Die euro­päi­sche Daten­schutz­grund­ver­ord­nung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Hel­ko Kögel vom IT-Sicher­heits­un­ter­neh­men Roh­de & Schwarz Cyber­se­cu­ri­ty zu den Her­aus­for­de­run­gen und Chan­cen für Unter­neh­men, die sich aus der neu­en Ver­ord­nung erge­ben.  

Die EU-DSGVO definiert klare Regeln und Anforderungen für die Speicherung personenbezogener Daten. Foto: Pexels

Die EU-DSGVO defi­niert kla­re Regeln und Anfor­de­run­gen für die Spei­che­rung per­so­nen­be­zo­ge­ner Daten. Foto: Pexels

Helko Kögel, Director Consulting von Rohde & Schwarz Cybersecurity.

Hel­ko Kögel, Direc­tor Con­sul­ting von Roh­de & Schwarz Cyber­se­cu­ri­ty.

Wäh­rend der Stich­tag immer näher rückt, müs­sen sich die Ver­ant­wort­li­chen durch eine Flut an Infor­ma­tio­nen kämp­fen. Zusam­men mit den Auf­la­gen und Buß­gel­dern schü­ren die kur­sie­ren­den Infor­ma­tio­nen oft­mals Angst vor den bevor­ste­hen­den Ände­run­gen.

Die EU-DSGVO als Chance verstehen

Dabei birgt die DSGVO gro­ße Chan­cen: Die Ver­ord­nung ist eine Moder­ni­sie­rung für wirk­sa­men und kon­kre­ten Schutz per­so­nen­be­zo­ge­ner Daten in Euro­pa. Unter­neh­men haben die Chan­ce, ihr Ver­trau­ens­ver­hält­nis gegen­über Kun­den, Part­nern und Mit­ar­bei­tern zu unter­mau­ern, wenn sie die Richt­li­nie umset­zen. Im Zeit­al­ter rasan­ter Digi­ta­li­sie­rung und daten­ge­trie­be­ner Wirt­schaft ist ein gewis­sen­haf­ter und inte­grer Umgang mit Infor­ma­tio­nen unab­ding­bar – Geschäf­te und Pro­zes­se im Ein­klang mit der EU-DSGVO bele­gen eine sol­che Hand­ha­bung.

Ein wei­te­rer Vor­teil: Um nach­wei­sen zu kön­nen, dass ein Unter­neh­men daten­schutz­recht­li­che Vor­ga­ben ein­hält, muss es ein Daten­schutz­ma­nage­ment­sys­tem ein­füh­ren. Die­se not­wen­di­ge Bedin­gung der Ver­ord­nung stellt einen hohen Nut­zen für das Unter­neh­men dar. Der Daten­schutz­be­auf­trag­te erhält über ein risi­ko­ba­sier­tes Manage­ment­sys­tem schnell eine Über­sicht über die lau­fen­de Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten und kann dar­auf sei­ne daten­schutz­recht­li­che Prü­fung auf­bau­en. Zudem ist im Fal­le einer Prü­fung durch die zustän­di­ge Auf­sichts­be­hör­de für Daten­schutz die Vor­la­ge des Ver­fah­rens­ver­zeich­nis­ses jeder­zeit mög­lich. Dar­über hin­aus gewähr­leis­tet ein sol­ches Ver­zeich­nis Trans­pa­renz und Qua­li­tät – auch gegen­über Drit­ten. Hin­zu kommt: Die EU-DSGVO schließt Back­door-Lösun­gen rigo­ros aus. Damit ver­schafft sie euro­päi­schen Unter­neh­men einen Vor­teil gegen­über dem glo­ba­len Wett­be­werb.

Grundsätze zur Gewährleistung der Datenverordnung

Kon­kret wird die Moder­ni­sie­rung des Daten­schut­zes durch meh­re­re Grund­sät­ze gewähr­leis­tet, die in Art. 5 der EU-DSGVO fest­ge­legt sind. Die zen­tra­len Prin­zi­pi­en der neu­en Ver­ord­nung lau­ten:

  • Recht­mä­ßig­keit und Trans­pa­renz: Ohne eine Ermäch­ti­gungs- bzw. Rechts­grund­la­ge dür­fen kei­ne per­so­nen­be­zo­ge­nen Daten erho­ben und benutzt wer­den.
  • Zweck­bin­dung: Die per­so­nen­be­zo­ge­nen Daten, für die eine Ermäch­ti­gungs­grund­la­ge vor­han­den ist, dür­fen nur zu dem Zweck ver­wen­det wer­den, für den eben­die­se Ermäch­ti­gung erteilt wur­de.
  • Daten­mi­ni­mie­rung: Die Daten­ver­ar­bei­tung muss auf das not­wen­digs­te Maß beschränkt wer­den.
  • Rich­tig­keit von Daten: Bei fal­schen und unsach­li­chen Daten hat das Daten­sub­jekt sofor­ti­gen Anspruch auf Berich­ti­gung bzw. Löschung.
  • Spei­cher­be­gren­zung: Die neue Ver­ord­nung besagt, dass die Daten­spei­che­rung auf den Zeit­raum der Ver­ar­bei­tung beschränkt ist und unbe­grenz­te Daten­spei­che­rung ver­mie­den wer­den muss.
  • Inte­gri­tät und Ver­trau­lich­keit: Die per­so­nen­be­zo­ge­nen Daten müs­sen ange­mes­sen gesi­chert wer­den vor Mani­pu­la­ti­on oder Fäl­schung. Vor dem Hin­ter­grund, dass die Zahl der Cyber­an­grif­fe auf Daten­ban­ken und Zugangs­be­rech­ti­gun­gen ste­tig steigt, hat die­ses Prin­zip in der EU-Ver­ord­nung einen neu­en Stel­len­wert.
  • Rechen­schafts­pflicht: Die Ein­hal­tung die­ser Grund­sät­ze muss nach­ge­wie­sen wer­den.

Zentrales Thema: Sicherheit der Datenverarbeitung

Ein wesent­li­cher Aspekt der EU-DSGVO ist die Sicher­heit der Daten­ver­ar­bei­tung. Um Inte­gri­tät und Ver­trau­lich­keit zu gewähr­leis­ten, müs­sen Unter­neh­men bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ergrei­fen, die einen Schutz vor unbe­fug­ter oder unrecht­mä­ßi­ger Ver­ar­bei­tung der Daten, ihren Ver­lust sowie ihre unbe­ab­sich­tig­te Zer­stö­rung oder Schä­di­gung sicher­stel­len. Die Wahl der kon­kre­ten Tech­no­lo­gien und Maß­nah­men soll dabei gemäß der Wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te der Betrof­fe­nen abge­wo­gen wer­den.

Konkrete Herausforderungen für Unternehmen

Die neu­en Prin­zi­pi­en stel­len Unter­neh­men vor kon­kre­te Her­aus­for­de­run­gen. Sie müs­sen Maß­nah­men ergrei­fen, die die Ver­trau­lich­keit, Inte­gri­tät und Belast­bar­keit der Sys­te­me und Diens­te sicher­stel­len und die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten gewähr­leis­ten sowie eine Wie­der­her­stel­lung der Daten ermög­li­chen. Vor allem die Abschät­zung des Risi­kos nach einer fest­ge­leg­ten Metho­dik – das Fach­wort lau­tet: Daten­schutz­fol­gen­ab­schät­zun­gen – stellt eine erhöh­te Anfor­de­rung an Unter­neh­men dar. Eine wei­te­re Her­aus­for­de­rung sind die erwei­ter­ten Infor­ma­ti­ons- und Aus­kunfts­pflich­ten gegen­über Betrof­fe­nen sowie eine gene­rel­le Aus­wei­tung der Betrof­fe­nen­rech­te.

Ein konzeptioneller Ansatz schafft Abhilfe

Um sich die­sen Her­aus­for­de­run­gen zu stel­len, emp­fiehlt sich die Ein­füh­rung eines soge­nann­ten Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tems (ISMS). Dar­in wer­den Ver­fah­ren und Regeln auf­ge­stellt, die dafür sor­gen, dass die benö­tig­te Infor­ma­ti­ons­si­cher­heit im Unter­neh­men zunächst defi­niert, dann umge­setzt und kon­ti­nu­ier­lich ver­bes­sert wird. Um dem erhöh­ten Anspruch der EU-DSGVO gerecht zu wer­den, bedarf es zudem eines breit auf­ge­stell­ten Port­fo­li­os an IT-Sicher­heits­lö­sun­gen, die auf allen Ebe­nen zusam­men­ar­bei­ten und inein­an­der­grei­fen. Dazu gehört das Ein­rich­ten siche­rer Netz­wer­ke, des Moni­to­rings, der End­points, Appli­ka­tio­nen und Clouds. Ver­ant­wort­lich für die Initi­ie­rung und Umset­zung der oben genann­ten Maß­nah­men ist immer der Daten­schutz­be­auf­trag­te und teil­wei­se der IT-Sicher­heits­be­auf­trag­te.

Roh­de & Schwarz Cyber­se­cu­ri­ty bie­tet umfas­sen­de Infor­ma­tio­nen zum The­ma EU-DSGVO an.