:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zwei Jahre DSGVO Die Datenschutz-Grundverordnung in der Praxis
Zwei Jahre DSGVO – wir gehen in den Rückblick und eine Bestandsaufnahme. Wir fragen den Datenschutzexperten Ralf Schulze, was sich vom Start der DSGVO vor zwei Jahren bis heute getan hat, wo dringend nachjustiert werden sollte und was die DSGVO speziell für den Mittelstand bedeutet.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Schauen wir kurz zurück: Ende 2019 referierte für die Berliner IT-Expertenrunde vom Bundesverband der Mittelständischen Wirtschaft Ralf Schulze, Geschäftsführer der Kedua, zum Thema DSGVO. Die geladenen Unternehmer aus den Branchen E-Health, Dienstleistung, Handel/E-Commerce, IT, IT-Security oder Kommunikation waren sich einig: sinnvoll in jedem Fall sind Checklisten und Szenarien für den Umgang mit Kundendaten. Aber wo soll man systematisch anfangen und welche Konsequenzen gab es bislang bei Verstößen?
:quality(80)/images.vogel.de/vogelonline/bdb/1707600/1707692/original.jpg "Die aktuelle Form der DSGVO kann mehr und bietet mehr, als bisher genutzt wird. (gemeinfrei)")
Zwei Jahre Datenschutz-Grundverordnung
Was an der DSGVO geändert werden soll und kann
Die Zahlen der gemeldeten Datenpannen sprechen für sich. Allein in 2019 waren rund 1.000 Meldungen über Datenpannen beim baden-württembergischen Datenschutzbeauftragten eingegangen, auch in Berlin/Brandenburg stiegen die Meldefälle. Ralf Schulze erläuterte, wie in verschiedenen Bundesländern bei Verstößen gegen die DSGVO reagiert wird und wie proaktiv reagiert werden sollte. Einige Neuerungen bei der gesetzlich vorgeschriebenen Ernennung eines Datenschutzbeauftragten wie die Änderung der Mitarbeitergrenze von zehn auf zwanzig wurden zu Beginn der Expertenrunde thematisiert, ebenso die bekanntgewordenen Datenpannen, die zum Teil hohe Bußgelder nach sich gezogen haben. Generell zeigt sich, dass sowohl Geschäftsführer als auch IT-Leiter die Prinzipien der DSGVO aktiv verfolgen und sich regelmäßig dazu informieren. Was wohl als nächstes folgt? Die ePrivacy Verordnung steht in den Startlöchern. Die Corona Situation zeigt zudem: das Bewusstsein für den Umgang mit Daten ist stark gestiegen, der Wunsch nach Optimierung von bestehenden Regelungen allerdings auch.
Security-Insider: Herr Schulze: Was hat sich vom Start der DSGVO vor zwei Jahren bis heute getan?
Ralf Schulze: Zum Zeitpunkt des Inkrafttretens der DSGVO vor zwei Jahren haben sich, nicht zuletzt durch die zahlreichen Berichterstattungen, zahlreiche Unternehmen und Einrichtungen mit dem Thema auseinandergesetzt. Oftmals stand das Thema Datenschutz damals ziemlich weit oben auf der Prioritätenliste. Inzwischen haben aus unserer Beobachtung dann jedoch oftmals wieder andere Themen die oberen Plätze in der Prioritätenliste eingenommen. Im ersten Jahr der DSGVO gab es zudem eine Art „Schonfrist“ in Bezug auf das Verhängen von Bußgeldern. Das führte gerade in kleineren Unternehmen dann dazu, dass das Thema Datenschutz nicht mit dem nötigen Nachdruck im Unternehmen umgesetzt wurde. Wer allerdings seine Prozesse in den vergangenen zwei Jahren an die Vorgaben der DSGVO angepasst hatte, der dürfte auch bei der kurzfristigen Reaktion auf die veränderten Rahmenbedingungen durch die Corona-Thematik wenig Probleme gehabt haben.
Security-Insider: Hat die Corona Zeit die Auslegung von Rechtsvorgaben verändert?
R. Schulze: Die Corona-Zeit hat die Auslegung der Rechtsvorgaben in Deutschland nicht verändert. Lediglich Spezialgesetze werden verabschiedet. Hier ist teilweise fraglich, ob diese spezialgesetzlichen Regelungen mit dem Regelwerk der DSGVO und den Grundrechten der Bürger vereinbar sind. In der jüngeren Vergangenheit hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit einige Vorhaben der Bundesregierung entsprechend kommentiert bzw. entsprechende Kritik geübt.
Security-Insider: Wo sollte dringend nachjustiert werden?
R. Schulze: Aus meiner Sicht besteht dringender Handlungsbedarf im Bereich der E-Privacy-Verordnung. Diese sollte nach der ursprünglichen Planung zusammen mit der DSGVO in Kraft treten, ist bis heute jedoch nicht verabschiedet worden. Somit bestehen teilweise Rechtsunsicherheiten die sich mit einer gut gemachten E-Privacy-Verordnung vermeiden ließen.
Security-Insider: Wie ist die Tendenz im Verhältnis interne Ressourcen/externe Berater?
R. Schulze: Dort, wo Datenschutzbeauftragte tätig sind, hat sich die Situation auch unter der DSGVO kaum verändert. Interne Datenschutzbeauftragte haben nach wie vor teilweise zu geringe zeitliche Ressourcen für das Tätigkeitsfeld des Datenschutzes. Dieses Problemfeld stellt sich bei den externen Beratern nicht in dieser Form. Hier kann dann auch entsprechend flexibel dem Unternehmen bei der Lösung der Fragestellungen - sei es bei der Einführung neuer Geschäftsprozesse oder bei einer eventuell eingetretenen Meldepflicht aufgrund eines Datenschutzverstoßes - beratend zur Seite gestanden werden.
Security-Insider: Was war die erstaunlichste Begebenheit bei den verschiedenen Datenpannen?
R. Schulze: Aus meiner Sicht war es besonders interessant, dass auch große Firmen hiervon betroffen waren. Dies zeigt letztendlich dann aber auch, dass es keine hundertprozentige Sicherheit gibt. Darüber hinaus ist aus meiner Sicht ebenfalls sehr erstaunlich, dass Firmen nach wie vor, ob nun bewusst oder unbewusst, das Ziel der DSGVO ignorieren oder zu großzügig auslegen. Nach Art. 1 Abs. 2 schützt die Verordnung die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Security-Insider: Sind die Regelungen bezüglich der Strafen immer angemessen?
R. Schulze: Ich denke, unsere Aufsichtsbehörden machen hier einen guten Job. Natürlich wirken die verhängten Bußgelder zunächst einmal ziemlich hoch. In diesem Zusammenhang darf jedoch nicht vergessen werden, dass der Artikel 83 mit einem entsprechend hohen Bußgeldrahmen daher kommt. Zusätzlich hat die Datenschutzkonferenz im Oktober 2019 ein Konzept zur Bußgeldbemessung veröffentlicht. Somit ist es transparent dargelegt, welche Bußgeldhöhe bei bestimmten Verstößen zu erwarten ist.
Security-Insider: Wieviel Know-how konnte bei den klassischen KMUs aufgebaut werden?
R. Schulze: Gerade im vergangenen Jahr haben wir ein sehr starkes Interesse an den Regelungen der DSGVO erkennen können. Auch in zahlreichen Einzel-Veranstaltungen und bei den Verbänden wie beim BVMW haben wir das Thema den Unternehmern näher gebracht. Ich denke, dass sich zahlreiche Unternehmerslenker mittlerweile mit dem Thema intensiv auseinandergesetzt haben und mit Prioritäten die Datenschutzerklärungen aktualisiert haben.
Security-Insider: Ab wann lohnt es sich einen Leitfaden für die Mitarbeiter zu erstellen?
R. Schulze: Das lohnt sich immer. Die Schulung und Sensibilisierung der Mitarbeiter ist nicht ohne Grund in die Aufgaben des Datenschutzbeauftragten eingeflossen. Der Datenschutz im Unternehmen kann nur umgesetzt werden, wenn die Mitarbeiter informiert sind und diesen Prozess durch das eigene Verhalten aktiv unterstützen.
Security-Insider: Was ist die größte Herausforderung für den Mittelstand?
R. Schulze: Die größte Herausforderung sehe ich darin, den Datenschutz als Chance und nicht als Bürokratie zu sehen. Sicher gibt es Dokumentationspflichten, diese erscheinen auf den ersten Blick als lästig. Sie sind jedoch gleichzeitig eine Chance, die Prozesse im Unternehmen nochmals zu betrachten und kritisch zu hinterfragen. Eine wichtige Grundlage für Optimierung besteht darin die vorhandenen Daten kritisch zu hinterfragen. Benötige ich diese Daten überhaupt (noch). Gibt es hier keine spezialgesetzlichen Aufbewahrungsfristen und ich benötige die Daten für eigene Zwecke nicht mehr, dann weg damit. So habe ich mich von unnötigem Ballast befreit und erfülle gleichzeitig den Grundsatz der Speicherbegrenzung und der Datenminimierung. Die Herausforderung ist natürlich, sich das entsprechende Zeitfenster für diese Tätigkeit im Arbeitsalltag freizuschaufeln.
Security-Insider: Was mache ich eigentlich, wenn ich keinen internen Datenschutzbeauftragten aufstellen kann oder niemanden finde, der dafür geeignet ist. Muss ich dann als Unternehmer diese Funktion übernehmen?
R. Schulze: Ganz einfach, dann fragen Sie uns, wir stellen Ihnen gern den externen Datenschutzbeauftragten. Sofern eine Bestellpflicht für einen Datenschutzbeauftragten besteht, darf der Unternehmer diese Funktion nicht übernehmen. Bei kleinen Unternehmen, wo keine Bestellpflicht für einen Datenschutzbeauftragten besteht, muss dann in der Tat der Unternehmer für die Umsetzung der gesetzlichen Vorgaben im eigenen Unternehmen Sorge tragen. Eine freiwillige Bestellung eines Datenschutzbeauftragten ist natürlich immer möglich.
Security-Insider: Welchen Gesetzestext in Verbindung mit der DSGVO sollte ich auf Knopfdruck parat haben?
R. Schulze: Artikel 4 Begriffsdefinitionen, Artikel 5 Grundsätze, Artikel 6 Rechtmäßigkeit, Artikel 9 besondere Kategorien personenbezogener Daten usw.
Security-Insider: Zu guter Letzt: Wer hat den Hut auf: IT oder Geschäftsführung
R. Schulze: Ganz klar immer die Geschäftsführung oder der Inhaber, diese Personen sind Verantwortliche im Sinne des Gesetzes.
Die Kedua GmbH mit Sitz in Berlin wurde 1998 gegründet und ist ein Beratungsunternehmen für Datenschutz und Ausbildung für Datenschützer und Koordinatoren. Das Portfolio umfasst die Beauftragung und Stellung externer Datenschutzbeauftragter, die Aus- und Weiterbildung sowie die Beratung von Unternehmen und Organisationen. Kedua arbeitet zudem eng mit dem Kooperationspartner DEKRA zur Abnahme der unabhängigen Prüfung bei der Ausbildung der Datenschutzbeauftragten zusammen. Jährlich findet die Konferenz „Datenschutztag“ mit hochkarätigen Speakern und Best Practices statt. Der nächste Datenschutztag findet am 9. Juni 2020 in Berlin statt.
(ID:46617494)
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/de/7dde4303ee2028c8baac0e3119cb724f/0109199656.jpeg "Aus Fehlern lernt man. Deshalb lohnt es sich für Unternehmen und Behörden, jetzt zum Jahresbeginn 2023 auf die größten Datenpannen aus 2022 zu blicken. (Bild: Skórzewiak - stock.adobe.com)")