Datenschutz-Grundverordnung

Datensicherheit in der DSGVO

| Autor / Redakteur: Amit Ashbel / Peter Schmitz

Durch Europa schwappt demnächst eine neue Welle an Datenschutz- und Sicherheitsreformen – und dies betrifft größtenteils auch den Rest der Welt.
Durch Europa schwappt demnächst eine neue Welle an Datenschutz- und Sicherheitsreformen – und dies betrifft größtenteils auch den Rest der Welt. (Bild: Pexels / CC0)

Nach Jahren des Hin und Her und hitziger Diskussionen über den aktuellen Stand der Datensicherheit hat die Europäische Union ein neues Rahmenwerk zum Datenschutz verabschiedet, das die Bezeichnung Datenschutz-Grundverordnung (DSGVO) trägt. Diese Verordnung ist ein völlig neuer Rahmen dafür, wie persönliche Daten verwendet und verarbeitet werden, und wirkt sich weit über die Grenzen Europas hinweg aus.

Ab 25. Mai 2018 müssen Unternehmen, die innerhalb der EU (Europäischen Union) mit privaten europäischen Daten umgehen, die neugeschaffene Datenschutz-Grundverordnung in vollem Umfang umgesetzt haben. Und auch wenn anderthalb Jahre viel Zeit zu sein scheinen, dieses Projekt sollte man nicht aufschieben, denn es gibt eine Reihe von Elementen, die bereits vor dem Mai-Termin wirksam sein müssen. Die größte Änderung, die es zu beachten gilt, ist, dass mit der DSGVO jedes Unternehmen, die europäische Daten verarbeitet, speichert oder besitzt, oder die in der EU ansässig ist, die Verordnung einhalten muss – oder schwere Strafen zu erwarten hat.

Ganz egal also, wo Sie oder Ihr Unternehmen ansässig sind, wenn Sie die persönlichen Daten nur eines einzigen europäischen Kunden oder Benutzers speichern (oder verarbeiten), sind Sie zur Einhaltung dieser neuen Compliance-Verordnung verpflichtet. Um sicherzustellen, dass Sie die Richtlinien einhalten, besonders hinsichtlich der Anwendungssicherheit, gliedern wir die wichtigsten Elemente der DSGVO hier einmal auf.

Ein kurzer Überblick über die DSGVO und die Notwendigkeit höherer Datenschutz- und Sicherheitsstandards

Die EU-DSGVO ersetzt die Datenschutzrichtlinie 95/64/EG aus dem Jahr 1995. Für damals war die Datenschutzrichtlinie bereits umfangreich, denn dies war vor dem explosionsartigen Wachstum der Datensammlungen und vor „Big Data“. Doch dieses ältere Dokument war nicht bindend, und die tatsächlichen Gesetze zur Umsetzung der Richtlinie in den einzelnen EU-Ländern unterschieden sich erheblich.

Im Zuge der EU-Erweiterungen haben Unternehmen aus dem ganzen Kontinent Geschäftsbeziehungen und Partnerschaften mit anderen Ländern innerhalb und außerhalb Europas aufgenommen. Im Rahmen dieser Kooperationen sind Kundendaten zwischen Unternehmen, öffentlichen und privaten Unternehmen hin- und hergeflossen, über Landesgrenzen und selbst Kontinente hinweg. In jedem Land gelten eigene Datensicherheitsrichtlinien, und dies führt zu großen Lücken in Sachen Datensicherheit und Datenschutz. Diese Tatsache und der schnelle technologische Fortschritt, der jetzt die öffentliche Verwendung persönlicher Daten (oft als PII, „persönlich identifizierende Informationen“ bezeichnet) auf globaler Ebene – und mit unsicheren Ergebnissen – ermöglicht, sind die treibenden Kräfte hinter der DSGVO.

Die Verordnung dient, kurz gesagt, dazu, den Bürgern der EU mehr Kontrolle über ihre persönlichen Daten zu verschaffen und dabei die Prozesse hinter der Regulierung von Daten zu optimieren.

Die wichtigsten Unterschiede zwischen der Datenschutzrichtlinie 95/46/EG und der DSGVO:

Die Verordnung ist lang, und für Datenschutz- und Sicherheitsprofis ist es ein Muss, sie ganz zu lesen. Wir haben hier die wichtigsten Elemente zusammengestellt.

1. Durch die DSGVO ist jedes Unternehmen, das seinen Standort in der EU hat oder mit irgendwelchen Daten umgeht, die mit EU-Bürgern oder EU-Unternehmen zu tun haben, zur Einhaltung der Vorschriften verpflichtet, unabhängig davon, wo das Unternehmen ansässig ist oder wo die Datenverarbeitung stattfindet.

2. Der Begriff der „persönlichen Daten“ wird weiter gefasst. Unter der DSGVO gilt alles, was einen EU-Bürger identifizierbar macht, als persönliche Daten, zum Beispiel auch IP-Adressen oder Cookie-IDs.

3. Die Protokolle für Anzeigen bei Verstößen wurden überarbeitet. Unternehmen müssen jetzt Vorfälle, die Kundendaten in Gefahr bringen können, innerhalb von 72 Stunden nach der Entdeckung an die Datenschutzbehörde ihres Landes melden. Bei größeren Verstößen muss das betroffene Unternehmen zusätzlich seine Kunden oder Nutzer selbst informieren. Die Verordnung nennt spezifische Anforderungen für Verstoßanzeigen, darunter:

  • Wenn die Verstoßanzeige nicht innerhalb von 72 Stunden erfolgt, muss der für die Daten Verantwortliche oder das Unternehmen, dem die Daten gehören, eine Begründung für die Verzögerung angeben.
  • Datenverarbeiter oder Unternehmen, die mit Daten umgehen, diese aber nicht direkt besitzen (Cloud-Dienste wie Amazon Web Services), sind ebenfalls verpflichtet, Verstöße ohne „unangemessene Verzögerung“ anzuzeigen, in diesem Fall wird jedoch kein spezifischer Zeitrahmen vorgegeben.
  • Datenverantwortliche müssen ein internes Protokoll von Verstößen aufbauen oder pflegen, in dem alle Vorfälle dokumentiert werden, die möglicherweise persönliche Daten gefährdet haben, ggf. zusammen mit den Auswirkungen und den Schritten, die dagegen unternommen wurden.

4. Teil der Verordnung ist die Pflicht zur Bestellung eines Datenschutzbeauftragten unabhängig vom IT-Sicherheitsbeauftragten. Die Rolle des Datenschutzbeauftragten besteht darin, für die Einhaltung der Verordnung und natürlich anderer einzuhaltender Bestimmungen durch das Unternehmen zu sorgen und hierzu die Verstoßanzeigen und Aufzeichnungen zu verwalten. Der Datenschutzbeauftragte ist für die Umsetzung der Richtlinien und Verfahren zuständig, die für das Management von Daten-Auslagerungs- und -verarbeitungsaktivitäten notwendig sind, und sollte direkt der Geschäftsleitung unterstellt sein.

5. Die EU richtet eine zentrale Aufsichtsbehörde ein, die als „einheitlicher Ansprechpartner“ zur Datenschutzregulierung dient, um zu vermeiden, dass jedes Land seine eigene Behörde mit eigenen Regeln und Anforderungen aufbaut und außerhalb der EU die Regeln nicht angewendet werden.

Anforderungen der DSGVO an die Sicherheit von Anwendungen

Die meisten Einzelheiten darüber, worauf sich Unternehmen bei der Sicherheit der Daten konzentrieren müssen, die durch ihre Anwendungen verarbeitet werden, und was im Falle eines Verstoßes zu tun ist, finden sich bei den Anforderungen zu Anwendungssicherheit in den Artikeln 25, 32, 33,34 und 35 der DSGVO. Die allgemeinen Anforderungen drehen sich um Konzepte zur Vorbeugung, Einschätzung und Überwachung. Sehen wir uns die fünf wichtigsten Dinge an, die wir aus den Datensicherheitsabschnitten der DSGVO mitnehmen können:

  1. Um alle Schwachpunkte bei der Datenverarbeitung oder -behandlung aufzudecken, schreibt die DSGVO vor, dass Unternehmen ihre derzeitigen Systeme und Prozesse dahingehend bewerten, wie sie derzeit mit Daten umgehen, und eine Lückenanalyse durchführen, um festzustellen, was funktioniert und was geändert oder abgeschafft werden muss.
  2. Datenschutz und Datensicherheit müssen standardmäßig und von Anfang an in eine Anwendung oder ein System „eingebaut“ werden („Privacy/Security by Design“). Dieses Konzept beschreibt die Idee, dass Sicherheit und Datenschutz in den Planungsphasen berücksichtigt werden müssen und nicht erst bei der Entwicklung (oder gar noch später im Systementwicklungs-Lebenszyklus/SDLC).
  3. Unternehmen sind verpflichtet, für einen „dem Risiko entsprechenden, angemessenen Sicherheitsgrad“ zu sorgen. Dies wird folgendermaßen spezifiziert:
      • Verschlüsselung und Pseudonymisierung persönlicher Daten.
      • Die Fähigkeit, den Zugriff auf persönliche Daten zeitnah wiederherzustellen, wenn ein Sicherheitsvorfall oder ein technisches Problem aufgetreten ist.
      • Laufende Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Datenverarbeitungssystemen und -diensten (Grundsätze der Informationssicherheit).
      • Aufbau eines Verfahrens für regelmäßige Sicherheitsüberprüfungen und Bewertung der Wirksamkeit geltender Sicherheitsverfahren und -lösungen.
  4. Unternehmen sollten das Prinzip der geringsten Rechte umsetzen und regelmäßig „aufräumen“ und alle nicht mehr benötigten Daten löschen.
  5. Schließlich wird empfohlen, wenn auch nicht vorgeschrieben, dass insbesondere größere Unternehmen Anwendungen und Daten zentral speichern, um Kundendaten besser unter Kontrolle zu haben.

Was geschieht, wenn Unternehmen die Verordnung nicht einhalten?

Die DSGVO macht Sicherheit zu einer unbedingten Anforderung an Unternehmen, die mit EU-Daten hantieren, seien sie groß oder klein. Wenn Ihr Unternehmen in der Vergangenheit aus Mangel an Budget oder Personal, wegen des höheren administrativen Aufwands oder aus ähnlichen Gründen auf Sicherheitsverfahren verzichtet hat, ist sie vielleicht damit durchgekommen. Dies wird jetzt anders – es lohnt sich nicht mehr, dieses Risiko einzugehen. Nichteinhaltung der DSGVO kann zu schweren Geldbußen führen, entweder um die 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes im aktuellen Jahr (je nachdem, was in diesem Jahr höher ist!). Man darf wohl sagen, dass diese finanziellen Sanktionen bei der Motivation für Unternehmen zur Einhaltung der Verordnung eine große Rolle spielen werden.

Auf der anderen Seite können diejenigen, die die Verordnung einhalten, diese Tatsache auch als Wettbewerbsvorteil für sich nutzen, mit dem DSGVO-Konformitätszertifikat die hohen Sicherheitsstandards des eigenen Unternehmens nachweisen und dadurch das Vertrauen neuer Kunden gewinnen.

Fazit: Machen Sie es gleich richtig und sparen Sie sich späteren, noch größeren Ärger

Wenn Sie in Sachen Sicherheit und Datenschutz schon jetzt bei der Umsetzung im Rückstand sind, mag es wie ein Alptraumszenario wirken, die DSGVO in Ihrerm Unternehmen umzusetzen. Aber die gute Nachricht hinsichtlich der Verordnung ist, dass sie zwar vielleicht am Anfang etwas Kopfzerbrechen bereiten mag, bis man die Standards erreicht hat, man anschließend aber ein wirklich umfassendes Datensicherheitskonzept besitzt und damit einmal mehr nachweist, dass die Einhaltung von Bestimmungen wichtiger ist als einfach nur das Ankreuzen eines Kästchens. Denn am Ende dienen Konformitätsbestimmungen wie die DSGVO dazu, die Sicherheit von Kunden zu gewährleisten, und das liegt im ureigenen Interesse des Unternehmens selbst.

Über den Autor: Amit Ashbel ist Cyber Security Evangelist bei Checkmarx.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44653782 / Compliance und Datenschutz )