:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Fragen zur Datenschutz-Grundverordnung Risiken und Probleme bei der Datenschutzfolgenabschätzung
Die Datenschutz-Grundverordnung (DSGVO) fordert generell einen risikobasierten Ansatz bei der Wahl der Schutzmaßnahmen. In bestimmten Fällen muss zudem eine Datenschutzfolgenabschätzung durchgeführt werden. Ohne Vorbereitung werden Unternehmen dazu aber nicht in der Lage sein, ein ganzer Prozess muss geplant und aufgesetzt werden.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
In hoher Frequenz erscheinen Umfrageergebnisse dazu, wie weit die Unternehmen in Deutschland, in Europa oder auch weltweit bereits sind, wenn es um die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) geht. Obwohl nur noch wenig Zeit verbleibt, sind die Anteile deren, die von deutlichen Schwierigkeiten berichten, immer noch recht hoch, manche Unternehmen geben zu, dass sie es wohl nicht fristgerecht schaffen werden.
Schaut man sich die Gründe für die Verzögerungen und damit die größten Herausforderungen an, trifft man meist auf die Umsetzung von Betroffenenrechten wie das Recht auf Vergessenwerden oder das Recht auf Datenübertragbarkeit. Doch seltener hört man von Schwierigkeiten, die mit der sogenannten Datenschutzfolgenabschätzung (DSFA) oder Data Protection Impact Assessment (DPIA) in Verbindung stehen. Kann man daraus schließen, dass hier alles bereits „in trockenen Tüchern“ ist? Leider nein! Es ist vielmehr so, dass der genaue Umfang einer Datenschutzfolgenabschätzung nicht wirklich gesehen wird. Das muss sich ändern.
:quality(80)/images.vogel.de/vogelonline/bdb/1336500/1336565/original.jpg "Über die Datenschutz-Grundverordnung (DSGVO) existieren viele Mythen und falsche Informationen. (BillionPhotos.com - stock.adobe.com)")
Klarheit bei der Datenschutz-Grundverordnung
9 DSGVO-Mythen enttarnt!
Die Analyse beginnt bereits vor der Datenschutzfolgenabschätzung
Auf den ersten Blick scheint Datenschutzfolgenabschätzung nur ein umständlicher Betriff für Risikoanalyse zu sein, doch in Wirklichkeit liegt die erste Risikoanalyse, die notwendig ist, noch vor dem Beginn der Datenschutzfolgenabschätzung. Wenn es um dieses Datenschutz-Instrument geht, wollen Aufsichtsbehörden zum Beispiel wissen: „Haben Sie eine geeignete Methode zur Bestimmung der Frage, ob eine Datenschutz-Folgenabschätzung durchzuführen ist, in Ihrem Unternehmen eingeführt?“
Ob eine DSFA notwendig ist oder nicht, regelt Artikel 35 DSGVO so: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
Somit muss man zuerst prüfen, ob voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen durch die Verarbeitung der personenbezogenen Daten besteht, um dann auf Basis dieser Risikoanalyse zu entscheiden, eine Datenschutzfolgenabschätzung zu machen oder nicht. Für diese Risikoanalyse müssen Unternehmen bereits ein Verfahren bestimmen und einführen, nicht erst für die DSFA. Zudem muss diese erste Risikoanalyse genauso dokumentiert werden wie die ggf. folgende Datenschutzfolgenabschätzung.
Wann eine Datenschutzfolgenabschätzung ansteht
Zusätzlich zu dieser Risikoanalyse, ob eine Datenschutzfolgenabschätzung ansteht oder nicht, gibt es noch Vorgaben der DSGVO sowie Hilfen der Aufsichtsbehörden. So besagt die DSGVO, dass eine Datenschutz-Folgenabschätzung insbesondere in folgenden Fällen erforderlich ist:
- Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.
- Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.
- Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Die Aufsichtsbehörden erstellen (in naher Zukunft) eine Liste der Verarbeitungsvorgänge, für die eine Datenschutzfolgenabschätzung durchzuführen ist, und veröffentlichen diese. Die Aufsichtsbehörden können zudem eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.
Ebenso gilt: Das Unternehmen muss vor der Verarbeitung die Aufsichtsbehörde konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern das Unternehmen keine Maßnahmen zur Eindämmung des Risikos trifft.
Was zu einer DSFA gehört
Die Datenschutzfolgenabschätzung selbst besteht aus
- einer systematischen Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen,
- einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
- einer Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
- den zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt wird.
Auch für die zuvor genannte Risikobewertung innerhalb der Datenschutzfolgenabschätzung benötigt das jeweilige Unternehmen ein geeignetes Verfahren. Ob die DSFA zutrifft und ob die ergriffenen Maßnahmen wirksam sind, soll natürlich auch überprüft werden, zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. Die Aufsichtsbehörden erwarten durchaus, dass das Unternehmen die gewählten Verfahren zur Risikobewertung vor der ersten Datenschutzfolgenabschätzung getestet hat.
Übrigens haben die Aufsichtsbehörden selbst Verfahren für eine Datenschutzfolgenabschätzung getestet (pdf), exemplarisch und nicht als verbindliche Vorlage gemeint. Hier wird in jedem Fall sichtbar, dass eine DSFA einen höheren Aufwand mit sich bringen kann, als dies manche Unternehmen bisher glauben.
Leitlinien der Artikel 29 Datenschutzgruppe zur Datenschutzfolgenabschätzung gibt es ebenfalls bereits. Auch diese zeigen, dass man dieses Datenschutz-Instrument sehr ernst nehmen sollte, auch in der Vorbereitung.
:quality(80)/images.vogel.de/vogelonline/bdb/1342600/1342665/original.jpg "Unternehmen sollten sich nicht darauf ausruhen, dass bei der DSGVO noch Informationen fehlen. Sie sollten die Umsetzung so weit wie möglich vorantreiben und dokumentieren. (BillionPhotos.com - stock.adobe.com)")
Fragen zur Datenschutz-Grundverordnung
Was man bei der DSGVO erst später richtig angehen kann
:quality(80)/images.vogel.de/vogelonline/bdb/1353400/1353447/original.jpg "Die DSGVO regelt Online-Werbung zwar nicht explizit, aber es gibt dennoch für Marketing-Abteilungen einige wichtige Punkte zu bedenken. (Tatyana - stock.adobe.com)")
Fragen zur Datenschutz-Grundverordnung
Was sich durch die DSGVO bei Online-Werbung ändert
:quality(80)/images.vogel.de/vogelonline/bdb/1367500/1367592/original.jpg "Mit der DSGVO sollen Datenschutz-Zertifikate eine stärkere Rolle spielen. Zum Beispiel als Garantien im Rahmen von Auftragsverarbeitung oder der Datenübermittlung in Drittstaaten. (bluedesign - stock.adobe.com)")
Fragen zur Datenschutz-Grundverordnung
Was ändert sich bei der Datenschutz-Zertifizierung
(ID:45249257)
:quality(80)/images.vogel.de/vogelonline/bdb/1926200/1926211/original.jpg "Der Datenschutz ist nicht verhandelbar, auf die Sicherheit der Verarbeitung kann nicht verzichtet werden, sie kann auch nicht auf Wunsch vermindert werden. Denn Betroffene sind sich oft nicht möglichen Folgen bewusst. (peterschreiber.media - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923655/original.jpg "Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. (Ar_TH - stock.adobe.com)")