DSGVO und Technologien: Wie ist das alles zu schaffen?

19.6.2018
Josef Javora
javora@globalsequr.cz

Das am 25. 5. 2018 die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist, wissen heutzutage wohl alle. Unternehmer, Unternehmen und sonstige für die Datenverarbeitung Verantwortliche müssen heute im Stande sein den „Einklang“ mit dieser Verordnung zu beweisen.

Aus den Veröffentlichungen der Datenschutzaufsichtsbehörde in den letzten Wochen ergibt sich, dass noch eine gewisse Zeit verbleibt, bis sie den Einklang mit allen Konsequenzen verlangen wird. Davon abgesehen – solange Sie noch nicht begonnen haben sich mit der DSGVO zu beschäftigen, wäre es gut es nicht weiter hinauszuzögern! Laut der Aufsichtsbehörde sollen die Strafen eines Verstoßes gegen den Einklang mit der DSGVO die Unternehmen nicht liquidieren, sondern abschrecken. Das ist wohl eine Nachricht, die es gilt nicht zu übersehen. Die Aufsichtsbehörde ist klein und hat keine Kapazität für unbegründete Kontrollen. Daher halten wir es für grundlegend, solche technische Sicherheitsmaßnahmen zu ergreifen, die die Preisgabe von personenbezogenen Daten verhindern und die Prüfung seitens der Aufsichtsbehörde durch eigene Fahrlässigkeit verursachen.

Schauen wir ein bisschen konkreter, was das in der Praxis heißt. Es ist nicht möglich in diesem Artikel alle Arten und Größen der Organisationen und Unternehmen zu behandeln. Nehmen wir als Beispiel ein mittelgroßes Unternehmen an – eine Fertigungs- oder Handelsfirma mit 50 bis 200 Mitarbeitern, das personenbezogenen Daten nicht umfangreich verarbeitet – mit anderen Worten, der Gegenstand des Unternehmens ist nicht die Verarbeitung von personenbezogenen Daten, sondern eine andere (Fertigungs- oder Geschäfts) Tätigkeit. Die Juristen neigen dazu, den Datenschutz aus Sicht des Rechtsgrundes der Verarbeitung, deren Legitimität, des Umfangs und der sich daraus ergebenden Risiken hervorzuheben. Viele andere Quellen legen aber auch Wert auf den Schutz der technischen Natur, also: was muss getan werden, um das Risiko einer Verletzung der Integrität und Vertraulichkeit der verarbeiteten personenbezogenen Daten zu eliminieren. Wichtig sind beide Ansichten, eine ohne die andere reicht nicht aus, um den Einklang mit der DSGVO sicherzustellen. Zuständige Person für die Erzielung und Erhaltung des Einklangs ist das Leitungsorgan der Gesellschaft.  Dieses benötigt grundsätzlich weder Rechtstheorien noch technische Details. Für das Leitungsorgan ist es wichtig den Einklang zu erzielen, zu erhalten, und zwar für angemessene Kosten, die dem Umfang der Verarbeitung der personenbezogenen Daten entsprechen.

Beide oben angeführten Ansichten können wir an einem vereinfachten Beispiel – Management des Gebäudebetretens – demonstrieren. Wollen wir das Gebäude absichern, statten wir es mit technischen Mitteln wie Schlösser aus. Wir regeln aber auch Prozesse (ob und wer die Räumlichkeiten betreten darf) und definieren interne Vorschriften (wohin wer darf und nicht darf). Das Risiko decken wir also auf drei möglichen Weisen oder mit deren Kombination ab: rechtlich – prozessual – technisch. Es entstehen eine ganze Reihe von möglichen Lösungen, unter denen wir wählen können und für die wir Prioritäten und die Zeitentwicklung definieren. Welche Technologien kann ich aus Erfahrungen mit der Einführung und nach dem ersten Monat des Betriebs der DSGVO empfehlen?

Im ersten Schritt möchte ich mich auf die Bereiche fokussieren, in denen es möglich ist mit minimalen Kosten eine erhebliche Sicherheitsverstärkung zu erreichen. Haben wir irgendwelche Mittel, die personenbezogenen Daten außerhalb der Firmenstruktur tragen, ist die Einschaltung der Verschlüsselungsfunktion zu bedenken. Die Betriebssysteme von Notebooks und Mobiltelefonen bieten gewöhnlich diese Möglichkeit an, ohne es extra kaufen zu müssen. Sollte die Anlage verloren gehen, kann es nicht zur Preisgabe der personenbezogenen Daten kommen.

Ein weiterer empfindlicher Punkt ist die Internetverbindung mit Firewall. Damit diese Zugangsstelle hinreichend ausgestattet ist und uns u.a. vor der Preisgabe der personenbezogenen Daten schützt, empfehlen wir eine renommierte Marke zu wählen, die sich auf diese Schutzart spezialisiert. Firewall sollte einen Cloudschutz einschließlich des bezahlten Unterstützungs- und Ergänzungsdienstes haben. Dies stellt aber eine größere Investition dar, wobei es nicht angebracht ist dies in Eile ohne die erforderliche Projektvorbereitung und Implementierung vorzunehmen. Es gibt allerdings Technologien, die die Firewalls der neuen Generation beinhalten, aber die auch als eine Dienstleistung angeschafft werden können – also ohne eine neue Anlage kaufen zu müssen.  Sie sorgen für den Schutz des Domain Name Systems des Internets (DNS-Schutz), Antimalware und Antispam (Schutz vor Malware und Email-Schutz). Sie überwachen den Betrieb und wenn der Nutzer z.B. versucht eine mangelhafte oder angegriffene Webseite abzurufen, wird ihm der Zugriff untersagt und der Verantwortliche wird informiert. Genauso werden Viren und andere Malware oder unechte E-Mail-Nachrichten entdeckt. Durch diese Maßnahme erhöhen wir erheblich den Sicherheitsgrad, einschließlich des Schutzes gegen Phishing-Eingriffe, Sozialengineering und andere Drohungen der Datenpreisgabe einschließlich der Preisgabe der personenbezogenen Daten. Die Dienstleistung wird monatlich oder jährlich berechnet, ohne in Lizenzen investieren zu müssen. Der Einsatz ist dabei schnell, einfach und ziemlich günstig.

Wir empfehlen auch die Schwachstellenverwaltung, das sog. Vulnerability Management, einzuführen. Wir alle wissen, wie wichtig es ist alle Anlagen mit gleichwelchen Betriebssystemen aktualisiert und richtig eingestellt zu haben. Wir wissen auch, dass die Systemaktualisierung allein nicht genügen: in Windows müssen wir beispielsweise auch Software wie Acrobat Reader, Internet Explorer, Flash Player, Microsoft Office und andere aktualisieren. Ähnlich ist der Fall mit Servern und anderen Netzinfrastrukturelementen. Eine größere Infrastruktur beinhaltet in der Regel eine große Menge von Elementen, die mehrfache Ansprüche auf Aktualisierungen einzelner Teile haben. Jeder von ihnen beinhaltet dann Schwachstellen, die ohne die erforderliche Aktualisierung eine Sicherheitsbedrohung für das ganze System darstellen. Die Schwachstellen entwickeln sich zudem im Laufe der Zeit. Es ist sehr schwierig ein größeres System in einem sicheren Zustand manuell ohne weitere Unterstützung aufrecht zu erhalten. Für die Geschäftsleitung ist es zudem schwierig die Kontrolle über den Zustand der Infrastruktur und somit auch die Sicherheit zu halten, so dass der Einklang, den so ein Schwachstellemanagement erfordert, tatsächlich andauernd Bestand hat. Auch dies kann als Dienstleistung erbracht werden, egal ob einmalig, oder – besser – regelmäßig, bzw. kann als Produkt gekauft werden und mit Ihren eigenen Fachleuten durch gezielte Schulung angewendet werden.

Die oben genannten Technologien oder andere Technologien, die für den Einsatz bei einer konkreten Organisation geeignet sind, ist es angebracht nicht blindlings einzuführen, sondern nur auf Grund einer komplex festgelegten EDV-Sicherheitspolitik. Nur so werden sie Sicherheit gewährleisten, die die Geschäftsführung erwartet und die im Einklang mit der DSGVO des jeweiligen Unternehmens steht.  

Abschließend ist festzuhalten, dass jedes Unternehmen seine spezifischen Bedürfnisse und Vorhaben hat und in der Informationsinfrastruktur verschiedene Aktiva verwaltet (also nicht nur personenbezogene Daten). Jedes Unternehmen befindet sich aktuell in einer anderen Situation und es ist daher individuell zu verfahren, um alle Prozesse im Unternehmen richtig zu begreifen und einzustellen,  damit individuelle Entscheidung für Investitionen in Technologien und auch deren Management Hand in Hand einhergehen.




Weitere Artikel des Verfassers Josef Javora



© 2019 Moore Stephens. All rights reserved. Sitemap Datenschutz-Bestimmungen Design by aboutblank - creative web design