:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
HSP Summit 2019 Ein Jahr DSGVO!
Die Datenschutz-Grundverordnung (DSGVO) gilt jetzt seit fast einem Jahr. Noch immer bereitet die Umsetzung der DSGVO Probleme. Doch manche Sorgen von Unternehmen waren unbegründet. Wir sprechen darüber mit Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht bei der Noerr LLP, Honorarprofessor an der Universität Passau und Keynote-Speaker beim Hosting & Service Provider Summit 2019.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Security-Insider: Die Datenschutz-Grundverordnung ist jetzt seit fast einem Jahr EU-weit in Anwendung. Wie ist Ihr Eindruck nach fast einem Jahr, ist die DSGVO eine Erfolgsstory oder ein Drama?
Prof. Dr. Peter Bräutigam: Einerseits ist die DSGVO eine Erfolgsgeschichte, weil sie auf internationaler Ebene eine Aufmerksamkeit erregt hat, die weit über Europa hinausragt. Damit ist das Thema in Asien und Amerika in den Fokus gerückt und es gibt nicht wenige Kanzleien, die mittlerweile auch in Amerika Unternehmen beraten, die in Europa Geschäfte machen. Mittel- und langfristig könnte sich so ein gemeinsames – nicht unbedingt auf der DSGVO fußendes – Verständnis des Datenschutzes entwickeln.
Andererseits wurden nicht alle Aspekte mit dem letzten Mut angegangen, zum Beispiel das Thema Einwilligung. Sie kennen diese ellenlangen Einwilligungen, die man selbst als Jurist beinahe nicht versteht. Da sind Chancen vergeben worden, den Zustimmungsprozess für Verbraucher verständlicher, leichter und wirksamer zu gestalten – etwa mit Medieninstrumentarien, Filmen oder Ampelsystemen.
Security-Insider: Was waren, Ihrer Ansicht nach, die größten Fehler, die bei der Einführung der DSGVO vom Gesetzgeber und von den Unternehmen gemacht wurden?
Bräutigam: Mit seinem Verbotsprinzip konnte sich der Gesetzgeber nicht von einem althergebrachten Modell lösen, das möglicherweise nicht zukunftsfähig ist. Bei diesem repressiven Ansatz ist alles verboten, dem nicht explizit zugestimmt wurde. Der Gedanke einer Kommerzialisierung von Daten wurde nicht umgesetzt. Das wird dann schwierig, wenn eine Einwilligung zurückgezogen, Daten aber schon verkauft wurden.
Die Unternehmen haben meines Erachtens gar nicht so viele große Fehler gemacht. Bußgelder, Gesetzgebungstakt und große Medienbegleitung dürften allerdings dazu beigetragen haben, dass das Thema Datenschutz nicht mehr nur mitläuft, sondern entsprechend ernst genommen wird.
Security-Insider: Sind die deutschen Unternehmen und die deutschen Provider im Speziellen Stand heute so weit in der Umsetzung der Datenschutz-Grundverordnung gekommen wie es erforderlich ist?
Bräutigam: Also da ist viel gemacht worden. Je größer die Provider und je größer die Unternehmen sind, desto mehr wird man auch hier die Complianceprozesse für die DSGVO sehen. Die Projekte schon lang ausgerollt, aber sicher noch nicht fertig – das ist ein „ongoing process“.
Das sieht man auch insbesondere bei den Providern, die ja entsprechend ihrer Örtlichkeiten der Server auch international der DSGVO Genüge tun müssen, sprich die Stichworte sind da ganz klar: Musterklauseln oder auch Privacy Shield. Also auch hier sieht man sehr schön auch die Provider geben an, welche Rechenzentren es sind und Wechsel von Rechenzentren sind auch nicht mehr so einfach möglich, weil es eben wirklich drauf ankommt, in welchem Land das Rechenzentrum liegt – innerhalb oder außerhalb EU; haben wir einen Privacy Shield oder haben wir entsprechende Strandardvertragsklauseln.
Dazu noch ein Wort zum Brexit. Für den Fall, dass Großbritannien die EU verlässt hat das auch Auswirkungen für Dienstleister, die nicht sofort von der Insel in ein EU-Land umziehen können. Deswegen sollte man beispielsweise im noch Vorfeld Model Clauses vereinbaren. Eine Datenverarbeitung lässt sich schließlich nicht per Fingerschnipp zu neuen Providern umzuziehen: Das sind dann Migrationsprojekte, die auch Monate dauern. Aber während der Monate ist dann alles unwirksam. Und da gibt es ja dann beim harten Brexit auch keine Übergangsvorschriften.
:quality(80)/images.vogel.de/vogelonline/bdb/1539100/1539185/original.jpg "Bisher ist nicht erkennbar, dass DSGVO-Verstöße zu Abmahnungen nach dem UWG führen können, Unternehmen sollten aber trotzdem jeden Einzelfall durch eine Rechtsberatung abklären. (fovito - stock.adobe.com)")
UWG und Datenschutz-Grundverordnung
DSGVO und Abmahnungen – Viel Lärm um Nichts
Security-Insider: Sind inzwischen alle, oder wenigstens die wichtigsten Fragen rund um die DSGVO geklärt oder ist da für den Gesetzgeber, die Gerichte und die Aufsichtsbehörden noch viel zu tun?
Bräutigam: Insbesondere beim Thema gemeinsame Verantwortlichkeit gibt es noch viel zu tun. Die scharfe Trennung zwischen Auftragsdatenverarbeiter und dem klassischen „Herrn der Daten“, der selbst Daten verarbeitet und für alles verantwortlich ist, verwischt zusehends. So bieten soziale Netzwerke Dritten die Möglichkeit, Daten zu verarbeiten – beispielsweise von Interessengruppen. Und diese Abgrenzung ist bis jetzt gesetzlich nicht kontrolliert worden. Man hat lediglich eine gemeinsame Verantwortlichkeit festgestellt. Und da tut sich jetzt ein großes Feld auf, wie man denn diese gemeinsamen Verantwortlichkeiten abgrenzt.
Security-Insider: DSGVO, Bußgelder und Abmahnungen wurden lange Zeit im selben Atemzug genannt. Ist es so schlimm gekommen, wie befürchtet?
Bräutigam: Angesichts der in Artikel 83 DSGVO vorgesehenen Sanktionsmaßnahmen lassen sich Bußgelder noch als zurückhaltend betrachten, allerdings bewegen wir uns in einem höheren Rahmen als bisher – wo wir bei ein paar zigtausend Euro waren. Die französische Datenschutzbehörde CNIL hat gegen Google schon eine Strafe von 50 Millionen Euro verhängt. In Portugal wurde ein 400.000 Euro für den fahrlässigen Umgang mit Patientendaten eines Krankenhauses fällig, in Baden-Württemberg wurden versehentlich ins Internet gelangte Daten mit 80.000 Euro geahndet. Und so wird es weitergehen.
Bei Abmahnungen besteht Kernfrage darin, ob die Datenschutznormen in der DSGVO wettbewerbsschützend sind. Hier gibt es unterschiedliche Auffassungen. Das Landgericht Würzburg hat im September 2018 geurteilt: Datenschutzerklärungen sind als Betroffenenrecht wettbewerbsschützend und ich kann einen Rechtsbruch dann auch bejahen. Das Landgericht Bochum argumentierte allerdings bereits im August 2018: Artikel 77 bis 84 DSGVO sind Individuenrechte und die Sanktionen durch die Behörden nach Artikel 83 DSGVO entsprechend statuiert ist abschließend. Damit auch Mitbewerber klagen können, hätte das der Gesetzgeber explizit vorsehen müssen. Aktuell wird im Bundesrat diskutiert, Artikel 3a UWG klarstellend so zu ergänzen, dass Datenschutzverstöße nicht darunterfallen.
Security-Insider: Selbst wenn ein Unternehmen/Provider heute personenbezogene Daten DSGVO-konform verarbeitet, wie kann es eigentlich sicherstellen, dass das auch in einem Jahr noch so ist?
Bräutigam: Das ist ein laufender Prozess. Man ist nicht DSGVO-konform, indem man ein Compliance-Projekt umsetzt und dann die Hände in den Schoß legt. Das Datenschutzrecht entwickelt sich auch international weiter. Es gibt jetzt entsprechende Nachkorrekturen in den einzelnen Gesetzen, Anwendungshinweise und Leitlinien der Datenschutzbehörden – zu finden beispielsweise auf der Webseite der https://www.datenschutzkonferenz-online.de/ Datenschutzkonferenz. Vom Europäischen Gerichtshof werden zudem Entscheidungen zum Privacy Shield erwartet.
Eine gute Compliance-Organisation und saubere Prozesse sind die Grundlage, um solche Konturierungen oder Verfeinerungen ins Unternehmen einzuspeisen.
Prof. Dr. Peter Bräutigam ist Fachanwalt für IT-Recht und Honorarprofessor an der Universität Passau – leitet als Koordinierender Partner den Bereich Commercial und ist Mitglied der Practice Group IT, Outsourcing & Datenschutz. Neben seiner langjährigen praktischen Tätigkeit als Anwalt im IT-Recht publiziert und referiert er regelmäßig zu aktuellen Fragen des IT-Vertragsrechts. So ist er u.a. Herausgeber des Handbuchs IT-Outsourcing - das demnächst in 4. Auflage unter dem Titel „IT-Outsourcing und Cloud-Computing“ erscheinen wird - und Mitherausgeber der Neuen Juristischen Wochenschrift (NJW). Neben seinem Engagement in verschiedenen Vereinigungen (u.a. Stellvertretender Vorstandsvorsitzender bei der Deutschen Gesellschaft für Recht und Informatik [DGRI], Vice Chair des Cyber Crime Committees der International Technology Law Association [ITechLaw]) gehört Prof. Dr. Peter Bräutigam dem geschäftsführenden Ausschuss der Arbeitsgemeinschaft IT-Recht im deutschen Anwaltverein [DAVIT] an und ist Beiratsvorsitzender der Stiftung Datenschutz. Prof. Bräutigam ist außerdem Keynote-Speaker beim Hosting & Service Provider Summit 2019.
(ID:45911726)
:quality(80)/p7i.vogel.de/wcms/2e/02/2e0205bde17a63b090c92d61f106d4f4/0105484649.jpeg "Auf der Piazza der ISX IT-Security Conference der Vogel IT-Akademie lässt es sich hervorragend miteinander reden. Der ideale Platz für Erfahrungsaustausch und das Knüpfen neuer Kontakte. (Bild: Vogel IT-Akademie)")
:quality(80)/images.vogel.de/vogelonline/bdb/1949400/1949435/original.jpg "Wir diskutieren, wie sich Russlands Angriff auf die Cyberwelt auswirkt und liefern Handlungsempfehlungen. (Vogel IT-Medien)")