:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Fragen zur Datenschutz-Grundverordnung Mit Datenschutz-Aufsichtsbehörden richtig kooperieren
Wenn es um die Datenschutz-Grundverordnung (DSGVO / GDPR) und Aufsichtsbehörden geht, denken viele Unternehmen zuerst an die möglichen Sanktionen und die enorme Höhe der Bußgelder, die da kommen könnten. Doch die Aufsichtsbehörden sollten nicht als reine Kontrollbehörden gesehen werden. Sie bieten vieles an Unterstützung, man sollte deshalb die Zusammenarbeit mit ihnen suchen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Wer die Sorge hat, die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) nicht fristgerecht zu schaffen, denkt mit sehr gemischten Gefühlen an die Aufsichtsbehörden für den Datenschutz. Im Vordergrund stehen dann gedanklich die Aufgaben und Befugnisse der Aufsichtsbehörden wie
- Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
- eine Überprüfung von Zertifizierungen durchzuführen,
- den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen die DSGVO hinzuweisen,
- gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten,
- einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DSGVO verstoßen,
- einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die DSGVO verstoßen hat,
- den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach DSGVO zustehenden Rechte zu entsprechen,
- den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen,
- den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
- eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
- eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
- eine Geldbuße zu verhängen,
- die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.
Das stimmt auch alles, dies gehört zu den Befugnissen und Aufgaben, doch die Aufsichtsbehörden machen nicht nur das.
Aufsichtsbehörden beraten und unterstützen auch
Zu den Aufgaben der Aufsichtsbehörden für den Datenschutz zählen unter anderem auch
- den Verantwortlichen zu beraten,
- zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten,
- Zertifizierungsstellen zu akkreditieren,
- Zertifizierungen zu erteilen und Kriterien für die Zertifizierung zu billigen,
- Standarddatenschutzklauseln festzulegen oder
- Vertragsklauseln zu genehmigen, um nur einige Beispiele zu nennen.
Tatsächlich sind die Aufgaben der Aufsichtsbehörden weitaus umfangreicher als die reine Aufsicht, wie die DSGVO deutlich zeigt. Aufgaben der Aufsichtsbehörden sind auch:
- die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufzuklären,
- die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus der DSGVO entstehenden Pflichten zu sensibilisieren,
- auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund der DSGVO zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammen zu arbeiten,
- sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes zu befassen,
- maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken,
- eine Liste der Verarbeitungsarten zu erstellen und zu führen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist,
- die Ausarbeitung von Verhaltensregeln zu fördern,
- die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen anzuregen.
Unternehmen als verantwortliche Stelle oder Auftragsverarbeiter (zum Beispiel Cloud Provider) können also Hilfe und Unterstützung bei den Aufsichtsbehörden erlangen. Sensibilisierung und Beratung gehört bei den Aufsichtsbehörden zu den wesentlichen Aufgaben, nicht nur Kontrolle und das Verhängen von möglichen Bußgeldern, wie manche denken mögen.
Aufsichtsbehörden helfen bei der Auslegung der DSGVO
Der Beratungsbedarf rund um die DSGVO ist hoch, das wissen und spüren die Aufsichtsbehörden. Deshalb haben sie auch bereits einen höheren Personalbedarf angemeldet, nicht nur für Prüfungen, sondern auch für die
- europaweit einheitliche Auslegung der Grundverordnung in Bezug auf fehlende Regelungen (z. B. zum Scoring) und neue Anforderungen (z. B. Recht auf transparente Information oder Recht auf Datenübertragbarkeit),
- verpflichtende Beratung von Behörden und Unternehmen bei der Datenschutz-Folgenabschätzung, sowie Beratung bei der Umsetzung neuer Anforderungen wie Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Privacy by Design, Privacy by Default).
Dadurch werden die Aufsichtsbehörden ganz konkrete Hilfe bei der weiteren Umsetzung und Befolgung der DSGVO leisten.
An die Aufsichtsbehörde wenden
Wenn Unternehmen die Aufsichtsbehörden als Beratungsstelle und Unterstützung kontaktieren wollen, verkürzt es die Anfragewege, gleich die zuständige Aufsichtsbehörde zu kontaktieren. Wer das jeweils ist, ergibt sich aus der DSGVO (Artikel 56). Wenn es um die Beratung und Unterstützung geht, wendet man sich in Deutschland an die jeweils zuständige Aufsichtsbehörde im jeweiligen Bundesland.
Für eine grenzüberschreitende Datenverarbeitung gilt: Die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters ist die zuständige federführende Aufsichtsbehörde. Die DSGVO führt das Prinzip One Shop Stop ein, es gibt damit bei grenzüberschreitender Verarbeitung personenbezogener Daten mit der federführenden Aufsichtsbehörde einen alleinigen Ansprechpartner, zum Vorteil der Unternehmen. Die Bundesdatenschutzbeauftragte erklärte dazu: „Aufgrund des durch die Datenschutz-Grundverordnung eingeführten sogenannten „One-Stop-Shop-Mechanismus“ ist es für Unternehmen, die Niederlassungen in mehreren EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben, einfacher als bisher, ihre datenschutzrechtlichen Angelegenheiten zu klären.“
Und genau das sollten Unternehmen auch tun: Nicht auf Prüfungen der Aufsichtsbehörden warten, sondern aktiv die Angebote zur Unterstützung durch die Aufsichtsbehörden nutzen, um datenschutzrechtliche Angelegenheiten zu klären.
(ID:45269394)
:quality(80)/p7i.vogel.de/wcms/87/ac/87ac66c376db813e79bb71a1f841d34d/0107264929.jpeg "In vielen Unternehmen werden oft komplette Auftragsverarbeitungen (ehemals Auftragsdatenverarbeitungen) „vergessen“. Das kann unangenehme Folgen haben. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/89/4f8908e1dd85667270a529608a4dd970/0107729660.jpeg "Der Datenschutz hat ein Nachweis-Problem. Darum ist eine DSGVO-Zertifizierung so wichtig und begehrt. (Bild: mixmagic - stock.adobe.com)")