:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Synergien Datenschutz und IT-Sicherheit So hilft die Security bei der Auskunftspflicht nach DSGVO
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Die Kritik an den Aufwänden für den Datenschutz reißt nicht ab. Umso wichtiger ist es, Synergien zwischen Datenschutz und IT-Sicherheit zu nutzen. Gerade bei der Umsetzung des Auskunftsrechts kann die IT-Sicherheit unterstützen und Zusatzaufwände vermeiden. Das betrifft die Zusammenstellung der angefragten Daten, aber auch die notwendigen Identitätsprüfungen.
Wenn Unternehmen ein Auskunftsersuchen nach DSGVO (Datenschutz-Grundverordnung) erhalten, eine Person also wissen will, welche Daten über sie verarbeitet und gespeichert werden, kann es zu vielen Fehlern und Problemen kommen.
So antworten Unternehmen auf ein solches Auskunftsersuchen mitunter zu spät, also nicht innerhalb der Monatsfrist, die Auskunft ist womöglich unvollständig, vielleicht sind in der Auskunft aber auch Daten, die nicht enthalten sein sollten, oder aber die Auskunft geht an eine Person, die gar nicht berechtigt ist, nach diesen Daten zu fragen.
Diese Fehler sind nicht theoretischer Natur, sondern sie passieren in der Praxis. Dabei können durchaus ein Bußgeld und andere Sanktionen der zuständigen Datenschutzaufsichtsbehörde die Folge sein.
Umsetzung der Auskunftspflicht bereitet Schwierigkeiten
Nun ist es nicht etwa so, dass die Unternehmen das Auskunftsersuchen bewusst missachten oder dass sie gar nicht wüssten, was es mit dem Auskunftsrecht der betroffenen Person (Artikel 15 DSGVO) auf sich hat.
Ein wesentliches Problem ist stattdessen, dass es keine umfassende und zuverlässige Transparenz zu den Daten gibt. Die Suche nach den gewünschten Daten dauert dann zu lange und ist nicht von Erfolg gekrönt, jedenfalls mit Blick auf eine fristgerechte und vollständige Erteilung der Auskunft.
Zusätzlich fehlt häufig ein internes Verfahren, wie korrekt mit einem solchen Auskunftsersuchen nach DSGVO umzugehen ist. Es ist nicht immer klar, wer zuständig ist und wie die Anfrage zu prüfen ist.
Identitätsprüfung bei Auskunftsersuchen
Die Aufsichtsbehörden für den Datenschutz haben ausdrücklich darauf hingewiesen, dass sichergestellt werden muss, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur
Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten.
Hat die verantwortliche Stelle im Unternehmen begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so können zusätzliche Informationen zur Bestätigung der Identität nachgefordert werden, so die Aufsicht.
Wie aber kann die Identitätsprüfung konkret aussehen? Anstatt alles neu zu überlegen und zu organisieren, lohnt es sich, an die bereits vorhandenen Methoden zur Identitätsprüfung anzuknüpfen.
Hier bietet die IT-Sicherheit mit den zum Beispiel für Kunden etablierten IAM (Identity and Access Management) und damit genauer dem CIAM (Customer IAM) bereits vorhandene Verfahren und Funktionen an, die in vielen Fällen dabei helfen können, die Identität eines Kunden oder einer Kundin zu überprüfen, die oder der eine Datenauskunft nach DSGVO wünscht.
Doch die IT-Sicherheit kann noch mehr leisten, wenn es um die Umsetzung der Auskunftspflichten nach DSGVO geht.
Nicht nur das Verfahrensverzeichnis kann helfen
Schaut man sich an, was eine Datenauskunft enthalten soll, kann es sich zum einen um eine Negativauskunft handeln, für den Fall, dass das Unternehmen keine Daten dieser Person verarbeitet oder die Daten dieser Person zuverlässig anonymisiert wurden.
Bevor man aber diese Negativauskunft macht, muss man auch ganz sicher sein, dass es nicht doch Daten der Person gibt, die in der IT-Infrastruktur des Unternehmens gespeichert sind. Dazu gehören auch die Cloud-Dienste und die mobilen Endgeräte, die betrieblich genutzt werden. Leider werden aber Daten schnell übersehen und womöglich eine Negativauskunft erteilt, weil man nicht alle möglichen Orte der Verarbeitung in Betracht gezogen hat.
Nicht ohne Grund erinnert dies an typische Herausforderungen der IT-Sicherheit. Will man in der IT-Sicherheit die Daten schützen, muss man auch eine Übersicht haben, wo welche Daten zu finden sind, um sie dem Schutzbedarf entsprechend abzusichern.
Während das Verzeichnis der Verarbeitungstätigkeiten Informationen für die Auskunft liefern kann, wenn es zum Beispiel um Verarbeitungszwecke oder Aufbewahrungsfristen geht, können Lösungen aus dem Bereich Data Loss Prevention (DLP) ihre Funktionen zur Datensuche und zur Datenklassifizierung anbieten.
So gehört es zur Auskunft nach DSGVO, welche Kategorien personenbezogener Daten verarbeitet werden, mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten, dies aber kann eine IT-Sicherheitslösung zur Klassifizierung der Daten liefern.
Ebenso ist es für die IT-Sicherheit und auch für den Datenschutz wichtig, woher Daten kommen und wohin sie gegangen sind, um den Datenfluss und auch den möglichen, ungewollten Datenabfluss aufspüren zu können.
IAM und DLP zeigen, wie Synergien zwischen Datenschutz und IT-Sicherheit genutzt werden können
Anstatt also für den Datenschutz komplett neue Verfahren zu überlegen, wie die Identität bei einem Auskunftsersuchen geprüft werden kann, wie man Transparenz in die Datenhaltung bekommt und wie sich die Datenkategorien bestimmen lassen, sollten Unternehmen den reichen Fundus an Security-Funktionen einsetzen, wie die Beispiele IAM und DLP zeigen.
Davon profitieren Datenschutz und Security, denn Zusatzaufwände für den Datenschutz lassen sich verringern, und umgekehrt kann der Datenschutz weitere gute Argumente liefern, warum man zum Beispiel eine professionelle DLP-Lösung anschaffen sollte.
Ein Unternehmen muss (vorbereitend) geeignete organisatorische Maßnahmen treffen, damit die betroffene Person eine beantragte Auskunft zeitnah und in verständlicher Form erhalten kann, so die Aufsichtsbehörden. Da macht es mehr als Sinn, bereits vorhandene Maßnahmen der IT-Sicherheit zu berücksichtigen.
IT-Sicherheit und Datenschutz gehören eng zusammen und sollten auch noch stärker zusammenarbeiten, um Synergien zu nutzen, wie das Beispiel Auskunftspflichten zeigt.
(ID:48938622)
:quality(80)/p7i.vogel.de/wcms/d8/ea/d8eaea7fb08e3c0b8bceb3f58fef9c51/0111390690.jpeg "Im Bezug auf die Regulierung von ChatGPT sahen einige Kommentierende (wieder einmal) den Datenschutz als Verhinderer, diesmal für künstliche Intelligenz (KI). Dabei ist das Ziel der Datenschützer KI und Datenschutz in Einklang zu bringen. (Bild: 3dkombinat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")