:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz-Grundverordnung in der Praxis Was ist Auftragsverarbeitung nach DSGVO und was nicht?
Die Aufsichtsbehörden für den Datenschutz berichten, dass Unternehmen Schwierigkeiten damit haben, eine Datenverarbeitung als Auftragsverarbeitung einzustufen und entsprechend die passenden Datenschutz-Maßnahmen zu ergreifen. Wir berichten von konkreten Beispielen, beschreiben die Positionen der Aufsichtsbehörden und geben Tipps, wie man eine Auftragsverarbeitung erkennt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Wer glaubt, dass die Aufsichtsbehörden für den Datenschutz in Deutschland völlig zufrieden wären mit der DSGVO, der irrt sich. Dabei sind es nicht nur die zusätzlichen Aufgaben und der größere Bedarf an Personal, auf die die Aufsichtsbehörden aufmerksam machen. Ihnen ist durchaus bewusst, dass nicht alle Regelungen uneingeschränkt praxistauglich sind.
Die Aufsichtsbehörden erklären zwar, dass sich die DSGVO mit ihrem Regelungskonzept und ihren Zielen im Wesentlichen bewährt hat. Die Ziele des verbesserten Grundrechtsschutzes und der Schaffung eines einheitlichen digitalen Binnenmarktes erscheinen durch die DSGVO vorangebracht und auch tatsächlich erreichbar, so die Aufsicht.
:quality(80)/images.vogel.de/vogelonline/bdb/1525400/1525437/original.jpg "Es gibt zwar nicht für jedes Problem mit der DSGVO kostenlose Tools und Hilfsmittel der Aufsichtsbehörden, aber es stehen doch zahlreiche Mittel als Unterstützung zur Verfügung. (Sy_Sarayut - stock.adobe.com)")
Tipps zur Datenschutz-Grundverordnung
Mit diesen DSGVO-Tools helfen die Aufsichtsbehörden
Doch es gibt weiterhin Probleme in der Anwendung, wie auch Umfragen unter Unternehmen regelmäßig belegen. So manches Problem hängt dabei mit Unklarheit und mangelnder Information zusammen. Dies gilt zum Beispiel für das Thema Auftragsverarbeitung, die in Artikel 28 der Datenschutz-Grundverordnung (DSGVO) geregelt ist. Auftragsverarbeiter ist nach DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Verantwortliche müssen vor Auftragsvergabe zunächst eine Prüfung der Geeignetheit des Auftragsverarbeiters durchführen. Der Verantwortliche darf sich danach nur solcher Auftragsverarbeiter bedienen, die hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz anwenden, so dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.
Den Aufsichtsbehörden sind viele Fragestellungen rund um die Auftragsverarbeitung begegnet, darunter diese Beispiele.
Beispiel Steuerberatung
Muss man als Unternehmen mit dem Steuerberater einen Vertrag abschließen, der den Vorgaben an eine Auftragsverarbeitung entspricht? Hier muss man genau aufpassen!
Bei Steuerberatern ist es nach Auffassung einiger Aufsichtsbehörden so zu sehen, dass diese als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig sind und dementsprechend auch einer strafbewehrten persönlichen Geheimhaltungspflicht unterliegen. Das widerspricht der Weisungsgebundenheit im Sinne der DSGVO.
Einige Aufsichtsbehörden argumentieren nun so: Auch wenn Steuerberater nur die Lohnbuchhaltung durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen. Steuerberater arbeiten deshalb regelmäßig eigenverantwortlich.
Doch Vorsicht, es kommt ganz genau auf die Tätigkeiten des Steuerberaters an, so eine andere Aufsichtsbehörde: Übernimmt ein Steuerberater neben seiner eigentlichen Steuerberatertätigkeit (Hilfe in Steuersachen) zusätzlich weitere Aufgaben, handelt es sich um Auftragsverarbeitung im Sinne des Artikels 28 DSGVO und bedarf einer entsprechenden Vereinbarung mit dem datenschutzrechtlich verantwortlichen Auftraggeber.
:quality(80)/images.vogel.de/vogelonline/bdb/1561100/1561159/original.jpg "Verhaltensregeln sind ein zu unrecht „vergessenes“ Datenschutz-Instrument. (Coloures-Pic - stock.adobe.com)")
Tools und Tipps zur DSGVO
Verhaltensregeln nach DSGVO in der Praxis
Beispiel Test mit Echtdaten
Kann man externen Softwaretestern und Entwicklern Echtdaten überlassen und dies als Auftragsverarbeitung regeln? Hierzu sagt eine Aufsichtsbehörde: Werden Echtdaten für Entwicklungszwecke verarbeitet, besteht die Gefahr, dass solche Daten unbefugt verbreitet werden. Sie werden dann in einer Weise verarbeitet, bei der die Wirksamkeit der Datensicherheitsmaßnahmen (noch) unklar ist. Ebenso wäre dies eine Zweckdurchbrechung, denn die Daten sind üblicherweise nicht für Entwicklungszwecke erhoben worden.
Würde man die Nutzung der Daten durch Dritte (Entwickler) als Auftragsverarbeitung abbilden, dürften die Daten durch den Entwickler nicht für eigene Zwecke verwendet werden, kein realistisches Szenario, so die Aufsicht. Daher dürfen Echtdaten nicht für Entwicklungszwecke eingesetzt werden, eine Nutzung könnte aber mit anonymisierten Daten erfolgen.
Beispiel Hosting
Wenn eine Website keine personenbezogenen Daten verarbeitet, also nur Inhalte darstellt, ohne Daten zu erheben, ist dann das Hosting eine Auftragsverarbeitung?
Hier würde man zuerst antworten, dass letztlich immer personenbezogene Daten erhoben werden, wenn man an den Personenbezug von IP-Adressen denkt. Eine Aufsichtsbehörde erklärt jedoch: Es findet in diesem speziellen Fall keine Auftragsverarbeitung statt.
Das Hosting von rein statischen Websites ist, wenn keine personenbezogenen Daten über die Seitenaufrufe an das Unternehmen fließen und auch kein Nutzer-Tracking stattfindet, keine Auftragsverarbeitung.
Die Tatsache, dass auch beim Hosting von statischen Webseiten zwangsläufig IP-Adressen, d.h. personenbezogene Daten, verarbeitet werden müssen, führt nicht zur Annahme einer Auftragsverarbeitung. Das wäre nicht sachgerecht, so die Aufsicht. Die (kurzfristige) IP-Adressenspeicherung ist vielmehr noch der TK-Zugangsvermittlung des Website-Hosters nach dem Telekommunikationsgesetz (TKG) zuzurechnen und dient in erster Linie Sicherheitszwecken des Hoster.
:quality(80)/images.vogel.de/vogelonline/bdb/1435700/1435704/original.jpg "Bei der DSGVO gibt es noch viel Klärungsbedarf, unter anderem zu Auftragsverarbeitung und Einwilligungen. Die Aufsichtsbehörden für den Datenschutz liefern jetzt erste Klarstellungen. (fotohansel - stock.adobe.com)")
Aktuelle Entwicklungen zur DSGVO im August
Missverständnisse zur Einwilligung ausräumen!
Beispiel Online-Tracking
Werden externe Analyse-Dienste für das Online-Tracking bei Webseiten eingesetzt, stellt sich die Frage, ob sich dies als Auftragsverarbeitung umsetzen lässt. Für den Fall Google Analytics haben die Aufsichtsbehörden dem eine klare Absage erteilt. Zentraler Punkt: Ein Auftragsverarbeiter darf die Daten nicht zu eigenen Zwecken verwenden.
Das Produkt Google Analytics wurde nach Ansicht der Aufsichtsbehörden in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Webseiten Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von Google Analytics erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt.
:quality(80)/images.vogel.de/vogelonline/bdb/1522600/1522663/original.jpg "IT-Sicherheitsvorgaben müssen als Einkaufsbedingung und Lieferantenkriterium branchenübergreifend und auf ganzer Breite eingeführt werden. (strichfiguren.de – stock.adobe.com)")
Trust-Ratings in der Security
Wie man die Zuverlässigkeit eines Anbieters beurteilt
Wie man eine Auftragsverarbeitung erkennt
Wie aber erkennt man selbst, ob eine Auftragsverarbeitung vorliegt oder nicht. Dafür gibt es Kennzeichen, nach denen man suchen muss:
- Der Auftragsverarbeiter ist über die bloße Beauftragung hinaus gegenüber dem Verantwortlichen weisungsabhängig, selbst wenn der Auftragsverarbeiter über ein umfassenderes Know-how als sein Auftraggeber verfügt.
- Der Auftragsverarbeiter wird vom Verantwortlichen überwacht.
Einige Aufsichtsbehörden bieten eine Beispiel-Liste für Auftragsverarbeitungen, die zwar nicht von der eigenen Prüfung entbindet, die aber Anhaltspunkte liefert. Darunter sind diese Beispiele:
- DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren
- Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist
- Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (Betreuung von Kontaktformularen oder Nutzeranfragen)
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
- Auslagerung der Backup-Speicherung und anderer Archivierungen
- Datenträgerentsorgung durch Dienstleister
(ID:46379437)
:quality(80)/p7i.vogel.de/wcms/87/ac/87ac66c376db813e79bb71a1f841d34d/0107264929.jpeg "In vielen Unternehmen werden oft komplette Auftragsverarbeitungen (ehemals Auftragsdatenverarbeitungen) „vergessen“. Das kann unangenehme Folgen haben. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/89/4f8908e1dd85667270a529608a4dd970/0107729660.jpeg "Der Datenschutz hat ein Nachweis-Problem. Darum ist eine DSGVO-Zertifizierung so wichtig und begehrt. (Bild: mixmagic - stock.adobe.com)")