:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz-Tipps für den Mittelstand Wie KMU den Aufwand für die DSGVO senken können
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Umsetzung der DSGVO bereitet weiterhin Probleme. Insbesondere kleinen und mittelständischen Unternehmen fehle es zudem an praxistauglichen Hilfestellungen, um in der Datenökonomie innovative Geschäftsideen umsetzen und wachsen zu können, so Bitkom. Wie kann der Mittelstand der DSGVO mit geringerem Aufwand gerecht werden? Wir geben einen Überblick, was helfen kann.
„Die vorhandenen Spielräume der DSGVO werden in Deutschland kaum genutzt“, sagte Bitkom-Präsident Berg anlässlich des fünften Jahrestages der Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO). „Wir müssen Datenverarbeitungen als Chance verstehen, nicht immer nur als Risiko. Wenn wir fünf Jahre so weitermachen wie zuletzt, schwächen wir unsere Innovations- und Wettbewerbsfähigkeit.“
Gerade im Mittelstand bereitet die Umsetzung des Datenschutzes offensichtlich noch Probleme, denn der Aufwand erscheint sehr groß. Deshalb sollte man nicht nur die genannten Spielräume zur Datennutzung ausloten, sondern auch die Erleichterungen im Datenschutz nutzen, die es gerade für KMU gibt. Davon wird noch nicht genug Gebrauch gemacht.
DSGVO: Gelten die Vorschriften auch für KMU?
Zuerst einmal sollte klar sein, dass kein Unternehmen vom Datenschutz ausgenommen ist, ja ausgenommen sein kann. Bildlich gesprochen wären Unternehmen, die den Datenschutz nicht beachten müssen, wie „Schwachstellen“ für den Datenschutz innerhalb des Datenstroms. Keine Frage: Der Datenschutz muss durchgängig gelten, damit er gelingen kann. Das ist auch der wesentliche Grund, warum Datenübermittlungen hin zu Drittstaaten so ein Problem darstellen können.
Trotzdem wurde in der Vergangenheit die Frage gestellt, ob denn die DSGVO auch für KMU gilt. Die EU-Kommission antwortete darauf: „Ja, die Anwendung der Datenschutz-Grundverordnung ist nicht von der Größe Ihres Unternehmens/Ihrer Organisation, sondern von der Art Ihrer Tätigkeiten abhängig.“
Es gibt jedoch Besonderheiten, die für KMU Erleichterungen bringen sollen und können.
DSB ja oder nein: Es kommt (nicht nur) auf die Datenrisiken an
Nur wenn die Verarbeitung von Daten ihre Haupttätigkeit ist und besondere Gefahren für die Rechte und Freiheiten von Personen (wie die Verarbeitung sensibler Daten) darstellt, müssen kleine und mittlere Unternehmen nach DSGVO einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte benennen.
Aber: Zum einen konkretisiert das deutsche BDSG (Bundesdatenschutzgesetz) die Pflicht zur Bestellung von Datenschutzbeauftragten bei „nichtöffentlicher Stellen“, wie Unternehmen. Zum anderen ist die Benennung eines oder einer DSB zwar zuerst ein formaler Aufwand, dann aber eine große Hilfe, denn wenn im Unternehmen eine Person die Fachkunde für den Datenschutz aufbaut, ist dies ein Vorteil und keine Erschwernis. Deshalb empfehlen Aufsichtsbehörden für den Datenschutz aus gutem Grund, auch freiwillig eine oder einen DSB zu benennen.
Die Aufsichtsbehörden haben hierzu früher bereits Stellung bezogen: „Die Datenschutzbeauftragten sorgen für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten. Dies hat sich ganz besonders bei der Umstellung auf die Datenschutz-Grundverordnung bewährt“. Ohne eigenen DSB würden Verantwortliche interne Beraterinnen und Berater zu Fragen des Datenschutzes verlieren. Die Datenschutzkonferenz (DSK) machte deutlich: „Der Wegfall mag kurzfristig als Entlastung empfunden werden. Mittelfristig geht interne Kompetenz verloren“. Insbesondere für kleinere Unternehmen würde es diese daher nicht entlasten, sondern ihnen mittelfristig schaden, wenn es keinen eigenen DSB gäbe, so die Datenschützer.
Doch es gibt weitere Ausnahmen für kleine und mittlere Unternehmen, wenn die Datenrisiken nicht hoch sind. Wie sind diese zu bewerten?
Verfahrensverzeichnis ja oder nein: Erneut sind die Risiken entscheidend
Unternehmen mit weniger als 250 Mitarbeitern müssen nach DSGVO kein Verzeichnis ihrer Verarbeitungstätigkeiten führen, sofern die Verarbeitung personenbezogener Daten keine regelmäßige Tätigkeit ist, eine Gefahr für die Rechte und Freiheiten von Personen darstellt oder sensible Daten betrifft.
Dies ist als Erleichterung für KMU gedacht, ob dies aber wirklich bei der Umsetzung der DSGVO hilft, sollte man sich genau fragen. Immerhin dient das Verfahrensverzeichnis als Grundlage vieler Datenschutzmaßnahmen und ist keine reine Dokumentation, um dem Gesetz genüge zu tun.
Gibt es also in Wirklichkeit keine Erleichterung, die dem Mittelstand bei der DSGVO helfen kann? Doch, denn die größte Herausforderung ist und bleibt die notwendige Expertise im Datenschutz, die gerade bei KMU nicht so leicht aufzubauen ist, und hier bieten die Aufsichtsbehörden einiges an Unterstützung.
Tipp: Datenschutzwissen aufbereitet für KMU
Der Digitalverband Bitkom hat bereits mehrfach kritisiert, die Aufsichtsbehörden würden zu wenig Hilfestellungen anbieten. Ohne Zweifel können die Aufsichtsbehörden nicht jedes kleine und mittlere Unternehmen selbst beraten, dafür gibt es auch Dienstleister, die sich zu vertretbaren Preisen als externe DSB anbieten.
Was die Aufsichtsbehörden aber anbieten, sind Leitfäden speziell für KMU, zum Beispiel eine hilfreiche Übersicht des BayLDA (Bayerisches Landesamt für Datenschutzaufsicht), die auch in anderen Bundesländern nützlich ist. Ein weiteres Beispiel ist eine Checkliste der Datenschutzaufsicht von Niedersachsen, die sich an KMU richtet.
Solche Übersichten sind mehr als hilfreich, damit man sich als KMU nicht in den Vorgaben der DSGVO verirrt, die im Gesetzestext nicht immer so einfach zu verstehen sind. Aber es gibt noch mehr.
Tipp: Code of Conducts
Gerade im Mittelstand ist man auf Leitlinien für ein datenschutzgerechtes Verhalten und auf Nachweise zum Datenschutz Dritter angewiesen, denn man kann nicht alles selbst entwickeln und kontrollieren. Für KMU gibt es wichtige Instrumente, die helfen können.
So besagt die DSGVO: „Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.“
Die Idee dahinter ist, dass Verhaltensregeln (Code of Conducts) entstehen, die branchenspezifische Regeln enthalten und gerade KMU Leitlinien sein können und sollen. Gefordert sind hier aber nicht nur die Aufsichtsbehörden, sondern die Branchenverbände, die für ihre Mitgliedsunternehmen solche Code of Conducts entwickeln sollen und von den Aufsichtsbehörden genehmigen lassen können. Erste Beispiele für solche Verhaltensregeln gibt es in Deutschland bereits, weitaus mehr sollten kommen, gerade auch von den Verbänden für ihre Mitglieder aus dem Mittelstand.
Dies erklärt auch die Datenschutzaufsicht von NRW: „Die DSGVO sieht vor, dass sich Wirtschaftsbranchen selbst Verhaltensregeln zum Umgang mit personenbezogenen Daten auferlegen können, um die DSGVO zu konkretisieren“. Es gibt also noch etwas zu tun, um den KMU bei der Umsetzung der DSGVO zu helfen, aber auch bei den Verbänden selbst.
(ID:49537516)
:quality(80)/p7i.vogel.de/wcms/22/89/2289bdc0480d6c821ace319a2b98f084/0111034551.jpeg "Viele Datenschutzbeauftragte sind nur in Teilzeit in diesem Bereich tätig und brauchen dringend mehr Unterstützung in ihren Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/14/5614f6eb05bd8465215666bb12b16f39/0109123431.jpeg "Der EU Data Protection Code of Conduct for Cloud Service Providers ist ein Verhaltenskodex zur Durchsetzung europäischer Datenschutzstandards. (Bild: gemeinfrei)")