:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tools und Tipps zur DSGVO Verhaltensregeln nach DSGVO in der Praxis
Während über Datenschutz-Zertifikate nach Datenschutz-Grundverordnung häufig berichtet und diskutiert wird, führen die sogenannten Verhaltensregeln nach DSGVO noch ein Schattendasein, zu Unrecht. Verhaltensregeln sind praktische Instrumente und bereits im Einsatz. Erste genehmigte Beispiele können als Muster dienen. Weitere Verbände und Vereinigungen sollten aktiv werden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Wer Cloud-Dienste und andere Formen der Auftragsverarbeitung nach Artikel 28 DSGVO nutzen möchte, muss sich zuerst von dem angemessenen Datenschutzniveau bei dem Dienstleister überzeugen. Bereits zu Zeiten des alten Bundesdatenschutzgesetzes (BDSG-alt) war diese Kontrolle des Datenschutzes eine große Herausforderung. Entsprechend beliebt waren und sind Datenschutz-Zertifikate als Nachweis.
Doch es gibt ein Problem: Bislang gibt es die Datenschutzzertifizierung nach DSGVO und entsprechend akkreditierte Zertifizierungsstellen nach Artikel 42 und 43 DSGVO noch nicht in der Praxis. Die Liste der anerkannten Datenschutz-Zertifikate, die es bei dem EDPB (Europäischer Datenschutzausschuss) geben wird, ist noch leer.
:quality(80)/images.vogel.de/vogelonline/bdb/1544600/1544685/original.jpg "Nach einem harten Brexit müssen deutsche Unternehmen gewährleisten, dass die notwendigen Sicherheiten nach DSGVO für eine Datenübermittlung in ein Drittland gegeben sind. (gemeinfrei)")
Bessere Priorisierung im Datenschutz
Tools zur Datenschutz-Folgenabschätzung nach DSGVO
Doch mit der DSGVO haben nicht nur die Zertifikate ein höheres Gewicht als Nachweis erhalten, es wurde auch ein weiteres Instrument eingeführt, über das zu wenig gesprochen wird: die Verhaltensregeln, die in Artikel 40 und 41 der Datenschutz-Grundverordnung genannt sind.
Was Verhaltensregeln leisten
Betrachtet man die rechtlichen Voraussetzungen einer Auftragsverarbeitung nach DSGVO, stellt man fest, dass dort nicht nur Datenschutz-Zertifikate als mögliche Nachweise genannt werden, sondern auch genehmigte Verhaltensregeln:
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien (...) nachzuweisen.
Auch für den generellen Nachweis der Einhaltung der Sicherheit der Verarbeitung nach Artikel 32 DSGVO gilt:
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der (...) genannten Anforderungen nachzuweisen.
Anstatt nur auf Zertifizierungen nach DSGVO zu warten, lohnt es sich, sich auch mit den Verhaltensregeln zu befassen. Die zur DSGVO gehörenden Erwägungsgründe sagen zu Verhaltensregeln folgendes:
- Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten (Anmerkung: also Branchen-Verbände etc.), sollten ermutigt werden, in den Grenzen der DSGVO Verhaltensregeln auszuarbeiten, um eine wirksame Anwendung dieser Verordnung zu erleichtern.
- Den Besonderheiten der in bestimmten Sektoren erfolgenden Verarbeitungen und den besonderen Bedürfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen ist Rechnung zu tragen.
- Insbesondere könnten in diesen Verhaltensregeln - unter Berücksichtigung des mit der Verarbeitung wahrscheinlich einhergehenden Risikos für die Rechte und Freiheiten natürlicher Personen - die Pflichten der Verantwortlichen und der Auftragsverarbeiter bestimmt werden.
- Bei der Ausarbeitung oder bei der Änderung oder Erweiterung solcher Verhaltensregeln sollten Verbände und oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, die maßgeblichen Interessenträger, möglichst auch die betroffenen Personen, konsultieren und die Eingaben und Stellungnahmen, die sie dabei erhalten, berücksichtigen.
:quality(80)/images.vogel.de/vogelonline/bdb/1539100/1539185/original.jpg "Bisher ist nicht erkennbar, dass DSGVO-Verstöße zu Abmahnungen nach dem UWG führen können, Unternehmen sollten aber trotzdem jeden Einzelfall durch eine Rechtsberatung abklären. (fovito - stock.adobe.com)")
UWG und Datenschutz-Grundverordnung
DSGVO und Abmahnungen – Viel Lärm um Nichts
Wie Verhaltensregeln aussehen
Die DSGVO nennt auch Bereiche, zu denen Verhaltensregeln erarbeitet und durch die Aufsichtsbehörden genehmigt werden können, darunter auch:
- Pseudonymisierung personenbezogener Daten
- Unterrichtung der Öffentlichkeit und der betroffenen Personen
- Ausübung der Rechte betroffener Personen
- die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten
- die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen
Verhaltensregeln können also maßgeblich dabei helfen, Bereiche im Datenschutz zu regeln, bei denen noch deutlicher Klärungsbedarf in vielen Unternehmen besteht. Dabei sind Verhaltensregeln nicht so kompliziert, wie man vielleicht denken könnte. Die Erarbeitung und die Genehmigung von Verhaltensregeln hat bereits in der Praxis stattgefunden, es gibt also durchaus Muster und Anhaltspunkte, wie Verbände und Vereinigungen von Unternehmen dies angehen können.
So haben die Aufsichtsbehörden für den Datenschutz (Datenschutzkonferenz) zum Beispiel die „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien“ geprüft und genehmigt. Wie eine solche Genehmigung aussieht, zeigt die entsprechende Mitteilung der Landesbeauftragten für den Datenschutz NRW.
Wie eine Verhaltensregel selbst aussieht, findet man ebenfalls beim LDI NRW. Es geht in dem Beispiel für einen genehmigten Code of Conduct um einen speziellen Aspekt, der auch vielen Unternehmen aus anderen Branchen Kopfzerbrechen bereitet: die Löschfristen. Die komplette Verhaltensregel umfasst nur sieben Seiten, das bedeutet zwar nicht, dass Verbände und Vereinigungen nicht viel Mühe haben werden, Verhaltensregeln zu erstellen, doch es zeigt, dass für die Anwendung von Verhaltensregeln ein durchaus überschaubares Regelwerk entstehen kann.
:quality(80)/images.vogel.de/vogelonline/bdb/1525400/1525437/original.jpg "Es gibt zwar nicht für jedes Problem mit der DSGVO kostenlose Tools und Hilfsmittel der Aufsichtsbehörden, aber es stehen doch zahlreiche Mittel als Unterstützung zur Verfügung. (Sy_Sarayut - stock.adobe.com)")
Tipps zur Datenschutz-Grundverordnung
Mit diesen DSGVO-Tools helfen die Aufsichtsbehörden
Wichtig ist allerdings, dass die Einhaltung der Verhaltensregeln durch ein Verfahren überwacht werden muss, damit eine Verhaltensregel auch genehmigt werden kann. Auch der Weg hin zu einer genehmigten Verhaltensregel ist in der DSGVO beschrieben:
- Verbände und andere Vereinigungen, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die zuständig ist.
- Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit der DSGVO vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.
Nun gilt es, dass entsprechende Verbände und Vereinigungen von Unternehmen weitere Verhaltensregeln erarbeiten und genehmigen lassen, da dies die weitere Umsetzung der DSGVO deutlich erleichtern wird.
(ID:45913642)
:quality(80)/p7i.vogel.de/wcms/4f/89/4f8908e1dd85667270a529608a4dd970/0107729660.jpeg "Der Datenschutz hat ein Nachweis-Problem. Darum ist eine DSGVO-Zertifizierung so wichtig und begehrt. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/ac/87ac66c376db813e79bb71a1f841d34d/0107264929.jpeg "In vielen Unternehmen werden oft komplette Auftragsverarbeitungen (ehemals Auftragsdatenverarbeitungen) „vergessen“. Das kann unangenehme Folgen haben. (Bild: mixmagic - stock.adobe.com)")