tende Daten­schutz­me­cha­nismen, wie tech­nische und orga­ni­sa­to­rische Maß­nahmen (TOM) zum Schutz per­so­nen­be­zo­gener Daten, bleiben in der DSGVO erhalten und werden an einigen Stellen noch prä­zi­siert. TOM sollen zum Schutz per­so­nen­be­zo­gener Daten bzw. zur Absi­cherung der Daten­ver­ar­bei­tungs­an­lagen sinnvoll und ange­messen ein­ge­setzt werden. Hierbei soll der Daten­ver­ar­beiter (Ver­ant­wort­licher) den Stand der Technik, die Imple­men­tie­rungs­kosten, die Art der Daten, den Umfang der Daten, die Umstände und Zwecke der Ver­ar­beitung sowie die Risi­ko­ein­tritts­wahr­schein­lichkeit und Schwere der Folgen für den Betrof­fenen berück­sich­tigen. Sobald diese Ver­ar­beitung durch einen Auf­trags­ver­ar­beiter, also z.B. Hosting-Anbieter als Dienst­leister, durch­ge­führt werden soll, muss auch dieser ent­spre­chende Maß­nahmen für ein ange­mes­senes Schutz­niveau der per­so­nen­be­zo­genen Daten des Auf­trag­gebers treffen.

Artikel 32 DSGVO (Sicherheit der Ver­ar­beitung) schließt bestimmte Maß­nahmen ein, um ein ange­mes­senes Schutz­niveau zu gewähr­leisten. Hier sind neben den klas­si­schen Schutz­zielen der Infor­ma­ti­ons­si­cherheit wie Ver­trau­lichkeit, Inte­grität und Ver­füg­barkeit auch Maß­nahmen wie die Pseud­ony­mi­sierung und die Ver­schlüs­selung per­so­nen­be­zo­gener Daten auf­ge­führt. Um die Sicherheit der Ver­ar­beitung lang­fristig zu gewähr­leisten, müssen die ein­ge­setzten Maß­nahmen regel­mäßig über­prüft und bewertet werden. Dies erhöht den bis­he­rigen Doku­men­ta­ti­ons­aufwand für Unter­nehmen und macht eine zeitnahe Erwei­terung des bis­he­rigen Daten­schutz­ma­nage­ments notwendig.

Neue­rungen: Privacy-by-Design und Privacy-by-Default

Weitere Neuerung der DSGVO sind die Prin­zipien des Daten­schutzes durch Tech­nik­ge­staltung und durch daten­schutz­freund­liche Vor­ein­stel­lungen, welche viele bereits als „Privacy-by-Design“ und „Privacy-by–Default“ kennen. Der Ver­ant­wort­liche soll seine Pro­dukte und Dienst­leis­tungen so gestalten, dass die Menge der erho­benen Daten mög­lichst minimal bleibt. Glei­cher­maßen sollen Ein­stel­lungen (z.B. in Apps oder anderen Soft­ware­pro­dukten) stan­dard­mäßig so gewählt werden, dass ein hohes Daten­schutz­niveau gewahrt wird. Gerade Soft­ware­an­bieter sollten also beson­deres darauf achten, dass deren Lösungen die Ein­haltung der oben genannten Prin­zipien auch ermög­lichen. Auf der anderen Seite sollten Ver­ant­wort­liche auch nur Anbieter aus­wählen, die den Schutz der per­so­nen­be­zo­genen Daten nach diesen Stan­dards auch garan­tieren können.

Tech­nische und orga­ni­sa­to­rische Maß­nahmen bleiben wei­terhin die Visi­ten­karte im Daten­schutz. Unter­nehmen sollten aus der DSGVO auch eigene Chancen ableiten und mög­lichst schnell reagieren. Eine sorg­fältige Prüfung und tech­nisch sinn­volle Erwei­terung der eigenen TOM gehört bis zur Anwend­barkeit der DSGVO zur Pflicht­aufgabe. Mit besonders inno­va­tiven Lösungen unter Berück­sich­tigung von Privacy-by-Design und Privacy-by-Default lassen sich zudem Wett­be­werbs­vor­teile für das eigene Unter­nehmen her­aus­holen. Der Stel­lenwert des Daten­schutzes bei der Auswahl von Partnern wird unter der Daten­schutz­grund­ver­ordnung in jedem Fall mehr Gewicht bekommen.

Ein Kommentar zu Neues bei technischen und organisatorischen Maßnahmen

  • Michael Bierbach sagt:

    Guter Bericht
    Sicherlich wurden einige Vor­gaben in der DSGVO kon­kre­ti­siert. Jedoch wird ein Maß­nah­men­ka­talog oder ähn­liches nie gebastelt werden können. Vielmehr sollte auch den Unter­nehmen ver­mittelt werden, dass keine Wahl­mög­lichkeit mehr besteht. Jedes Unter­nehmen unge­achtet von KRITIS für das ITSiG muss handeln um die TOM umzu­setzen. Denn im Zweifel hat der­jenige keine Straf­gelder zu zahlen der sich kümmert.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Andreas Schulz, BITKOM

Andreas Schulz ist seit 2014 Berater im Bereich Daten­schutz bei Bitkom Consult, Daten­schutz­be­auf­tragter der Bitkom-Gruppe und mehrfach bestellter externer Daten­schutz­be­auf­tragter. Bereits im Sep­tember 2010 hat der stu­dierte Infor­ma­ti­ons­wis­sen­schaftler die Zusatz­aus­bildung zum Daten­schutz­be­auf­tragten bei der TÜV Aka­demie GmbH abge­schlossen und war von Januar 2011 bis Oktober 2014 als Daten­schutz­be­auf­tragter bei der PROMOS Unter­neh­mens­gruppe tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.