:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zwei Jahre Datenschutz-Grundverordnung Was an der DSGVO geändert werden soll und kann
Die letzten Wochen und Monate haben sich sowohl Wirtschaftsverbände und Datenschutz-Vereinigungen als auch die Aufsichtsbehörden für den Datenschutz zu ihren Erfahrungen und Wünschen geäußert, was an der Datenschutz-Grundverordnung (DSGVO / GDPR) geändert werden sollte. Einiges davon hätte man bereits angehen können, anderes müsste den langen Weg der EU-Gesetzgebung gehen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Bei der Kritik, die an der Datenschutz-Grundverordnung im Vorfeld und seit ihrer Anwendung geübt wurde, wäre es erstaunlich gewesen, wenn die Evaluation der DSGVO durch Wirtschaftsverbände keinen Änderungsbedarf ergeben hätte. Doch auch die Politik, verschiedene Datenschutz-Vereinigungen und die Aufsichtsbehörden für den Datenschutz sehen Bedarf für Veränderungen an der DSGVO.
Die DSGVO sieht auch selbst eine Evaluierung vor: „Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich gemacht“, findet man in Artikel 97 DSGVO.
Die Evaluierung könnte sich allerdings leicht verzögern. „Die Kommission wird voraussichtlich am 10. Juni einen Bericht über die bisherige Anwendung der Datenschutz-Grundverordnung vorlegen“, so eine Information des EU-Parlaments.
Spannend ist es in jedem Fall, sich den bereits angemeldeten Handlungsbedarf anzusehen, denn so manches davon könnte man ohne langwieriges EU-Gesetzgebungsverfahren angehen.
Was die Aufsichtsbehörden sagen
Insgesamt hat sich gezeigt, dass die Verantwortlichen in Baden-Württemberg sich in vielen Bereichen alltagstauglichere Lösungen wünschen und einige Vorschriften nur schwer auf datenverarbeitende Tätigkeiten kleiner Unternehmen oder ehrenamtlicher Arbeit anwendbar sind, erklärte zum Beispiel der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg.
Im Vordergrund stehen demnach vor allem Fragen rund um eine mögliche Entlastung bei den Informations-, Transparenz- und Auskunftspflichten, aber auch bei Fragen der Gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung.
Interessant ist dabei auch diese Aussage der Aufsichtsbehörde: Die Datenschutzaufsicht in Baden-Württemberg orientiert sich am Leitsatz „Wenn es nicht sinnvoll ist, dann ist es kein Datenschutz“.
Betrachten wir die EU-Ebene: Am 18. Februar 2020 hatte der Europäische Datenschutzausschuss (EDSA) einen gemeinsamen Antwortbeitrag zur Evaluierung der Datenschutz-Grundverordnung (DSGVO) beschlossen. Die Europäische Kommission hatte den EDSA um einen Beitrag zum Evaluierungsverfahren gebeten. Der Ausschuss betont in seiner Antwort die Bedeutung der DSGVO für den Schutz und die Stärkung des Grundrechts auf Datenschutz innerhalb der EU.
Dazu sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber: „Meine Kollegen und ich halten groß angelegte gesetzliche Änderungen an der DSGVO für verfrüht. Wir sehen aber Bedarf für Verbesserungen bei der praktischen Umsetzung. Das gilt insbesondere im Bereich der Zusammenarbeit der Datenschutzaufsichtsbehörden in grenzüberschreitenden Verfahren. Unterschiede in den nationalen Verwaltungsverfahren dürfen nicht dazu führen, dass die Effektivität der Durchsetzung der DSGVO gegenüber Unternehmen, die Datenschutzverstöße begangen haben, beeinträchtigt wird.“
Im Hinblick auf den internationalen Datenverkehr betont der EDSA die Bedeutung der Angemessenheitsbeschlüsse der Europäischen Kommission. Er fordert die Kommission auf, die Beschlüsse über EU-Standardvertragsklauseln für Datenübermittlungen in Drittstaaten zu überarbeiten.
Verbände beklagen Bürokratiehürden
Trotz großer anfänglicher Sorgen hat sich die DSGVO nach rund zwei Jahren als grundsätzlich taugliches Regulierungsinstrument etabliert, so der Verband der Internetwirtschaft eco. Gleichzeitig ergeben sich für den Verband der Internetwirtschaft bei der Umsetzung noch zu viele ungelöste Rechtsfragen und praktische Probleme. Dies gilt insbesondere für Entwickler und Anbieter KI-basierter Systeme.
Dazu sagt eco Geschäftsführer Alexander Rabe: „Die Schaffung eines einheitlichen europäischen Rechtsrahmens mit der Datenschutzgrundverordnung war der richtige Schritt hin zu einer verantwortungsvollen Datenpolitik: Bürokratische Hemmnisse und Rechtsunsicherheiten im Datenschutz können nur durch einen ganzheitlichen europäischen Ansatz überwunden werden. Die DSGVO kann jedoch nur dann zum Game-Changer für Europa werden, wenn ein präziser und einheitlicher Rechtsrahmen besteht. Unsicherheiten, wie sie aktuell noch bei der Verarbeitung von KI-Trainingsdaten sowie Transparenz- und Informationsverpflichtungen bei automatisierten Entscheidungsfindungen auftreten, müssen beseitigt werden. Zu viele bürokratische Hemmnisse sorgen derzeit dafür, dass die DSGVO in ihrer jetzigen Form weder innovationsfreundlich noch marktgerecht ist.“
Auch der Digitalverband Bitkom hat eine Bewertung abgegeben: „Nach der geplanten Evaluierung der Datenschutzregeln muss die EU den grundsätzlichen Geburtsfehler beseitigen“, so Bitkom-Präsident Achim Berg. „Die DSGVO reglementiert jeden einzelnen Datenverarbeitungsvorgang und jede Datenerhebung. Vereine, Startups und Großkonzerne werden über denselben Kamm geschoren und nicht differenziert behandelt. Die in der DSGVO vorgesehenen Ausnahmen für kleinere Unternehmen kommen in der Praxis so gut wie nie zum Tragen. Dabei sollten Art und Umfang der Datenverarbeitungen ausschlaggebend für die Verpflichtungen sein, auch sollte man die Regeln grundsätzlich vereinfachen. In der Forschung sollten der Datennutzung weniger Hürden in den Weg gestellt werden – insbesondere für EU-weite Projekte im Gesundheitsbereich.“
Unklarheiten beseitigen, Vorgaben schärfen
Trotz umfangreicher Aufklärungsangebote und Hilfestellungen gebe es bei den Rechtsanwendern noch immer zahlreiche Fragen und Unsicherheiten, so auch Bayerns Innenminister Joachim Herrmann bei einer Konferenz mit den bayerischen Industrie- und Handelskammern und der Wirtschaftskammer Österreich.
Es gebe in der Anwendung noch grundsätzlichen Klärungsbedarf. So werden laut Herrmann beispielsweise einige der neu eingeführten Instrumente bisher in der Praxis nur vereinzelt genutzt. Als Beispiele nannte er die Verhaltensregeln, die Zertifizierung, die Einführung eines Europäischen Datenschutzsiegels oder auch das Kohärenz-Verfahren. „Die Kommission muss dringend analysieren, woran die Zurückhaltung in diesem Bereich liegt und Vorschläge für eine Abhilfe vorlegen“, forderte der Minister.
Vorhandene Werkzeuge sollten besser genutzt werden
Der von dem Bayerischen Innenminister vorgebrachte Punkt, einige der neu eingeführten Instrumente würden bisher in der Praxis nur vereinzelt genutzt, ist sehr angebracht und wichtig. Betrachtet man die Änderungswünsche, die von verschiedenen Stellen genannt werden, sind durchaus Punkte darunter, die sich ohne jede Änderung an der EU-Verordnung angehen ließen.
Es versteht sich, dass alle Punkte, die tatsächlich die DSGVO verändern würden, nicht kurzfristig zu realisieren sind. Wie lange der Weg der EU-Gesetzgebung sein kann, zeigt sich zum Beispiel gegenwärtig an der E-Privacy-Verordnung (ePVO).
Es ist deshalb sinnvoll, alle Erfahrungen und Änderungswünsche zu überprüfen, ob sich denn nicht schon heute etwas verändern lassen würde, ohne weitere Gesetzgebungsinitiativen, also im Rahmen der bestehenden DSGVO.
Wenn zum Beispiel konkretere Vorgaben zur Umsetzung der Datenübertragbarkeit gewünscht werden, dann könnte dies auch heute schon geschehen, über Verhaltensregeln.
Verbände und andere Vereinigungen, die „Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten“, können Verhaltensregeln ausarbeiten oder ändern oder erweitern und der zuständigen Aufsichtsbehörde zur Genehmigung vorlegen, so Artikel 40 DSGVO. Dazu gehören Bereiche wie „Ausübung der Rechte betroffener Personen“. Genau hierunter fällt das Recht auf Datenübertragbarkeit. Es ist also in der heutigen DSGVO bereits vorgesehen, dass es dazu Verhaltensregeln geben könnte, ebenso zu den besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen, auf die ebenfalls von den Wirtschaftsverbänden hingewiesen wird.
Es lohnt sich, alle bisherigen Möglichkeiten und Instrumente der DSGVO zu betrachten und wirklich zu nutzen, um den Datenschutz voranzubringen und die Umsetzung der DSGVO zu optimieren. Die Ausarbeitung und Genehmigung von Verhaltensregeln zum Beispiel werden einige Zeit in Anspruch nehmen, doch man kann sich vorstellen, dass hier schneller Erfolge zu sehen sind als im Rahmen der komplexen EU-Gesetzgebung. Die gegenwärtige DSGVO kann mehr und bietet mehr, als bisher genutzt wird.
(ID:46600378)
:quality(80)/p7i.vogel.de/wcms/42/1a/421a9d48f358c73323a02597766fb7de/0106524606.jpeg "Die Forderungen der DSGVO sollten auch bei geschlossenen Datenräumen immer vollständig im Blick sein. Insbesondere, wenn es um Gesundheitsdaten geht. (Bild: enzozo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/da/47da556a443fe4e0831727b11fd609c3/0112213004.jpeg "Deutsche Unternehmen müssen die vorhandenen Spielräume der DSGVO nutzen und Datenverarbeitung als Chance verstehen, nicht immer nur als Risiko. (Bild: DOC RABE Media - stock.adobe.com)")