:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Achtung Satire! So zahlt man die höchstmögliche DSGVO-Strafe
Die Datenschutz-Grundverordnung (DSGVO) gilt seit sieben Monaten EU-weit. Für Aufmerksamkeit sorgten die teils drastischen Strafen, die bei Datenschutzverstößen drohen. Dennoch wissen viele Unternehmen noch immer nicht so recht, wie sie mit dem Thema umgehen sollen. Unser (nicht ganz ernst gemeinter) Tipp: Befolgen Sie diese simplen Schritte und Sie erreichen garantiert in kürzester Zeit die maximal mögliche Geldstrafe.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Dem Thema angemessen, möchte ich mit einem Haftungsausschluss beginnen. Dieser Artikel ist als Satire zu Panikmache und negativer Presse gedacht, die seit Start der EU-Datenschutz-Grundverordnung zuhauf im Umlauf sind. Hier soll es darum gehen, wie fahrlässig man sein muss und welche Fehltritte am besten dazu geeignet sind die maximale Strafe auch wirklich nach sich zu ziehen.
Um diesen Stoff sinnvoll anzugehen, springen wir direkt zu Artikel 83, Absatz 4 und 5. Hier finden wir zwei Kategorien mit jeweils unterschiedlichen Höchstbeträgen bei Geldbußen. Wir finden zusätzlich alle Anforderungen, die Sie missachten müssen, um ganz sicher bestraft zu werden. Gehen wir einfach jede einzelne durch. Dann bekommen Sie eine realistische Vorstellung davon, was Sie tun sollten, um die Anforderungen nicht zu erfüllen. Beginnen wir mit der niedrigeren der beiden Straf-Kategorien:
:quality(80):fill(efefef,0)/images.vogel.de/vogelonline/bdb/1400500/1400549/original.jpg "Whitepaper Cover: © SG-Design-AdobeStock-199663652")
Stufe 1: Strafen zwischen 10 Millionen Euro und 2 Prozent des weltweiten Jahresumsatzes
Artikel 8: Ignorieren Sie die notwendige Einwilligung eines Kindes ab dem vollendeten 16. Lebensjahr komplett.
Artikel 11: Bewahren Sie alle noch so unwichtigen Daten auf, insbesondere diejenigen, die Sie nicht mehr brauchen.
Artikel 25: Maximieren Sie Ihre Datenerhebung. Erheben Sie alle möglichen Daten, selbst solche, die Sie für bestimmte Prozesse gar nicht benötigen. Stellen Sie sicher, dass alle Daten in einer ungesicherten Umgebung für so ziemlich jeden zugänglich sind. Sorgen Sie außerdem mit Nachdruck dafür, dass keine Daten verschlüsselt werden.
Artikel 26: Stellen Sie bei gemeinsamen Prozessen mit anderen Datenverantwortlichen sicher, dass Sie Verpflichtungen nicht offenlegen. Arbeiten Sie so isoliert wie möglich, und stellen Sie vor allem sicher, dass alle Prozesse möglichst intransparent und schwer nachzuvollziehen sind.
Artikel 27: Wenn Sie Ihren Firmensitz nicht in der EU haben, obwohl Ihr Zielkundenstamm sich dort befindet, ernennen Sie auf keinen Fall einen Vertreter in der EU!
Artikel 28: Wenn Sie Auftragsverarbeiter sind, stellen Sie sicher, keine Genehmigung des Verantwortlichen einzuholen. Niemals. Verzichten Sie darauf durchgeführte Prozesse zu dokumentieren. Verzichten Sie darauf verarbeitete Daten zu löschen, auch dann, wenn der Verantwortliche Sie dazu auffordert.
Artikel 29: Wenn Sie Daten unter Aufsicht des Verantwortlichen verarbeiten, verarbeiten Sie nicht nur die Daten, die Sie verarbeiten sollen, sondern möglichst viele weitere Daten. Halten Sie sich hier nicht unnötig zurück!
Artikel 30: Sorgen Sie dafür, dass Sie keine Aufzeichnungen zu den Verarbeitungsaktivitäten vorhalten, und wenn, dann sollten diese definitiv Folgendes nicht enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen
- den Zweck der Verarbeitung
- Kategorien betroffener Personen
- Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
- Daten zu Übermittlungen von personenbezogenen Daten an ein Drittland
- Fristen für die Löschung
- eine Allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen
:quality(80)/images.vogel.de/vogelonline/bdb/1388500/1388521/original.jpg "Unternehmen sollten nicht auf Prüfungen der Datenschutz-Aufsichtsbehörden warten, sondern aktiv deren Angebote zur Unterstützung nutzen. (bakhtiarzein - stock.adobe.com)")
Fragen zur Datenschutz-Grundverordnung
Mit Datenschutz-Aufsichtsbehörden richtig kooperieren
Artikel 31: Was auch immer Sie tun: Arbeiten Sie nicht mit der Aufsichtsbehörde zusammen! Antworten Sie nicht auf Anfragen und geben Sie auf keinen Fall Informationen weiter. Betrachten Sie es einfach als Ärgernis (das Sie ignorieren sollten).
Artikel 32: Verschlüsseln oder pseudonymisieren Sie niemals personenbezogene Daten. Vertraulichkeit, Integrität und Verfügbarkeit – alles nur Show. Je weniger Sie sich um die Sicherheit oder die Bürgerrechte Ihres Kunden kümmern, desto besser.
Artikel 33 und 34: Halten Sie alle Datenschutzverletzungen unter der Decke. Wenn niemand davon weiß, haben Sie nichts zu befürchten. Falls Sie eine Datenschutzverletzung doch melden:
- Berücksichtigen Sie auf keinen Fall die Tatsache, dass Sie die Offenlegung hätten verhindern können, wenn Sie die gestohlenen Daten von vornherein durch starke Verschlüsselung unbrauchbar gemacht hätten.
- Geben Sie an, dass Sie aus Zeitmangel nicht innerhalb von 72 Stunden einen Bericht haben erstellen können (obwohl Sie ihn Stück für Stück hätten liefern können).
Artikel 35: Warum sollten Sie sich um Datenschutz-Folgenabschätzungen scheren? Gleiches gilt für die Risikobewertung. Es reicht, wenn Sie das Gefühl haben, dass alle Ihre Prozesse und Abläufe ausreichend gesichert sind. Eine tatsächliche Auswertung oder Faktenprüfung ist nicht erforderlich.
Artikel 36: Konsultieren Sie niemals die Aufsichtsbehörde. Diese ist nur dazu da, Sie zu bestrafen. Es besteht kein Anlass, warum sie Ihnen helfen sollte.
Artikel 37, 38 und 39: Benötigen Sie wirklich dieses Datenschutzbeauftragten? Wenn Sie keinen benennen, sind Sie frei von diesem ganzen internen Druck, etwas ändern zu müssen, um konform zu sein.
Artikel 41, 42 und 43: Sorgen Sie dafür, dass Sie der Aufsichtsbehörde so viel Ärger wie möglich bereiten. Blockieren Sie deren Aktivitäten auf alle erdenklichen Weisen. Und sorgen Sie selbst dann, wenn Ihre DSGVO-Zertifizierung widerrufen wird, dafür, Prozesse genauso wie vorher durchzuführen.
Folgen Sie einfach diesen simplen Schritten und Sie sind auf dem besten Weg, eine Strafe von 2 Prozent Ihres Jahresumsatzes zu erhalten. Aber damit wollen wir es an dieser Stelle nicht bewenden lassen. Uns geht es schließlich um die Höchststrafe. Sehen wir uns also an, was zu tun ist um dieses ambitionierte Ziel zu erreichen.
:quality(80)/images.vogel.de/vogelonline/bdb/1489000/1489044/original.jpg "Unternehmen sollten bei der DSGVO mit bewussten Falschinformationen rechnen, denn die Datenschutz-Grundverordnung ist leider auch ein gutes Geschäft für unseriöse Anbieter. (Pixabay)")
Aktuelles zur DSGVO im November
Konzentration auf echte Datenschutz-Probleme!
Stufe 2: Strafen zwischen 20 Millionen Euro und 4 Prozent des weltweiten Jahresumsatzes
Artikel 5: Missachten Sie alle Grundsätze für die Verarbeitung personenbezogener Daten.
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz sind nur naive Wünsche, die man als Firma getrost ignorieren sollte.
- Warum sollten Sie Ihre Zwecke beschränken und die Datenerhebung minimieren? Sorgen Sie einfach dafür, dass Sie tun, was Sie tun wollen.
- Warum sollten Sie sich darum kümmern, dass Ihre Daten präzise sind? Bringen Sie die erhobenen Daten nicht auf den neuesten Stand, sondern halten Sie diese so, wie sie sind.
- Stellen Sie sicher, dass Sie alles für die Ewigkeit behalten, auch die Daten, die Sie nicht mehr brauchen oder die keinen zusätzlichen Zweck erfüllen.
- Treiben Sie möglichst wenig Aufwand, um Datenintegrität und -vertraulichkeit zu gewährleisten. Niemand treibt gerne Mehraufwand um geschäftskritische Ressourcen zu sichern.
- Drücken Sie sich vor der Verantwortung und stehen Sie nie für Ihre Fehler ein. Es ist schlicht falsch, alle Handlungen zu begründen, indem Sie sämtliche Prozesse und Abläufe dokumentieren.
Artikel 6: Diesen Artikel lesen Sie am besten gar nicht erst. Rechtfertigen, dass Ihre Organisation Daten verarbeitet um die Geschäftskontinuität zu gewährleisten? Wenn Sie so weit gekommen sind, geht es jetzt darum tatsächlich Bankrott anzumelden.
Artikel 7: Achten Sie darauf, die betroffenen Personen niemals um Einwilligung zu bitten oder ihnen zu erklären, was Sie mit ihren Daten tun werden. Es gibt kein Zurück! Sobald die betroffenen Personen einmal eingewilligt haben, bleiben Sie bei Ihrer Meinung. Unwiderruflich.
Artikel 9: Erheben Sie alle Daten – das ist auch so gemeint! Dinge wie ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, genetische Daten, Sexualleben oder sexuelle Orientierung einer Person können Sie quasi umsonst und frei Haus bekommen. Achten Sie darauf, dass Sie selbst dann, wenn Sie diese Daten erheben dürfen, diese ausschließlich illegitim verwenden.
Artikel 12: An diesem Punkt haben wir bereits einige der hier aufgeführten Themen angesprochen. Stellen Sie einfach sicher, dass Sie gegenüber Ihren Kunden völlig intransparent bleiben, teilen Sie ihnen nicht mit, was Sie mit ihren Daten tun, und achten Sie darauf, dass alles, für das Sie die Daten verwenden, möglichst gegen Bürgerrechte verstößt.
Artikel 22: Automatisieren Sie vollständig alle die Prozesse, die zu Entscheidungen führen, ohne dass eine Person eingreifen kann. Wenn einer Ihrer Kunden mit den Ergebnissen nicht einverstanden ist, machen Sie sich nicht die Mühe, die Beweise im Falle eines Fehlers zu überprüfen.
Artikel 44: Wenn Sie personenbezogene Daten an Dritte außerhalb der EU übermitteln, achten Sie möglichst wenig darauf die DSGVO einzuhalten.
Artikel 49: Verzichten Sie auf die Einwilligung einer betroffenen Person, bevor Sie ihre Daten übermitteln. Übermitteln Sie personenbezogene Daten auf jeden Fall nur an Organisationen, die sämtliche DSGVO-Anforderungen und -Prinzipien missachten.
Befolgen Sie einfach diese simplen Schritte und Sie werden garantiert in kürzester Zeit die maximal mögliche Geldstrafe erreichen!
:quality(80)/images.vogel.de/vogelonline/bdb/1451000/1451080/original.jpg "Unternehmen sollten die Aktivitäten der Aufsichtsbehörden als deutliches Zeichen sehen, dass weder Panik noch Pause bei der DSGVO angesagt sind. (Brad Pict - stock.adobe.com)")
Aktuelles zur DSGVO im September
Aufsichtsbehörde warnt vor Fehlinformationen zur DSGVO
Aber ganz im Ernst
Der Grund, warum wir diese Liste zusammengestellt haben, ist zu zeigen, wie „verrückt“ ein Unternehmen handeln muss, um sich mit einer derart hohen Geldbuße konfrontiert zu sehen.
Bisher ist die DSGVO eher zum Feindbild geworden und nicht zu einem vernünftigen Schritt in Richtung moderner Handhabung personenbezogener Daten. Und bei allen Vorschriften: Geldbußen sind nur der letzte Schritt. Bevor Unternehmen Strafen zu befürchten haben, gibt es eine Reihe von Benachrichtigungen und Prüfungen.
Firmen sollten sich darüber im Klaren sein, dass sie in vielen Fällen lediglich die derzeit angewendeten Praktiken und Verfahren verfeinern und gegebenenfalls die Lücken füllen müssen, die sie bisher als nicht kritisch erachtet haben.
Über den Autor: István Molnár ist Compliance Experte bei One Identity.
(ID:45654537)
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923655/original.jpg "Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. (Ar_TH - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933800/1933872/original.jpg "Compliance als Rahmenwerk gesetzlicher- regulatorischer- und sonstigen externen Anforderungen. (Murrstock - stock.adobe.com)")