Neue EU-Normen

Führt Verschlüsselung zu besserem Datenschutz?

| Autor / Redakteur: Dietmar Schnabel / Stephan Augsten

Wer gleich mehrere Standards erfüllt, der muss später keine großen Investitionen in Compliance-Anpassungen tätigen.
Wer gleich mehrere Standards erfüllt, der muss später keine großen Investitionen in Compliance-Anpassungen tätigen. (Bild: Archiv)

Im Vergleich zum IT-Sicherheitsgesetz ist es um die General Data Protection Regulation (GDPR) eher still. Sollte die EU-Datenschutz-Grundverordnung kommen, wird die Mehrheit aller europäischen Organisationen betroffen sein. Die Bemühungen, sich darauf vorzubereiten, scheinen aber eher gering.

Die endgültige Entscheidung über die http://eur-lex.europa.eu/legal-content/DE-EN/TXT/?uri=CELEX:52012PC0010&from=en General Data Protection Regulation wird noch vor Jahresende erwartet, in Panik verfällt aber niemand. Dennoch sollte das neue Gesetz nicht unterschätzt werden. Teile des EU-Vorschlags haben bereits ihren Weg in die deutsche Gesetzgebung gefunden.

So ist es beispielsweise die Pflicht, Cyber-Angriffe bei der zuständigen Bundesbehörde zu melden. In Deutschland wäre dies das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Behörde arbeitet nicht nur an Gesetzen selbst mit, sondern wird auch die Aufsichtsbehörde zur Bearbeitung der Ereignismeldungen sein.

Die Anforderungen an die IT-Sicherheit werden sich ändern; und nachdem immer mehr Cyber-Angriffe landesweite Medienaufmerksamkeit erlangten, schenken jetzt auch Kunden und die Öffentlichkeit diesem Thema mehr Aufmerksamkeit.

Einbindung der Verschlüsselung in die mobile Sicherheit

Unternehmen müssen dem BSI Cyber-Ereignisse nicht nur (anonym) melden, sondern auch über die betroffenen Einzelpersonen informieren, falls deren Daten verloren gingen und nicht geschützt waren. § 29 des EU-Vorschlags argumentiert allerdings dagegen.

Die Einzelperson müsse im Falle eines Ereignisses nicht informiert werden, falls „der Controller zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er angemessene technische Schutzmaßnahmen getroffen hat, und dass diese Maßnahmen auf die persönlichen Daten, die von dem Datenschutzverstoß betroffen sind, angewandt wurden.“

Diese technischen Schutzmaßnahmen sollen die Daten für andere Personen, die keine Zugriffsbefugnis haben, unleserlich machen. Das bedeutet, dass Unternehmen zusätzliche Möglichkeiten zur Verfügung stehen, persönliche Daten zu schützen; wenn diese nicht genutzt werden, muss jede Verletzung bekannt gemacht werden.

Persönliche Daten müssen sicher gespeichert werden, und dieser Schutz muss auch im Falle eines Ereignisses gewährleistet sein. Im Paragraph § 27 des Drafts werden Mechanismen empfohlen, wie die Kontrolle des Zugangs zu Anlagen, Datenmedien, Speichern und Daten aussehen kann. Erforderliche Schutzmechanismen sind sichere Authentifizierungsmethoden und Ende-zu-Ende-Verschlüsselung.

Daten, die auf Mobilgeräten gespeichert sind, können besonders leicht verloren gehen. Durch den Trend in Richtung BYOD und Internet der Dinge (IoT) wird der Schutz zu einer immer anspruchsvolleren Aufgabe. Der Zugang zu Informationen ist in der Regel durch Fernzugriff möglich, zum Beispiel durch die Extraktion von Daten durch bösartige Anwendungen, aber auch direkt, wenn das Gerät selbst in falsche Hände gerät.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43708225 / Compliance und Datenschutz )