VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

DSGVO

Sie ist viel diskutiert und wirft immer wieder Fragen auf: die EU-Datenschutzgrundverordnung (EU-DSGVO). Wenn sie am 25. Mai 2018 in Kraft tritt, wird es ernst für Unternehmen. Ist die eigene IT-Landschaft gemäß dem aktuellen „Stand der Technik“ abgesichert? Doch gerade dieser schwammige Begriff bereitet den IT-Sicherheitsexperten Kopfzerbrechen.

In etwa einem halben Jahr wird die EU-DSGVO rechtsverbindlich. In erster Linie regelt sie für Europa den Schutz und die Verbreitung personenbezogener Daten. Der Knackpunkt: Die Begrifflichkeit „Stand der Technik“ steht im Mittelpunkt des neuen Gesetzes. Konkret heißt es in Art. 32 der EU-DSGVO: „Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Diese sehr vagen Formulierungen lassen Unternehmen etwas ratlos zurück: Was genau bedeutet der „Stand der Technik“? Welche IT-Sicherheitsmaßnahmen müssen Unternehmen jetzt ergreifen?

Kalkuliert unpräzise Formulierung

Die sehr weit gefasste und ungenaue Formulierung „Stand der Technik“ wählte der Gesetzgeber wohl kalkuliert. Die Gründe: Zum einen entzieht er sich so der Haftung oder Anfechtbarkeit. Zum anderen ist die technologische Entwicklung heute so schnell, dass die im Gesetzestext aufgeführten Technologien und Verfahren unter Umständen schon wieder veraltet sein könnten, wenn das Gesetz in Kraft tritt. Unternehmen müssen ihre Sicherheitskonzepte dennoch auf dieser schwammigen Formulierung aufbauen. Der „Stand der Technik“ ist im Grunde in drei Abstufungen interpretierbar: Die erste meint das allgemeine Verständnis darüber, welche Technologien und Konzepte bewährt und etabliert sind. Der Nachteil: innovative Ansätze spielen dabei keine Rolle. Die zweite schließt lediglich innovative Technologien ein. In der dritten geht es um Technologien, die Wissenschaft und Forschung aktuell noch erproben. Für die EU-Datenschutzgrundverordnung ist eine Einsortierung des „Stands der Technik“ zwischen der ersten und zweiten Ebene am sinnvollsten – also eine Kombination aus bewährten und innovativen Technologien, um die größtmögliche Sicherheit herzustellen.

Eigeninitiative gefragt

Die Konsequenz für jedes Unternehmen aus diesem Umstand sollte sein, sich selbst auf dem Laufenden zu halten, was aktuell der „Stand der Technik“ ist. Hier ist es hilfreich, den Blick auf Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu richten. Insbesondere der Grundschutzkatalog und technische Richtlinien, die das BSI regelmäßig aktualisiert, beschreiben gewisse Mindeststandards, die Unternehmen einhalten sollten. So hat das BSI beispielsweise im Februar 2017 seine technische Richtlinie für kryptographische Verfahren aktualisiert. Darin sind konkrete Technologien und Verfahren empfohlen – unter anderem etwa AES-128 für Blockchiffren zur Verschlüsselung. Auch das Informationsmaterial der Aufsichtsbehörde für Datenschutz sowie der Fachverbände bringt Licht ins Dunkel. Unternehmen bekommen auf diese Weise zumindest eine Vorstellung davon, was an technologischen Maßnahmen nötig ist. Die Entscheidung, wie die Empfehlungen in die Tat umzusetzen sind oder welcher Hersteller sich dafür anbietet, liegt dann bei den Unternehmen.

Natürlich geben auch Zertifikate Anhaltspunkte dafür, welche Datenschutzmaßnahmen sinnvoll sind. Ein Beispiel ist hier die Zertifizierung nach ISO 27001 für den Bereich der Informationssicherheit. Für die EU-DSGVO gibt es aktuell keinen einheitlichen zertifizierbaren Standard. Es existieren allerdings verschiedene Modelle, die Teilbereiche abdecken. So etwa der Anforderungskatalog des BSI „Cloud Computing Compliance Controls Catalogue“ (C5) oder das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz (ULD) von Schleswig-Holstein. Letzteres veröffentlicht ebenfalls praktische Guidelines zum Datenschutz. Allerdings ist ein Zertifikat in der Regel nur eine Momentaufnahme des Sicherheitsstatus, während sich der „Stand der Technik“ dynamisch weiterentwickelt. Ein regelmäßiger Blick auf die Empfehlungen sollte also obligatorisch sein.

Praktische Umsetzungshilfen fehlen

Diese Umstände führen dazu, dass sich das Gros deutscher Unternehmen nicht ausreichend auf die EU-DSGVO vorbereitet fühlt. Einer repräsentativen Umfrage des Branchenverbandes Bitkom aus dem September 2017 zufolge gaben lediglich 13 Prozent der Befragten an, konkrete Maßnahmen in Angriff genommen zu haben. Gleichzeitig beschäftigen sich immerhin 49 Prozent mit dem Thema. Viele Unternehmen haben in der Praxis Schwierigkeiten, sich mit den umfangreichen Anforderungen der EU-DSGVO auseinanderzusetzen und diese in Maßnahmen zu übertragen. So bemängelten 34 Prozent das Fehlen von praktischen Umsetzungshilfen. Viele Unternehmen sind daher auf die Zusammenarbeit mit erfahrenen Dienstleistern angewiesen, die sich tagtäglich mit Risikoszenarien, Abwehrmechanismen und ganzheitlicher Sicherheit auseinandersetzen. Dabei bleibt das Unternehmen als Kunde trotzdem weiterhin die verantwortliche Stelle. Die IT-Dienstleister tragen dennoch eine hohe Verantwortung, Datenpannen und -lecks zu vermeiden.

Ihr Aufgabenspektrum wird sich mit der EU-DSGVO verändern. Die Beratungs- und Informationspflicht wird zunehmen – besonders hinsichtlich des „Privacy-by-Design“-Ansatzes. Dieser hat eine grundlegende, ganzheitliche Sicherheit personenbezogener Daten zum Ziel. Mit der EU-DSGVO ist die Auswahl eines passenden Providers mehr denn je auch eine Frage der vertrauensvollen Zusammenarbeit. Provider sind verpflichtet, Datenpannen zu melden – selbst, wenn beispielsweise noch kein Datendiebstahl stattgefunden hat. Hintergrund ist die künftige Meldepflicht, der Unternehmen nachkommen müssen. Das setzt voraus, dass der IT-Dienstleister ihnen gegenüber diesbezüglich absolut transparent und vertrauensvoll ist. Werden Versäumnisse und Datenpannen öffentlich, drohen empfindliche Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Konzern-Vorjahresumsatzes, je nachdem welche Summe höher ist.

Fazit

Die Europäische Union macht es den Unternehmen nicht leicht, die neuen Anforderungen zu durchschauen. Das entlässt sie jedoch nicht aus der Pflicht, diese umzusetzen. Unternehmen sind deshalb gut beraten, sich bei der Verständigung darauf, was der Stand der Technik bedeutet, auf allgemeine Richtlinien zu berufen. Welche Maßnahmen für die jeweilige IT-Landschaft am besten passen, muss jedes Unternehmen letztlich selbst abwägen. Bei Unsicherheiten lohnt es sich, einen erfahrenen und vertrauenswürdigen IT-Dienstleister zurate zu ziehen. Die Zeit läuft. 

André NeumannAndré Neumann ist Director Supplier Management & Data Privacy bei Nexinto.

www.nexinto.com

 

GRID LIST
Datenschutz Superheld

Was macht einen guten Datenschutzbeauftragen aus?

Ist die IT-Infrastruktur technisch sicher und rechtssicher aufgebaut, haben Unternehmer…
Happy man with EU-Flag

DSGVO als Chance begreifen und Performance steigern

Etwas über einen Monat ist die DSGVO nun in Kraft und soll dafür sorgen, besonderes…
DSGVO

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutz-Grundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem…
Tb W190 H80 Crop Int Ac00bc491e29650606797a7a168b27ab

Datenaustausch und -archivierung in Zeiten der DSGVO

Nun ist es doch tatsächlich so weit: Die allseits gefürchtete…
Gérard Bauer

Bietet die DSGVO Cyberkriminellen eine Möglichkeit, sich besser zu verstecken?

Mit dem Ziel den Schutz und die Sicherheit von Daten deutlich zu verbessern, ist die…
Karl-Heinz Land

Die DSGVO bedeutet eine kalte Enteignung des Mittelstands

Was als Schutzschild gegen „Datenkraken“ wie Facebook, Twitter oder Google gedacht war,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security