• IT-Sicherheit in der europäischen DSGVO

Das Thema IT-Sicherheit in der europäischen DSGVO

blog-thumb

Der IT-Wachdienst bietet - genau wie ein Wachdienst in der realen Welt - einen Service an, der Ihre “Internet-Liegenschaften” im Blick behält und verhindert, dass Einbrecher leichtes Spiel haben. Die europäische Datenschutzgrundverordnung (DSGVO) ist jetzt schon mehrere Jahre in Kraft, dennoch scheint es, dass die geforderten Maßnahmen nicht von allen Unternehmen und Organisationen ernst genommen werden. Dieser Artikel geht auf den Zusammenhang zwischen der DSGVO und dem Thema IT-Sicherheit ein.

Ein wichtiger Hinweis vorweg: IT-Wachdienst bietet keine Beratung im juristischen Sinn an. Die Interpretation der hier zitierten Gesetzestexte ist naheliegend, erhebt aber keinen Anspruch auf Korrektheit.

Daten-Lecks

Die Anzahl der gemeldeten Datenlecks steigt seit Inkrafttreten der DSGVO stetig. Laut eines Berichts wurden in Summe in Frankreich, Deutschland und Österreich bisher die meisten Bußgelder verhängt. Dieser Trend ist vor dem Hintergrund der in der DSGVO geforderten technischen und organisatorischen Maßnahmen (TOMs) überraschend und führt zu dem Schluss, dass die geforderten Maßnahmen im Bereich IT-Security in vielen Organisationen nur unzureichend umgesetzt worden sind.

IT-Sicherheit in der DSGVO

Die Datenschutzgrundverordnung bezieht sich in vielen Punkten auch auf das Thema IT-Sicherheit bzw. den Bereich Schwachstellen-Management. Die folgenden sicherheitsrelevanten Maßnahmen werden in der DSGVO gefordert:

Artikel 32: Sicherheit der Verarbeitung

In Absatz 1d wird gefordert:

  • “ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.”

Eine mögliche Implementierung dieses Verfahrens ist die Durchführung eines regelmäßigen Schwachstellen-Scans.

Artikel 35: Datenschutz-Folgeabschätzung

Absatz 1 beschreibt Szenarien, die eine Datenschutz-Folgeabschätzung notwendig machen:

  • “Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.”

Obwohl die Formulierung hier viel Interpretationsfreiraum lässt, ist es generell eine gute Idee bereits vor der Umsetzung eines neuen Produkts über die möglichen Implikationen - nicht nur in Hinblick auf personenbezogene Daten - nachzudenken. Eine Sicherheits-Beratung kann Ihnen Perspektiven aufzeigen, die oft vernachlässigt werden.

Zusammenfassung

Die Bußgelder für DSGVO-Verstöße sind empfindlich. Zu den Bußgeldern kommen in vielen Fällen auch noch die Schadenersatz-Forderungen Betroffener. Schnell können derartige finanzielle Belastungen ein Unternehmen in Schieflage bringen. Die Frage der Haftung für derartige Verstöße beantwortet die DSGVO in Artikel 82. Wichtig dabei ist, dass nicht nur die Geschäftsführung haftbar gemacht werden kann, sondern auch alle an der Verarbeitung beteiligte Verantwortliche.

Möchten Unternehmen derartige Rechts-Risiken minimieren, kann die Umsetzung von IT-Sicherheitsmaßnahmen sehr hilfreich sein.

Gerne unterstützen wir Sie dabei!

Ein interessanter Artikel mit Fallbeispielen zu DSGVO Schadenersatz-Forderungen in Österreich: http://www2.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=05609ogi

Hier fassen wir die im Text referenzierten Links nochmals für Sie zusammen:

https://t3n.de/news/dsgvo-zahl-gemeldeten-datenlecks-1244129/
https://www.jusline.at/gesetz/dsgvo/paragraf/32
https://www.jusline.at/gesetz/dsgvo/paragraf/35
https://www.jusline.at/gesetz/dsgvo/paragraf/82

Stichworte für diesen Blog-Eintrag