:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Den Schatten voraus Rechtssicherer Umgang mit der EU-DSGVO
Auf Unternehmen und Institutionen in der EU kommt einiges zu: Schon in weniger als zwei Jahren müssen die Neuerungen der Datenschutzgrundverordnung, kurz DSGVO, angewandt und umgesetzt werden. Diese Artikelreihe zeigt, worauf sich betroffene Organisationen einstellen müssen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Da die DSGVO weitreichende Änderungen im Datenschutz mit sich bringt, sollten sich Unternehmen und Institutionen bereits während der Übergangsphase mit den Änderungen auseinandersetzen und ihre Prozesse den neuen Regelungen anpassen. Anderenfalls könnten hohe Bußgelder drohen.
Was lange währt, wird endlich gut?!
Aber zunächst einmal ein Blick auf den Status quo: Nach fast vierjähriger Verhandlung ist die EU-Datenschutzgrundverordnung am 25. Mai dieses Jahres in Kraft getreten. Nach einer zweijährigen Übergangszeit wird sie schließlich am 25. Mai 2018 wirksam. Damit löst sie die bereits seit 1995 geltende EU-Datenschutzrichtlinie mit dem Ziel ab, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen.
Bereits im Jahr 2012 wurde die Reformierung des europäischen Datenschutzes durch einen ersten Entwurf der EU-Kommission eingeleitet. Es folgten Jahre zäher Auseinandersetzungen und Bemühungen die über 4000 Änderungsanträge abzuarbeiten, bis man sich schließlich im Juni 2015 auf eine allgemeine Ausrichtung einigen konnte.
Die bisher geltende EU-Datenschutzrichtlinie hatte in ihrer Eigenschaft als Richtlinie keine unmittelbare Geltung in den jeweiligen EU-Mitgliedsstaaten, sondern musste durch nationale Gesetze umgesetzt werden. Hingegen ist die neu gewählte Form der EU-Verordnung als Instrument der Rechtsvereinheitlichung für alle EU-Mitgliedsstaaten bindend und löst mit Wirksamwerden voraussichtlich das Bundesdatenschutzgesetz (BDSG) ab.
Das Inkrafttreten der DSGVO wird weitreichende Veränderungen in der Umsetzung des Datenschutzes innerhalb der EU haben. So sollen insbesondere datenschutzrechtliche „Rückzugsräume“ in Ländern mit niedrigerem Datenschutzniveau verhindert, der Verwaltungsaufwand verringert und den Unternehmen einheitliche Maßstäbe für die Einhaltung des Datenschutzes an die Hand gegeben werden.
Dabei wird die Verordnung nicht nur für Unternehmen gelten, die ihren Standort in der EU haben, sondern vielmehr auch für Unternehmen mit Sitz außerhalb der EU, welche personenbezogene Daten von in der EU lebenden Personen erheben und verarbeiten. Es sind also vor allem Unternehmen betroffen, deren Unternehmenstätigkeit einen EU-Bezug aufweist bzw. deren Angebote sich an EU-Bürger richten.
Welche Änderungen bringt die DSGVO mit sich und auf was müssen sich Unternehmen und Institutionen einstellen?
Das Inkrafttreten der Datenschutzgrundverordnung führt zu weitreichenden Änderungen und damit zu Unsicherheiten bei ihrer Implementierung auf Seiten von Unternehmen und Institutionen. Beispielsweise werden die Rechte der Betroffenen – also natürliche Personen, deren Daten verarbeitet werden – insoweit gestärkt, als dass sie eine größere Kontrolle über ihre Daten erhalten sollen.
Dies soll unter anderem durch folgende Punkte gewährleistet werden:
- Die Erforderlichkeit einer ausdrücklichen Einwilligung zur Verarbeitung ihrer Daten,
- das Recht auf Berichtigung, Löschung sowie das Vergessenwerden,
- den einfacheren Zugang zu ihren Daten,
- die Sicherung der Übertragbarkeit der Daten von einem Anbieter auf den anderen und
- das Widerspruchsrecht des Betroffenen zur Verwendung der Daten zur „Profilerstellung“.
Für Unternehmen, die mit personenbezogenen Daten arbeiten, ergeben sich dadurch tiefgreifende Änderungen:
- Unternehmen müssen in größerem Umfang als bisher Auskunft über die durch sie gespeicherten Daten geben.
- Unternehmen sollten ihr Angebot möglichst datensparsam konzipieren und nur Daten erheben, die zur Erbringung des Dienstes benötigt werden.
- Das Unternehmen ist verpflichtet, geeignete Sicherheitsmaßnahmen zu treffen, die dem Risiko der Datenverarbeitungsvorgänge entsprechen.
- Die Unternehmen unterliegen zukünftig weitergehenden Meldepflichten bei Datenschutzverstößen.
- Bei „riskanten Datenverarbeitungsvorgängen“ trifft das Unternehmen die Pflicht, einen Datenschutzbeauftragten zu benennen.
Wann darüber hinaus ein Datenschutzbeauftragter zu bestellen ist, wurde durch eine Öffnungsklausel in die Hände der Mitgliedstaaten gegeben, denen rechtliche Spielräume hinsichtlich der Einsetzung eines Datenschutzbeauftragten eingeräumt wurden. Es wird daher spekuliert, dass in Deutschland die bisherige Praxis in diesem Bereich weitestgehend beibehalten werden kann bzw. soll.
Was droht bei Verstößen?
Die Konsequenzen bei Verstößen gegen datenschutzrechtliche Vorschriften verschärfen sich für Unternehmen massiv. Wo bisher ein maximales Bußgeld von 300.000 Euro verhängt werden konnte, drohen nun hohe Bußgelder sowie Schadenersatzklagen. Bußgelder können sich nach der DSGVO auf bis zu vier Prozent des Jahresumsatzes des Unternehmens belaufen. Dies kann schnell zu empfindlichen Strafen in Millionenhöhe führen.
Für Unternehmen, die personenbezogene Daten verarbeiten, ist es daher ratsam, sich möglichst frühzeitig mit den Umsetzungen der neuen Anforderungen der DSGVO auseinanderzusetzen. Die zweijährige Übergangszeit lässt sich nutzen, um im Zeitpunkt des Wirksamwerdens gewappnet zu sein und Strafen wegen Verzögerung bei der Umsetzung zu entgehen. Es sollten in dieser Zeit die Prozesse im Unternehmen überprüft und nach Lösungen im Hinblick auf die datenschutzrechtlichen Änderungen gesucht werden.
Dieser Artikel stellt den Beginn einer ganzen Reihe von Einzelbeiträgen dar, die in naher Zukunft auf die wesentlichen Neuerungen durch die DSGVO detailliert eingehen werden. Dabei sollen Lösungsansätze und Umsetzungshinweise in den für Unternehmen relevanten Themengebieten gegeben werden, wie z. B.:
- Anforderungen an die Einwilligung und Umsetzung des Löschungsanspruches
- Verarbeitung besonderer personenbezogener Daten
- Outsourcing und Datenschutzmanagement
- Auditierung und Zertifizierung
- Datenschutzbeauftragte im Unternehmen und die Umsetzung im Hinblick auf nationale Gesetzgebungen
- Datenübermittlung ins EU-Ausland
- Datenverarbeitung im Internet
Über die Autoren
Kathrin Schürmann ist seit 2007 als Rechtsanwältin bei SCHÜRMANN WOLSCHENDORF DREYER tätig. Neben dem Datenschutz- und Wettbewerbsrecht, Urheber- und Medienrecht ist Frau Schürmann auf den gesamten Marketing-Bereich spezialisiert, insbesondere auf die Schwelle zwischen Wettbewerbs- und Datenschutzrecht. Hierbei betreut sie unter anderem Kundenbindungssysteme und digitale Geschäftsmodelle. Weitere Schwerpunkte sind die gesamten Bereiche des Online Marketing, Mobile/Apps, personalisierte Kundenansprache/Datenanalyse, Location-Based Services und die crossmediale Kommunikation.
Beratungsschwerpunkte: Datenschutz- und Wettbewerbsrecht, Urheber- und Medienrecht und Gewerblicher Rechtsschutz.
Der Volljurist Philipp Heindorff arbeitet seit 2015 für SCHÜRMANN WOLSCHENDORF DREYER Rechtsanwälte. Nach seinem Studium der Rechtswissenschaften in Berlin und Innsbruck hat er sich auf die Bereiche Medienrecht und insbesondere auf das IT- und Datenschutzrecht spezialisiert.
(ID:44167970)
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/74/3a744b6113e3ba55a2c656ea61877ff2/0108887677.jpeg "Unternehmen müssen organisatorische Maßnahmen treffen, damit Personen eine Datenschutzauskunft zeitnah und in verständlicher Form erhalten. Da ist es sinnvoll, bereits vorhandene Maßnahmen der IT-Sicherheit zu berücksichtigen. (Bild: vegefox.com - stock.adobe.com)")