[datensicherheit.de, 22.05.2019] Am 14.11.2019 veranstaltet der Bundesverband IT-Sicherheit e.V. (TeleTrusT) in Berlin den jährlichen IT-Sicherheitsrechtstag, in dem die aktuelle Rechtslage sowie ihre technischen Umsetzungsmöglichkeiten leicht verständlich und praxisnah vorgestellt werden. Im diesjährigen Fokus stehen insbesondere die EU-Datenschutz-Grundverordnung (DSGVO), der EU Cybersecurity Act, das Geschäftsgeheimnisschutzgesetz sowie die Änderungen im Rahmen des angekündigten IT-Sicherheitsgesetzes 2.0.

Wichtige rechtliche Vorgaben der europäischen und nationalen Gesetzgeber in den vergangenen Jahren verabschiedet

In den vergangenen Jahren haben die europäischen und nationalen Gesetzgeber wichtige rechtliche Vorgaben verabschiedet, die in der unternehmerischen und behördlichen Praxis eingehalten werden müssen. Nicht immer sind diese Vorgaben eindeutig definiert, um unmittelbar in der Praxis umgesetzt zu werden. Interdisziplinäre Referenten werden die datenschutzrechtlichen und IT-sicherheitsgesetzlichen Pflichten erörtern und ihre Lösungsansätze und Umsetzungsmöglichkeiten vorstellen.

„Wir möchten den Teilnehmerinnen und Teilnehmern anwendbares Wissen näher bringen, wie die zahlreichen Anforderungen der diversen Gesetze mit derselben Schnittmenge, nämlich IT-Sicherheit, effektiv, konsolidiert und rechtssicher umgesetzt werden können. Neben dem IT-Sicherheitsgesetz und dessen geplanter Neuauflage betrifft das die DSGVO und das neue Gesetz zum Schutz von Geschäftsgeheimnissen. Eine besondere Rolle werden auch die angekündigten Zertifizierungen zur IT-Sicherheit spielen.“ erklärt RA Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstandsvorsitzender und Leiter der TeleTrusT-AG „Recht“.

Praxisnahe Veranstaltung

Die Veranstaltung ist praxisnah angelegt, um jedem Interessenten die Möglichkeit zu geben, sich über die aktuelle Gesetzeslage zu informieren, die Möglichkeiten der rechtskonformen Umsetzung kennenzulernen und dabei wertvolle Kontakte zu knüpfen. Daher richtet sich die Veranstaltung an Interessierte aus Unternehmen und öffentlichen Einrichtungen und Behörden jeder Größe.

Aus dem Programm:

• Dr. Martin Hecheltjen, BSI: „IT-Sicherheitsgesetz 2.0“
• RA Paul Voigt, Taylor Wessing: „EU Cybersecurity Act“
• Thomas Dorstewitz, enercity: „DSGVO und KRITIS: Umsetzung am Praxisbeispiel enercity AG“
• RA Karsten U. Bartels, HK2: „Umsetzung des Geschäftsgeheimnisschutzgesetzes im Unternehmen“
• Rolf Blunk, Otaris: „Data protection by design/by default“
• Dr. Dennis-Kenji Kipker, Universität Bremen: „Rechtliche Pflichten zu IT-sicherheitsbezogenen Softwareupdates“

Weitere Informationen zum Thema:

TeleTrusT
IT-Sicherheitsrechtstag 2019

TeleTrusT
Vollständiges Programm und Anmeldung

datensicherheit.de, 17.07.2018
IT-Sicherheitsrechtstag in Berln am 25.10.2018

datensicherheit.de, 13.06.2018
Stand der Technik: TeleTrusT veröffentlicht revidierte und erweiterte Handreichung

datensicherheit.de, 30.08.2017
IT-Sicherheitsrechtstag 2017: Erfolgreiche Umsetzung gesetzlicher Anforderungen

Erfolgreich den digitalen Wandel gestalten

von unserem Gastautor Hans-Günter Börgmann, Geschäftsführer der Iron Mountain Deutschland GmbH

[datensicherheit.de, 21.09.2017] Mehr noch als im privaten Bereich hat die digitale Transformation in der Wirtschaft hohe Erwartungen bei der Wertschöpfung geweckt, wie die gewinnbringende Nutzung von Informationen. Firmendokumente wie Verträge, Personalakten oder Kundendaten enthalten jedoch sensible Daten, die gesetzlichen Vorgaben wie Datenschutz-Regelungen oder Aufbewahrungsfristen unterliegen. Den wachsenden digitalen Dokumentenbergen, die verwaltet, sicher verwahrt und vernichtet werden müssen, steht in deutschen Unternehmen oft noch ein zu wenig ausgereiftes Informationsmanagement gegenüber, wie eine Studie von Iron Mountain [1] gezeigt hat. Angesichts der Herausforderungen aufgrund der gesetzlichen Neuregelungen durch die EU-Datenschutz-Grundverordnung (EU-DS-GVO), die ab Mai 2018 anwendbar wird, ist daher sofortiges Handeln angezeigt.

Mangelhafte Informationsmanagement-Prozesse bergen für Unternehmen erhebliche Risiken, wie etwa rechtliche Konsequenzen, die mit deutlichen Strafzahlungen verbunden sind, oder ein drohender Vertrauensverlust gegenüber den Kunden. Was aber können und müssen Unternehmen unabhängig von ihrer Größe tun, um mehr Kontrolle über ihre Informationsmanagement-Prozesse zu erlangen? Wie lassen sich Informationen im Unternehmen besser verwalten? Eine strategische Herangehensweise bildet die Voraussetzung, um erfolgreich Wert aus Information schöpfen zu können und den hohen Erwartungen an die Digitalisierung ein Stück näher zu kommen.

Informationsmanagement: Wunsch und Wirklichkeit

Tatsächlich sind die Herausforderungen, denen deutsche Unternehmen derzeit beim Informationsmanagement gegenüber stehen, groß. In 44 Prozent der befragten Unternehmen wird laut der Studie die diesbezügliche Praxis den geschäftlichen Anforderungen und denen der Kunden nicht oder nur teilweise gerecht. Drastisch gesagt: In nahezu jedem zweiten Unternehmen besteht in Sachen Informationsmanagement noch erheblicher Nachholbedarf. Das gilt umso mehr, weil jeder zweite leitende Angestellte (49 Prozent) beklagt, dass die sichere Verwaltung digitaler Informationen, also Speicherung, Analyse und Zugriff, in den vergangenen fünf Jahren schwieriger und komplexer geworden sei. Das Interessante ist: jeder Dritte (36 Prozent) vertritt diesbezüglich genau die gegenteilige Meinung.

Bild: Iron Mountain Deutschland GmbH

Studie: Informationsmanagement, Iron Mountain Deutschland

Diese Zahlen verdeutlichen die Schwierigkeiten, denen sich Unternehmen gegenübersehen, wenn es um die Implementierung oder Optimierung der Prozesse geht. Zudem versäumen es viele dabei, Richtlinien leicht umsetzbar und verständlich zu gestalten sowie ihre Mitarbeiter in puncto Informationsmanagement auf sinnvolle Weise einzubinden und vorzubereiten.

Nicht jede Branche ist sich dieser Defizite gleich stark bewusst. So gab etwa die Hälfte der Befragten aus Pharmazeutik (50 Prozent), verarbeitendem Gewerbe (48 Prozent) und Versorgungsbetrieben (45 Prozent) an, dass die aktuellen Informationsrichtlinien den geschäftlichen Anforderungen nur teilweise gerecht würden. Dagegen waren zwei von drei befragten Führungskräften, ganze 64 Prozent, aus den Bereichen Technik/Ingenieurswesen der Meinung, die Richtlinien erfüllten die Anforderungen bereits voll und ganz.

Mit Blick auf die digitale Informationsmanagement-Praxis ergab die Umfrage, dass in fast jedem dritten Unternehmen (29 Prozent) bislang noch gar keine digitalen Workflows definiert wurden. Fraglich bleibt hier, wie eventuell bestehende Mängel angegangen werden sollen, da ein Drittel der Unternehmen (33 Prozent) keine diesbezüglichen Veränderungen plant.

Auch wenn die Studie ergab, dass Papierdokumente insgesamt besser verwaltet werden, so zeigen sich doch auch hierbei Defizite: Denn in drei von zehn Unternehmen (29 Prozent) werden die Papierakten im Keller aufbewahrt, wo unter Umständen geschäftskritische Dokumente einem erhöhten Risiko bei Feuer und Feuchtigkeit ausgesetzt sind. Bei jedem dritten Unternehmen (32 Prozent) werden Papierakten nicht zentral gelagert, sondern sind auf verschiedene Orte im Geschäftsgebäude verteilt. Das bedeutet nicht nur ein höheres Verlustrisiko. Der erschwerte Zugriff verhindert damit im schlimmsten Falle auch die Einhaltung von rechtlichen Vorgaben zur fristgerechten und vollständigen Löschung sensibler Daten, wie sie die neue EU-Datenschutz-Grundverordnung vorsieht.

Compliance-gerechte Aufbewahrung: oft noch Fehlanzeige

Betrachtet man die Prozesse im Detail, ergibt sich also ein durchwachsenes Bild beim Informationsmanagement in deutschen Unternehmen. Tendenziell scheinen die Mängel bei der Verwaltung digitaler Dokumente etwas größer zu sein: Die Studie zeigte, dass neun von zehn Unternehmen (90 Prozent) einen festgelegten Zeitplan für die Aufbewahrung von Papierdokumenten haben; dagegen ist das bei digitalen Dokumenten nur in acht von zehn Unternehmen der Fall (82 Prozent). 7 Prozent aller Unternehmen haben gar keine Vorgaben für die Aufbewahrung von Papierdokumenten, und sogar doppelt so viele (14 Prozent) besitzen keine für die Aufbewahrung von digitalen Akten.

Mit der Anwendbarkeit der EU-Datenschutz-Grundverordnung (EU-DS-GVO) im Mai 2018 dürfte sich dieses Problem noch einmal zuspitzen. Die Studie ergab, dass fast jedes zweite Unternehmen (45 Prozent) aus diesem Anlass eine generelle Verschärfung der Bestimmungen erwartet. Dabei besteht vor allem bei der Einhaltung der Aufbewahrungsfristen von Dokumenten noch Luft nach oben. Derzeit sind sich 23 Prozent nicht sicher, ob die Beseitigung von Papierdokumenten den Unternehmensvorgaben entspricht, bei digitalen Dokumenten sind es sogar 29 Prozent. 11 Prozent der befragten Unternehmen haben sich noch keine Gedanken zu dem Thema EU-DS-GVO gemacht. Weitere 11 Prozent sehen sich schlicht nicht in der Lage, die Folgen für die Informationsmanagement-Strategie zu beurteilen. Dies legt nahe, dass sich die Mitarbeiter der Auswirkungen bei einer Nichteinhaltung der Vorgaben gar nicht bewusst sind. Dabei sollten allein die drohenden Sanktionen Motivationshilfe genug sein, hier rasch Abhilfe zu schaffen: Bis zu vier Prozent des Gesamtumsatzes eines Unternehmen kann die Verletzung der EU-Datenschutz-Grundverordnung zukünftig kosten.

Bild: Iron Mountain Deutschland GmbH

Die Studie zeichnet ein klares Bild: Die Zielsetzung dank digitaler Transformation mehr Wert aus den im Unternehmen vorhandenen Daten schöpfen zu können, wird derzeit bei einem viel zu großen Teil der deutschen Unternehmen aufgrund ihres mangelhaften Informationsmanagement noch verfehlt. So sehr dieser potenzielle Mehrwert in den Köpfen der Führungskräfte verankert sein mag, so sehr mangelt es noch an strategischen Prozessen, die in der Unternehmenskultur festgeschrieben sind.

Der Weg zum Ziel – Anforderungen und Prozesse definieren, zudem: Bewusstsein fördern

Eine aktive Beschäftigung mit dem Thema Informationsmanagement ist spätestens jetzt für jedes Unternehmen überlebensnotwendig. Am Beginn steht dabei die Kenntnis der jeweils aktuellen rechtlichen Grundlagen. Der Datenschutzbeauftragte scheint für diese Funktion die ideale Position in der Unternehmensorganisation zu sein. Doch bei 13 Prozent der deutschen Unternehmen gibt es hier statt eines kompetenten Ansprechpartners leider noch eine klaffende Lücke in den Organigrammen, die es zu füllen gilt.

Um ein rechtskonformes und konsistentes Informationsmanagement zu etablieren, das sich an den jeweiligen Geschäftsanforderungen ausrichtet, können Unternehmen, denen es an entsprechenden Ressourcen mangelt, auf externe Dienstleister zurückgreifen. Die Formulierung rechtskonformer, leicht verständlicher und einhaltbarer Richtlinien ist die Voraussetzung dafür, dass sich Informationsmanagement-Prozesse einfach in die Unternehmensroutinen integrieren lassen.

Falls noch nicht geschehen, sollten alle Mitarbeiter eine entsprechende Schulung zum Informationsmanagement im Unternehmen erhalten: Angefangen beim grundlegenden Verständnis der rechtlich Vorgaben, z.B. Löschfristen, bis hin zur praktischen Umsetzung wie dem Sperren des Computerbildschirms in Abwesenheit und der regelmäßigen Änderung von Passwörtern.

Der Umgang mit Informationen sollte regelmäßig Thema im Unternehmen sein, damit sich alle Mitarbeiter über die für sie relevanten Änderungen auf dem Laufenden halten können und den Mitarbeitern der Wert von Informationen bewusst bleibt. Insbesondere Führungskräfte sind bei diesem Thema gefordert, mit gutem Beispiel voran zu gehen und ein verbindliches, Compliance-gerechtes Verhalten vorzuleben.

Unternehmen sollten die Digitalisierung als Chance begreifen und rechtzeitig eine Best-Practice-Kultur beim Informationsmanagement etablieren: Schlüsselqualifikationen für ein erfolgreiches Informationsmanagement bilden dabei die Erfüllung der Anforderungen, die Vereinfachung von Prozessen, die Erhöhung von Mitarbeiter-Kenntnissen diesbezüglich und die Förderung der entsprechenden Unternehmenskultur. So können Informationen rechtssicher verwaltet und angesichts der Digitalisierung Wert aus Ihnen geschöpft werden.

Weitere Informationen zum Thema:

[1] Die Umfrage wurde im Auftrag von Iron Mountain von Arlington Research durchgeführt. Dabei wurden insgesamt 512 leitende Angestellte in Unternehmen mit einer Mitarbeiterzahl von 250 bis mehr als 2000 Angestellten in Deutschland befragt. Die Teilnehmer stammten aus den Bereichen Rechtswesen, Finanzwesen, Versicherung, Pharmazeutik, verarbeitendes Gewerbe, Versorgungsbetriebe und Technik/Ingenieurwesen mit führenden Positionen in IT, Einkauf, Verkauf, HR, Finanzen sowie Datenschutzbeauftragten. Die Umfrage basiert auf Online-Interviews, die im Oktober 2016 durchgeführt wurden. Eine umfassende Zusammenfassung der Forschungsergebnisse findet sich unter: http://www.ironmountain.de/informationsmanagement-studie

[datensicherheit.de, 03.04.2017] Das Beratungsunternehmen dhpg lädt am Donnerstag, den 27. April 2017, zu einer Informationsveranstaltung zum IT- und Datenschutz in Unternehmen ein. Beginn ist ab 17.30 Uhr in der Bundeskunsthalle in Bonn. Anlass dieser Veranstaltung ist die neue EU-Datenschutz-Grundverordnung, mit der sich zukünftig jede Firma auseinandersetzen muss. Im Rahmen eines Round Table beleuchten Experten, wie Unternehmen ihre Daten- und IT-Sicherheit unter dem Blickwinkel der EU-Datenschutzreform gewährleisten und rechtssicher gestalten können. Wie aktuell dieses Thema ist, zeigen sie im Anschluss anhand einer simulierten Hackerattacke. Durch die Veranstaltung führt der Prof. Dr. Andreas Blum, Wirtschaftsprüfer, Steuerberater Professor an der Hochschule Fresenius in Köln.

Im Vorfeld der Informationsveranstaltung können interessierte Teilnehmer auch an einer Führung durch die Kunst- und Ausstellungshalle der Bundesrepublik Deutschland teilnehmen. Beginn ist um 16.30 Uhr.

Weitere Informationen zum Thema:

dhpg
Chefsache: Daten- und Sicherheitspannen vermeiden

datensicherheit.de, 19.10.2016
Chefsache Datensicherheit: Ein Bewusstseinswandel zeichnet sich ab

Von unserem Gastautor Sven Janssen, Regional Director Central Europe bei SonicWall

[datensicherheit.de, 13.02.2017] Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz der EU-Bürger, droht Unternehmen aber gleichzeitig mit drakonischen Strafen, falls sie die Richtlinien nicht oder nur unzureichend umsetzen. Um den Anforderungen gerecht zu werden, sollten sie einen Datenschutzbeauftragten bestellen, der Zugriffsrechte penibel verwaltet und die Sicherheit ihres Netzwerks sicherstellt.

Die EU-Datenschutz-Grundverordnung (GDPR) gilt ab 25. Mai 2018 und schafft in Europa einheitliche Datenschutz-Regelungen. Datenschutzverletzungen müssen ab diesem Zeitpunkt innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Außerdem sind die von der Verletzung betroffenen Personen über den Vorfall zu informieren. Die neue Richtlinie ist einerseits für alle Unternehmen bindend, die einen Sitz in der EU haben, und erstreckt sich andererseits auch auf Firmen weltweit, sofern sie personenbezogene Daten über in der EU ansässige Bürger erheben, verarbeiten und nutzen. Wer sich nicht an die neuen Vorschriften hält, muss mit beträchtlichen Geldstrafen rechnen. Die maximale Geldbuße bei einem schweren Datenschutzvergehen beträgt bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Die strikte Einhaltung der GDPR ist daher für Unternehmen aller Branchen überlebenswichtig.

Doch welche Strategien sollten sie verfolgen, um den Anforderungen gerecht zu werden? Drei grundsätzliche Maßnahmen sind bei der Umsetzung der Richtlinien von zentraler Bedeutung: Bestellung eines Datenschutzbeauftragten, die strikte Verwaltung der Zugriffsrechte sowie die wirksame Absicherung des Netzwerkverkehrs. Das sind die wichtigsten ersten Schritte, um die persönlichen Daten der Kunden wirksam zu schützen, Datenlecks zu verhindern und damit hohe Geldstrafen sowie Image-Verluste zu vermeiden.

Ein Datenschutzbeauftragter gehört zum Pflichtprogramm

Die Bestellung eines Datenschutzbeauftragten ist eine der Voraussetzungen in der GDPR und gilt europaweit. Grundsätzlich steht es dem Unternehmen frei, die Position des betrieblichen Datenschutzbeauftragten intern oder extern zu besetzen. Viele bedienen sich bereits der Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen, um ihre eigenen internen Ressourcen besser zu nutzen und von den Vorteilen des spezifischen Fachwissens eines externen Datenschutzbeauftragten zu profitieren. Grund: Technologische Neuentwicklungen fordern den Datenschutzbeauftragten zusehends, so dass für ihn eine permanente Weiterbildung in der IT und im juristischen Bereich unerlässlich ist, um den immer komplexeren Fragestellungen gerecht zu werden. Externe Dienstleister wie Systemintegratoren, Systemhäuser oder Reseller haben den wachsenden Bedarf erkannt und bieten mittlerweile die Übernahme dieser Aufgabe als Dienstleistung an. Aber Achtung: Es ist nicht zu empfehlen, aus Sparsamkeit auf einen Datenschutzbeauftragten zu verzichten, da er der zuständigen Aufsichtsbehörde gemeldet werden muss. Eine Unterlassung bleibt daher mit hoher Wahrscheinlichkeit nicht lange unentdeckt.

Laxe Zugriffsrechte sind brandgefährlich

Unternehmen müssen laut GDPR sicherstellen, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten – andernfalls ist mit Strafen zu rechnen. Ferner sind die Daten vor unbeabsichtigtem Verlust, versehentlicher Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen. Die Möglichkeit, Anwendungen zu steuern, die Zugriff auf persönliche Daten von EU-Bürgern haben, ist ein wichtiger Punkt bei der Datensicherheit. Access-Governance erfordert deshalb eine regelmäßige Überprüfung der Zugriffsrechte von Abteilungsleitern, Mitarbeitern und Vertragspartnern. Dabei geht es nicht nur um den Schutz vor unerlaubten Zugriffen, sondern auch um den revisionssicheren Nachweis, dass ein Zugriff nicht möglich war. Es ist also sicherzustellen, dass die Berechtigungen mit den Job-Beschreibungen übereinstimmen und nicht die Datensicherheit gefährden. Identitäts- und Zugriffsmanagementlösungen, die dieses Maß an Steuerung zulassen, enthalten beispielsweise Multi-Faktor-Authentifizierung (MFA), sicheren Remote-Zugriff, risikobasierte, adaptive Zugangssicherheit, granulares Passwort-Management und die volle Kontrolle über privilegierte Benutzer-Credentials und deren Aktivität.

Schutz der Daten betrifft alle Bereiche des Unternehmens

Die Vorgaben der GDPR lassen sich jedoch nicht nur auf den Datenschutzbeauftragen und Zugriffskontrollen reduzieren, sondern gehen weit darüber hinaus. Unternehmen sind aufgefordert, sowohl technische als auch organisatorische Vorkehrungen zu treffen, die ein angemessenes Schutzniveau für die Daten in allen Bereichen des Unternehmens sicherstellen. Dazu gehören beispielsweise Produkte und Lösungen wie Virenscanner, Appliances für E-Mail-Sicherheit, Data Loss Prevention (DLP), Unified Thread Management (UTM), Firewalls, Zutrittskontrollen sowie ein Information Security Management System (ISMS), aber auch organisatorische Maßnahmen wie die Einrichtung eines Chief Information Security Officers (CISO).

Welche Maßnahmen im Detail umgesetzt werden müssen, ist natürlich von Fall zu Fall verschieden – sie lassen sich erst durch ein Audit konkret benennen.

Netzwerkschutz verhindert Datendiebstahl

Externe Cyber-Attacken sind meist die Ursache für Datenlecks und somit Datenschutzverletzungen. Einen möglichen Baustein zur Abwehr solcher Bedrohungen stellen beispielsweise Next Generation Firewalls (NGFWs) dar, da sie – im Gegensatz zu normalen Firewalls – das Risiko solcher Datenlecks durch verschiedene integrierte Sicherheitstechnologien senken. So verfügen NGFWs üblicherweise über Deep Packet Inspection, Echtzeit-Entschlüsselung und Prüfung von SSL-Sitzungen sowie adaptives Multi-Engine-Sandboxing und gestatten die volle Kontrolle von Anwendungen. Außerdem liefern sie umfassende forensische Einsichten in den Netzwerkverkehr. Unternehmen sind dadurch in der Lage nachzuweisen, dass sie die Compliance einhalten. Außerdem helfen ihnen die Kenntnisse dabei, bei potentiellen Verletzungen wirksame Nachbesserungen durchzuführen.

Die Absicherung des Netzwerkes ist umso wichtiger, da Mitarbeiter zunehmend mobil auf Unternehmensressourcen zugreifen. Sie benötigen dafür einen stets sicheren Zugang von beliebigen Geräten aus. Auch hier bringen NGFWs einen entscheidenden Vorteil, da sie eine sichere, verschlüsselte Verbindung etwa via SSL-VPN erlauben. Die Datensicherheit lässt aber noch weiter verbessern, indem Identitäten mit Gerätevariablen und veränderlichen Faktoren wie Zeit oder Ort kombiniert werden. Dieser adaptive, risikobasierte Ansatz gewährleistet zu jeder Zeit den sicheren Zugriff auf das Unternehmensnetz und verbessert gleichzeitig den Datenschutz und die Compliance.

E-Mails sind für den Informationsaustausch immer noch die am weitesten verbreitete Methode. Gleichzeitig stellt die Kommunikation per E-Mail aber ein großes Sicherheitsrisiko dar. Grund: Cyber-Kriminelle versuchen durch Phishing oder infizierte E-Mails in Unternehmen einzudringen und Daten zu stehlen. Um potenzielle Datenschutzverletzungen zu vermeiden, benötigen Unternehmen die volle Kontrolle und Transparenz über alle E-Mail-Aktivitäten. Nur so lässt sich verhindern, dass Phishing- und E-Mail-Attacken auf geschützte Daten erfolgreich sind. Auch unter diesem Gesichtspunkt unterstützen NGFWs Unternehmen mit integrierten Anti-Spam-Technologien, Verschlüsselung oder einem Reputationssystem. Die Sicherheitsfunktionen wehren gefährliche Mails ab, stellen aber gleichzeitig den sicheren und konformen Austausch von sensiblen und vertraulichen Daten sicher.

Weitere Informationen zum Thema:

datensicherheit.de, 02.09.2016
NIS-Richtlinie und GDPR: Neuer Leitfaden zur Begegnung der Herausforderungen für Unternehmen

Unternehmen müssen jetzt handeln

Von unserem Gastautor Oliver Lobschat, CTT Computertechnik AG

[datensicherheit.de, 19.10.2016] Nach vierjähriger Verhandlung wurde im Dezember 2015 die endgültige Fassung der EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Unternehmen bleiben jetzt weniger als zwei Jahre Zeit, sich bis zum Inkrafttreten der Verordnung am 25. Mai 2018 vorzubereiten. Unternehmen, die die Entwicklungen mitverfolgt haben, verfügen über einen gewissen Vorsprung. Alle anderen sind gut beraten, sich schnellstmöglich mit der DSGVO zu befasse, denn künftig gelten beim Datenschutz strengere Vorschriften. Mit der EU-DSGVO sollen insbesondere Nutzerrechte gestärkt werden.

Unternehmen müssen den Umgang mit personenbezogenen Daten überarbeiten

Demnach beinhaltet die neue EU-Norm Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung sowie der Nutzung personenbezogener Daten. Dadurch hat sie praktisch Auswirkungen auf alle Unternehmen, die Waren oder Dienstleistungen in der EU anbieten und Daten von Ansprechpartnern speichern. Je nach Größe des Unternehmens beanspruchen die Anpassungsvorgänge an die EU-DSGVO mehr oder weniger Zeit. Für Sie geht es vor allem darum, ihre bisherige Art im Umgang mit personenbezogenen Daten zu überarbeiten, um sich an die strengeren Anforderungen anzupassen.

1. Gründe für eine neue EU-Datenschutzverordnung

Im Jahr 1995 verabschiedete die Europäische Union die Datenschutzrichtlinie (DSR), die bis heute ambitionierteste Datenschutzregelung, die allerdings von Beginn an problematische Lücken aufwies. Diese zahlreiche Aufsichtsbehörden und Gerichtsurteile des Europäischen Gerichtshofes ausgeweitet. So war es den Mitgliedsstaaten der EU möglich, auf Basis der DSR eigene Gesetze auf den Weg zu bringen. Das führte zu ersten Uneinigkeiten bei der Auslegung und praktischen Anwendung der DSR innerhalb der EU und widersprach letztlich der Absicht, eine universale Rechtsnorm zu schaffen.
Ein zusätzliches Problem der DSR ergab sich aus dem stetigen Informationsanstieg. Mit der Expansion des Internets sind Daten mittlerweile auf Milliarden von Geräten gespeichert und abrufbar. Durch die unterschiedliche Auslegung hatte sich jeder Mitgliedsstaat eigene Spielregeln geschaffen, mit denen er darüber bestimmen konnte, was persönliche Daten sind und wie diese geschützt werden können. Darüber hinaus gab es in der EU nun Länder, die zu begehrten Standorten für IT-Zentren internationaler Konzerne wurden, da hier die Auflagen des Datenschutzes besonders schwach ausfielen. Mit der neuen EU-Datenschutzgrundverordnung (EU-DSGVOO), die ab Mai 2018 in Kraft tritt, sollen wieder einheitliche Vorgaben und Definitionen für den Datenschutz in der EU gelten.

2. Die Neuerungen der EU-DSGVOO im Überblick
Um den Unklarheiten der vorhergehenden DSV entgegenzuwirken, sind persönliche Daten in der EU-DSGVOO klar definiert – ein Novum in der Geschichte des europäischen Datenschutzes.

Nutzerrechte sollen gestärkt werden

Bei den persönlichen Daten macht die EU-DSGVO klar, dass es sich hierbei um mehr als nur offensichtliche Identifizierungsmerkmale handelt. Auch wenn eine Person direkt oder indirekt durch womöglich verwendete Mittel von irgendwem identifiziert werden kann, handelt es sich um persönliche Daten, sogenannte Quasi-Identifizierungsmerkmale. Beispielsweise dann, wenn Geo-Daten erhoben werden, die in Kombination mit anderen Daten die Darstellung eines Bewegungsmusters erlauben.

Darüber hinaus wird das Recht des Nutzers auf Vergessen gestärkt, mit dem es leichter werden soll, einmal über ihn veröffentlichte Informationen vollständig zu löschen.

Datenverarbeitung unterliegt neuen Pflichten

Für Datenverarbeiter einschließlich Cloudanbieter gelten mit der EU-DSGVO neue Verpflichtungen. So müssen Cloudanbieter die Sicherheit von Daten wahren, die ihnen durch einen Datenverantwortlichen übertragen wurden. Die Idee dahinter ist, dass Verbraucher einen Datenverarbeiter nun direkt auf Schäden verklagen können.

Mindestalter für die Einwilligung der Datenerhebung

Bei der Festlegung des Mindestalters lässt die EU-DSGVO wie die alte DSR erneut Spielräume. Somit können die Mitgliedsstaaten selbst festlegen, ab welchem Alter Kinder und Jugendliche sich rechtswirksam auf Webseiten anmelden können. In einigen EU-Ländern dürfen Kinder beispielsweise erst ab 16 Jahren ohne Einwilligung der Eltern einen Facebook-Account eröffnen.

Ab Mai 2018 gilt das Marktortprinzip

Das neu geschaffene Datenschutzrecht gilt verbindlich für alle Unternehmen, die auf dem europäischen Markt tätig sind. Dabei spielt es keine Rolle, ob sich der Firmensitz innerhalb der EU befindet. Zudem ist es auch unerheblich, wo die Datenverarbeitung stattfindet. Denn jede Verarbeitung personenbezogener Daten von Nutzern aus der EU unterliegt der EU-DSGVO.

3. Was passiert, wenn sich Unternehmen nicht daran halten?

Mit der EU-DSGVO etabliert die EU ein abgestuftes Sanktionssystem, das den Gewinn eines Unternehmens bei einer Pflichtverletzung schrumpfen lässt. So kann eine Firma mit einem Bußgeld von bis zu vier Prozent des globalen Umsatzes im vorausgegangenen Geschäftsjahr belegt werden, sollte sie gegen die Richtlinien der EU-DSGVO verstoßen. Die maximale Geldbuße beträgt 20 Millionen Euro. Die Schwere des Verstoßes ist nach Bemessungskriterien eingeteilt und in Artikel 83 unter anderem definiert nach:

• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
• Art und Schwere sowie Dauer des Verstoßes
• Berücksichtigung früherer Verstöße
• Kategorien personenbezogener Daten

Nach Artikel 55 kann jede Aufsichtsbehörde im Hoheitsgebiet des eigenen Mitgliedsstaates ein Bußgeld bei nachgewiesenen Verstößen verhängen. Diese wiederum können sowohl durch die Überwachungstätigkeiten von Behörden als auch durch Kunden oder Mitarbeiter, die sich bei der Aufsichtsbehörde beschweren, aufgedeckt werden.

4. Wie sich Unternehmen auf die Änderungen vorbereiten können

In erster Linie sollten Unternehmen keine vorschnellen Handlungen vollziehen, sondern besonnen und ruhig an die Vorbereitungen herangehen. Auch wenn die EU-DSGVO erst 2018 in Kraft tritt, sollte die Umstellung zeitnah erfolgen. Denn der Aufwand ist nicht zu unterschätzen. Da jedes Unternehmen unterschiedlich ist, wäre die Anwendung eines allgemeinen Maßnahmenkatalogs kaum möglich. Dennoch gibt es vier zentrale Eckpunkte, an denen sich Unternehmen orientieren können.
Dabei ist die Bildung einer Projektgruppe empfehlenswert, die sich mit den Konsequenzen der EU-DSGVO für das eigene Unternehmen befasst. Hierbei geht es darum, Anpassungsmaßnahmen herzuleiten und diese Schritt für Schritt auf den Weg zu bringen, sodass die Maßnahmen noch vor Mai 2018 abgeschlossen sind.

Corporate Governance

Die Governance beinhaltet Richtlinien, nach denen im Unternehmen klar definiert ist, welche Personen auf persönliche Daten im Dateisystem zugreifen dürfen und welche nicht. Dabei geht es vor allem darum, nur die Mitarbeiter zu benennen, die tatsächlich mit persönlichen Daten arbeiten müssen. Zudem sind regelmäßige Zugriffskontrollen zu empfehlen, insbesondere bei Stellenwechseln.

Datenklassifizierung

Unternehmen müssen künftig wissen, wo in ihrem System persönliche Daten gespeichert werden. Dabei geht es auch um unstrukturierte Formate wie Präsentationen oder Tabellen. Denn nur welches Unternehmen weiß, wo die Daten gespeichert sind, kann künftig Löschungsanträgen von persönlichen Daten ausführen.

Speicherfristen

Aufgrund der Beschränkung von Datenaufbewahrungsfristen müssen Unternehmen wissen, wo, wann und zu welchem Zweck Daten erfasst wurden. Persönliche Daten sind regelmäßig zu kontrollieren und zu prüfen, um über deren weitere Speicherung entscheiden zu können.

IT-Überwachung

Unternehmen sind nach der EU-DSGVO künftig verpflichtet, Verstöße unverzüglich zu melden. Eine lückenlose Überwachung des Datenschutzes gehört damit künftig zu den Aufgaben eines jeden Unternehmens. Sie müssen in der Lage sein, unerlaubte Zugriffe oder gar den Export von Daten schnell zu erkennen, ansonsten drohen empfindliche Bußgelder.

5. Fazit: Eine sorgfältige Vorbereitung ist wichtig

Die EU-Datenschutzverordnung gilt ab Mai 2018. Somit bleiben Unternehmen weniger als zwei Jahre Zeit, sich intensiv mit den Auswirkungen der neuen Vorgaben zu befassen. Eine genaue Analyse zum IST-Stand der internen Datenverarbeitung sollte daher die Grundlage sein, um den Fahrplan bis 2018 festzuglegen.

Bild: CTT AG

Oliver Lobschat

ist promovierter Anglist, der sich bereits während seines Studiums intensiv mit Linux, Hard- und Software beschäftigte.
Seit 2012 ist er Content Manager bei der CTT Computertechnik AG und zuständig für den Bereich Content Management,
Redaktion sowie Presse- und Öffentlichkeitsarbeit.

E-Mail: lobschat [at] ctt [dot] de
Website: www.ctt.de