:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz-Grundverordnung Missachtung der DSGVO ist kein Kavaliersdelikt
Für eine umfassende IT-Sicherheit müssen IT-Abteilungen heute auch Compliance-Risiken aus rechtlicher Sicht korrekt beurteilen können. Mit der Datenschutz-Grundverordnung (DSGVO) kommen neue Herausforderungen auf Unternehmen zu. Wir sprechen darüber mit Prof. Dr. Peter Bräutigam, Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei der Noerr LLP und Keynote-Speaker bei der IT-Security Management & Technology Conference.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Security-Insider: In Deutschland haben Unternehmen sich über viele Jahre an die Anforderungen des Bundesdatenschutzgesetz (BDSG) gewöhnt. Jetzt kommt die Datenschutz-Grundverordnung (EU-DSGVO). Haben deutsche Unternehmen davon einen spürbaren Nutzen?
Prof. Dr. Peter Bräutigam: Ja, haben sie: Jetzt müssen sich nämlich alle Unternehmen EU-weit an dieselben datenschutzrechtlichen Spielregeln halten. Bislang haben Unternehmen , die in anderen EU-Ländern ansässig sind, einen Wettbewerbsvorteil, weil nicht alle Staaten die bisherigen Vorgaben der EU-Datenschutzrichtlinie so strikt umgesetzt haben wie Deutschland. Diese Praxis wird im Mai 2018 vorbei sein. Mehr noch: Durch das Marktortprinzip haben sich auch Unternehmen aus dem EU-Ausland, also etwa aus den USA, an europäisches Datenschutzrecht zu halten, wenn deren Datenverarbeitung mit dem Angebot von Waren und Dienstleistungen an EU-Bürger oder mit der Beobachtung von deren Verhalten im Zusammenhang steht (Art. 3 Abs.2 a und b DSGVO). Insoweit gilt nun: Gleiches (Datenschutz-)Recht für alle und damit gleiche Wettbewerbsbedingungen für alle.
Security-Insider: Welches sind die wichtigsten neuen Pflichten durch die DSGVO, auf die sich das Management und die IT eines deutschen Unternehmens einstellen müssen?
Prof. Bräutigam: Für Unternehmen bestehen bereits durch das BDSG umfassende Pflichten, welche durch die DSGVO zum Teil verschärft und zum Teil erweitert werden. Zu nennen sind vor allem die Grundsätze der Zweckbindung (Art. 5 Abs. 1 b DSGVO) und der Datenminimierung (Art. 5 Abs. 1 c DSGVO). die hohe Hürden für Big Data aufstellen. Darüber hinaus kommt es zu einer Erweiterung der Betroffenenrechte durch Einfügung des Rechts auf Vergessenwerden (Art. 17 Abs. 2 DSGVO), das neben den bereits nach bisherigem Recht bestehenden Anspruch auf Datenlöschung tritt und zusätzlich die Pflicht statuiert, auch Dritte darüber zu informieren, dass ein Betroffener die Löschung von Kopien seiner personenbezogenen Daten und aller Links dorthin verlangt hat. Eine besondere Herausforderung für Unternehmen stellt auch das neue Recht auf Datenportabilität (Art. 20 DSGVO) dar, wonach der Betroffene die von ihm bereitgestellten Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ erhalten soll.
Hinzu kommt: Die Missachtung der oben genannten Pflichten ist alles andere als ein Kavaliersdelikt. Im Gegenteil, die DSGVO erhöht den Bußgeldrahmen hierfür dramatisch auf 20 Mio. Euro oder - im Falle von Unternehmen – auf 4 Prozent des gesamten erzielten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 a und b DSGVO)! Auch wenn noch nicht ausgemacht ist, in welchen Fällen die Behörden diesen Rahmen ausschöpfen werden, muss das Management diese drakonische Sanktionsmöglichkeit im Blick haben.
Security-Insider: Wo liegen die rechtlichen Fallstricke der Datenschutz-Grundverordnung und wie umgeht man sie am einfachsten?
Prof. Bräutigam: Angesichts der eben genannten horrenden Bußgelder ist es mit einfachen Umgehungslösungen nicht getan. Die Unternehmen müssen vielmehr bis Mai 2018 kritisch hinterfragen, ob ihre Datenverarbeitung den Anforderungen der DSGVO entspricht, und bei identifiziertem Handlungsbedarf ihre Hausaufgaben machen. Insbesondere gilt es, vorhandene Prozesse anzupassen und weitere neu aufzusetzen. So sind die bereits in den vorhandenen Abläufen vorgesehenen Mechanismen und Rahmenbedingungen an Einwilligungen auf Konformität mit dem neuen Recht (Art. 7 und Art. 8 DSGVO) zu überprüfen. Gleiches gilt für die Verhältnisse, in denen sich das Unternehmen Dritter bei der Auftragsdatenverarbeitung bedient (Art. 28 und Art. 29 DSGVO). Auch die Verfahrensverzeichnisse sind an das neue Recht anzupassen (Art, 30 DSGVO). Die Pflicht, Verfahrensverzeichnisse aufzustellen trifft nun, anders als bisher, auch den Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO). Schließlich ist die Durchführung und Dokumentation der neuen Pflicht zur Datenschutzfolgeabschätzung (Art. 35 DSGVO) einzuführen.
Daneben stellt sich noch eine weitere Herausforderung: Die Datenschutz-Grundverordnung überlagert in ihrem Anwendungsbereich das deutsche Recht. Dennoch wird es an vielen Stellen den Mitgliedstaaten ermöglicht, eigene Regelungen zu schaffen. Wie dieser Spielraum zukünftig umgesetzt wird, ist eng im Auge zu behalten, um böse Überraschungen zu vermeiden.
Prof. Dr. Peter Bräutigam ist Fachanwalt für IT-Recht und Honorarprofessor an der Universität Passau. Er leitet als Koordinierender Partner den Bereich Commercial und ist Mitglied der Practice Group IT, Outsourcing & Datenschutz. Neben seiner langjährigen praktischen Tätigkeit als Anwalt im IT-Recht publiziert und referiert er regelmäßig zu aktuellen Fragen des IT-Vertragsrechts. So ist er u.a. Herausgeber des Handbuchs IT-Outsourcing - das demnächst in 4. Auflage unter dem Titel „IT-Outsourcing und Cloud-Computing“ erschienen erscheinen wird - und Mitherausgeber der Neuen Juristischen Wochenschrift (NJW). Neben seinem Engagement in verschiedenen Vereinigungen (u.a. Stellvertretender Vorstandsvorsitzender bei der Deutschen Gesellschaft für Recht und Informatik [DGRI], Vice Chair des Cyber Crime Committees der International Technology Law Association [ITechLaw]) gehört Prof. Dr. Peter Bräutigam dem geschäftsführenden Ausschuss der Arbeitsgemeinschaft IT-Recht im deutschen Anwaltsverein [DAVIT] an und ist Beiratsvorsitzender der Stiftung Datenschutz. Prof. Bräutigam ist außerdem Keynote-Speaker bei der IT-Security Management & Technology Conference 2018.
(ID:44667913)
:quality(80)/p7i.vogel.de/wcms/17/ae/17ae1ffb3a7a56ba5ef0a7ffcdd67932/0110251928.jpeg "Wir diskutieren unter anderem vielfältige Vorzüge virtueller CISOs. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ff/8c/ff8cc96eb42ca850029b3d5b871efa9a/0112738659.jpeg "Insgesamt 650 IT-Security- und Informationssicherheits-Verantwortliche, Dienstleister und Anbieter waren auf der 22. ISX IT-Security Conference in Hamburg, Mainz, München und im Livestream mit dabei. (Bild: Vogel IT-Akademie)")