:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Aktuelle Entwicklungen zur DSGVO im August Missverständnisse zur Einwilligung ausräumen!
Viele Probleme bei der Umsetzung der Datenschutz-Grundverordnung entstehen dadurch, dass Vorgaben falsch interpretiert werden. Die Aufsichtsbehörden unternehmen einiges an Anstrengungen, um für die notwendige Klarheit zu sorgen. Prominente Beispiele sind die Notwendigkeit der Einwilligung und die Regelung von Auftragsverarbeitungen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Personalleiter kleiner und mittelständischer Unternehmen bewerten die Datenschutz-Grundverordnung (DSGVO) als problematisch, so eine aktuelle Umfrage des ifo Instituts und der Firma Randstad. Der Aufwand, den die Umsetzung der DSGVO mit sich bringt, wird insgesamt am häufigsten als negativer Punkt genannt. Zum einen werden die nicht unerheblichen Kosten der Umsetzung genannt, zum anderen der Arbeitsaufwand, den die Umstellung und die neuen Dokumentationsvorschriften erzeugen. Die Unternehmen bewegt zudem die Angst vor der Abmahn-Maschinerie wegen (angeblicher) Verstöße gegen die DSGVO.
Doch nicht alle Sorgen und Probleme haben eine Berechtigung. Der Aufwand und die Kosten könnten reduziert werden, wenn es mehr Klarheit zur DSGVO gäbe. Viele Datenschutz-Berater berichten davon, dass sie in den Unternehmen auf falsche Vorstellungen und unzureichendes Wissen rund um die DSGVO treffen. Entsprechend hoch ist der Bedarf an Beratung. Hier bieten sich im Rahmen ihrer Ressourcen auch die Aufsichtsbehörden für den Datenschutz an. In rascher Folge veröffentlichen sie FAQ-Listen und stellen eine Hotline für Unternehmen und andere betroffene Stellen zur Verfügung. Ein wesentliches Ziel muss es deshalb sein, dass sich die Unternehmen nochmals genau mit den Vorgaben, aber auch mit ihren Rechten vertraut machen.
:quality(80)/images.vogel.de/vogelonline/bdb/1424100/1424160/original.jpg "Auch zwei Monate nach dem DSGVO-Stichtag gibt es für Unternehmen noch viel zu tun. Weder Abwarten noch Panikmache sind zu empfehlen. (Pixabay)")
Aktuelle Entwicklungen zur DSGVO im Juli
Was Aufsichtsbehörden jetzt zur DSGVO verlangen
Unklarheiten bei der Auftragsverarbeitung
Ein wichtiges Beispiel für weiteren Klärungsbedarf stellen die Auftragsverarbeitungen (Artikel 28 DSGVO) dar. Liegt eine Verarbeitung personenbezogener Daten im Auftrag der verantwortlichen Stelle vor, hat dies eine Reihe von Konsequenzen für die Vertragsinhalte, die notwendigen Prüfungen und die Verantwortlichkeiten für den Datenschutz.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW hat nun dargelegt, wann zum Beispiel Steuerberatungsleistungen als Datenverarbeitung im Auftrag zu sehen sind. Es ist nicht so, dass immer dann, wenn ein Dienstleister personenbezogene Daten für ein Unternehmen verarbeitet, auch eine Auftragsverarbeitung vorliegt. Stattdessen gilt:
- Entscheidend sind die vertraglichen Aufgabenfestlegungen, zum Beispiel zwischen dem Mandanten und dem Steuerberater.
- Eine Auftragsverarbeitung liegt dann vor, wenn eine Aufgabe ohne eigene Entscheidungskompetenzen übertragen wird (wie bei der reinen Lohn- und Gehaltsabrechnung).
- Keine Auftragsverarbeitung ist hingegen bei weisungsunabhängigen Aufgaben oder Dienstleistungen gegeben, wie bei der Erstellung des Jahresabschlusses oder der klassischen Steuerberatung.
- Es sind auch Mischformen möglich, bei denen dann die Tätigkeiten jeweils entsprechend eingestuft werden müssen und als Auftragsverarbeitung oder eben keine Auftragsverarbeitung zu behandeln sind.
Ein weiterer Punkt bei Auftragsverarbeitungen verdient eine genauere Betrachtung: Wie der Bayerische Landesbeauftragte für den Datenschutz berichtet, wurden bayerische öffentliche Stellen von Auftragsverarbeitern unter anderem mit dem Ansinnen konfrontiert, einer Vertragsklausel zuzustimmen, die dem Auftraggeber eine Vor-Ort-Kontrolle nur gegen ein besonderes Entgelt ermöglicht.
Auch wenn es sich hierbei um öffentliche Stellen handelt und der Bayerische Landesbeauftragte für den Datenschutz auch nur für diese öffentlichen Stellen zuständig ist, gilt der Hinweis auch für Unternehmen, da datenschutzrechtlich auf die DSGVO Bezug genommen wird:
Die Wahrnehmung der Kontrollrechte des Auftraggebers darf aus datenschutzrechtlicher Sicht (Artikel 28 DSGVO) nicht von einem besonderen Entgelt abhängig gemacht werden. Dies gilt gerade auch für Vor-Ort-Kontrollen beim Auftragsverarbeiter. Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken.
Auch Unternehmen sollten bei der Prüfung von neuen Auftragsverarbeitungs-Bedingungen sowie bei Verhandlungen über Anpassungen in bestehenden Vertragsbeziehungen darauf achten, dass sie sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten lassen.
:quality(80)/images.vogel.de/vogelonline/bdb/1394900/1394937/original.jpg "Die zweijährige Übergangsfrist ist verstrichen, jetzt muss die Datenschutz-Grundverordnung europaweit angewendet werden. Aber nicht jedes Unternehmen kann bisher wirklich Vollzug bei der DSGVO melden. (SG- design - stock.adobe.com)")
Neues eBook „DSGVO und jetzt?“
Die DSGVO ist eine Daueraufgabe
Falsche Vorstellung von dem Bedarf an Einwilligungen
Besonders viel unnötiger Aufwand entsteht durch eine falsche Interpretation, wann eine Einwilligung vorliegen oder nochmals eingeholt werden muss. Verschiedene Aufsichtsbehörden für den Datenschutz haben deshalb klargestellt:
- In den meisten Fällen kann die Verarbeitung personenbezogener Daten auf gesetzliche bzw. vertragliche Grundlagen gestützt werden. Dann ist keine zusätzliche Einwilligung notwendig.
- Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages erforderlich, kann sie somit auch ohne eine Einwilligung des jeweiligen Vertragspartners durchgeführt werden.
- Wenn die Verarbeitung personenbezogener Daten über das vertraglich vereinbarte Maß oder den Zweck hinausgehen soll, ist eine gesonderte Einwilligung notwendig.
- Besteht Unklarheit über die Rechtsgrundlage für eine Datenverarbeitung, ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird, so die Aufsichtsbehörden.
Es zeigt sich: Viele (erneut) eingeholte Einwilligungen waren gar nicht erforderlich. Unternehmen sollten sich den Artikel 6 DSGVO nochmals ansehen, denn dort ist die Einwilligung nur eine von mehreren möglichen Rechtsgrundlagen. Weitere mögliche Grundlagen können sein:
- Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
- Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
- Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
- Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
- Für Unternehmen gilt zudem diese Option: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Die Interessenabwägung ist ein wichtiges Instrument für die Datenverarbeitung in Unternehmen, sie muss aber dann auch ausgeführt und dokumentiert werden, wenn sie anstelle der anderen Rechtsgrundlagen zur Anwendung kommen soll.
Bereits diese Klarstellungen durch die Aufsichtsbehörden können Unternehmen dabei helfen, den teilweise unnötigen Aufwand bei der Umsetzung der DSGVO zu reduzieren. Die DSGVO bedeutet zweifellos einiges an Aufwand, doch es wird auch einiges an unnötigem Aufwand betrieben.
:quality(80)/images.vogel.de/vogelonline/bdb/1385500/1385516/original.jpg "Das neue eBook „DSGVO-Compliance“ erläutert, welche Schritte für den Datenschutz-Prozess erforderlich sind und wie die dauerhafte DSGVO-Compliance erreicht werden kann. (Sir_Oliver - stock.adobe.com)")
Neues eBook „DSGVO-Compliance“
Datenschutz ist ein Prozess, kein Projekt
(ID:45418899)
:quality(80)/p7i.vogel.de/wcms/87/ac/87ac66c376db813e79bb71a1f841d34d/0107264929.jpeg "In vielen Unternehmen werden oft komplette Auftragsverarbeitungen (ehemals Auftragsdatenverarbeitungen) „vergessen“. Das kann unangenehme Folgen haben. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/ea/d8eaea7fb08e3c0b8bceb3f58fef9c51/0111390690.jpeg "Im Bezug auf die Regulierung von ChatGPT sahen einige Kommentierende (wieder einmal) den Datenschutz als Verhinderer, diesmal für künstliche Intelligenz (KI). Dabei ist das Ziel der Datenschützer KI und Datenschutz in Einklang zu bringen. (Bild: 3dkombinat - stock.adobe.com)")