Meldepflicht

Auswirkungen der EU-DSGVO auf die Sicherheitsarchitektur

| Autor / Redakteur: Fabian Beutel* / Susanne Ehneß

Drei Erfolgsfaktoren

Vor allem beim Reporting von Verstößen gegen die EU-DSGVO, die innerhalb von 72 Stunden gemeldet werden müssen, sind im öffentlichen Bereich noch große Anstrengungen notwendig. Denn die schnelle Erkennung von Verletzungen der EU-DSGVO und die Erfüllung der Meldepflicht bedingt drei notwendige Erfolgsfaktoren moderner IT-Sicherheitsarchitekturen:

  • 1. Erkennungsfähigkeit: Benötigt werden technische, aber auch organisatorische Möglichkeiten, Verstöße (gleich welcher Art) schnell und effektiv zu erkennen. Das setzt nicht nur eine genaue Kenntnis der Datenverarbeitungsprozesse voraus, sondern auch die Implementierung adäquater technischer Überwachungsmaßnahmen entlang der Prozesskette.
  • 2. Reaktionsfähigkeit: Technische und organisatorische Maßnahmen, um entsprechende Reaktionen auf einen Vorfall einzuleiten, müssen eingeführt werden. Da die Zeit zwischen Erkennung und Meldung nur 72 Stunden beträgt, müssen die zum Einsatz kommenden Technologien mit automatisierten Prozessen unterstützt werden. Die bloße Erkennung eines Vorfalls bedeutet noch nicht, dass eine Meldepflicht vorliegt. Allerdings kann überhaupt nur auf Vorfälle reagiert werden, die auch erkannt worden sind.
  • 3. Personal: Gut ausgebildetes Personal, das ganzjährig 24 Stunden die Woche zur Verfügung steht, um bei entsprechenden Alarmen und Vorfällen in die Triage der Vorfallsbehandlung eingreifen kann, ist notwendig. Da das benötigte Fachpersonal derzeit am Markt nur schwer zu finden ist, können Konzepte wie Managed Security Services oder Managed Incident Detection und Response für die Vorfallserkennung und -Behandlung außerhalb der Dienst-und Geschäftszeiten ergänzende Lösungsmöglichkeiten darstellen.

Notwendige Schritte

Artikel 5 der EU-DSGVO fordert dazu auf, dass Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, […] durch geeignete technische und organisatorische Maßnahmen“.

Dies bedeutet jedoch nicht, dass jede x-beliebige Sicherheitstechnologie nun blindlings zum Schutz der Daten angeschafft werden muss. Artikel 32 Abs. 1 führt dazu an, dass für die Sicherheit und zur Gewährleistung der Verarbeitung von personenbezogenen Daten ein angemessenes Schutzniveau durch geeignete technische und organisatorische Maßnahmen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ zu treffen ist.

IT-Sicherheitsverantwortlichen sind die dazu in Artikel 32 genannten Maßnahmen nicht neu, kommen sie doch bereits seit langem im Aufbau von Sicherheitsarchitekturen vor. So werden als Maßnahmen Möglichkeiten zur Pseudonymisierung und Verschlüsselung, aber auch die „Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“ genannt. Vor allem die genannte Vertraulichkeit, Integrität und Verfügbarkeit sind die bekanntesten und wichtigsten Schutzziele von Informationssystemen.

Bitte lesen Sie auf der nächsten Seite weiter.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44946901 / Compliance und Datenschutz )