DE | Deutsch
IT-Sicherheit 17.12.2019

DSGVO: So stellen Sie sich richtig auf.

„Datenschutz ist Grundrechtsschutz“, erklärte Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit Anfang Dezember. Er wacht über die Einhaltung der DSGVO und ahndet Verstöße. Seiner Ankündigung härter gegen Verstöße vorzugehen, folgen Taten. Zahl und Höhe der verhängten Bußgelder werden größer. Eine gefühlte Schonfrist für Unternehmen nach der Einführung im Mai 2018 ist vorbei. Wenn Unternehmen noch nicht umfangreich gehandelt haben, wird es nun höchste Zeit. In diesem Blog erkläre ich, wie sie Daten- und Informationsschutz zu Ihrem Thema machen …

Artikel teilen

Der richtige Einsatz von Datenschutz und IT-Sicherheit im Unternehmen sind entscheidende Erfolgs- und Wettbewerbsfaktoren. Darum sind Geschäftsprozesse ohne effiziente Datenschutz- und Informationssicherheit nicht mehr vorstellbar. Die 2018 eingeführte DSGVO hatte maßgeblichen Einfluss auf das vorherrschende Sicherheitsverständnis. Datenschutz und IT-Sicherheit können seit der Einführung nicht mehr getrennt voneinander gedacht werden. Im Gegenteil, die beiden Disziplinen stehen in direkter Abhängigkeit voneinander.

 

Warum ist das so? Datenschutz kann ohne eine vernünftige IT-Sicherheit in Unternehmen kaum erfolgreich umgesetzt werden. Das bedeutet: Wer DSGVO-Konformität erreichen möchte, muss auch die IT-Sicherheit in den Griff bekommen. Der Gesetzgeber verlangt von Unternehmen den „Stand der Technik“ zur Einhaltung des Datenschutzes sowie ein stärkeres Risikomanagement. Darüber hinaus müssen Unternehmen laut DSGVO nicht nur die Art, den Umfang und den Zweck der Verarbeitung, den Stand der Technik und die Kosten berücksichtigen, sondern auch die Eintrittswahrscheinlichkeit von Risiken.

 

Die zentrale Frage ist: Was können Sie konkret tun, um alle Anforderungen zu erfüllen? Klar ist, die Einführung von neuen Produkten und Sicherheitsmechanismen alleine reicht nicht.

 

Datenschutz ist Chef- und Mitarbeitersache.

Das Management trägt die strategische Verantwortung und die Haftung für die IT-Sicherheit sowie das Risikomanagement. Darüber hinaus ist die Unternehmensleitung auch dafür verantwortlich, dass ein Informationssicherheitsmanagementsystem (ISMS) umgesetzt wird. Hierfür müssen geeignete Ressourcen bereitgestellt werden, die die Informationssicherheit steuern, kontrollieren und kontinuierlich verbessern.

 

Zudem spielt die Compliance, also das Erreichen der Rechtskonformität, eine wichtige Rolle im IT-Bereich. Dazu gehören Informationssicherheit, Verfügbarkeit, Datenschutz und Datenaufbewahrung. Das alles können Management und IT nicht alleine erreichen. Die Mitarbeiter müssen mit ins Boot. Sogar gesetzlich verordnet. Nach Art. 39 Abs. 1 lit. a DSGVO müssen Mitarbeiter Schulungen zur Sensibilisierung erhalten. Ohne das Bewusstsein für Informationssicherheit und Datenschutz können Unternehmen ein betriebswirtschaftlich und rechtlich notwendiges Sicherheitsniveau nicht erreichen.

 

Datenschutz und Informationssicherheit

 

Dazu kommt, dass Cyberangriffe meist von Mitarbeitern gemeldet werden. Wenn sie sich der Gefahren aber nicht bewusst sind, können sie Vorfälle auch nicht erkennen. Darüber hinaus werden sie zu einem nicht zu unterschätzenden Risiko für Unternehmen – das beste Sicherheitskonzept ist wirkungslos, wenn Mitarbeiter beispielsweise den Anhang einer Phishing-Mail öffnen.

 

Zusammenfassung.

  • Entscheiden Sie sich für einen qualifizierten Sicherheitsstandard (z.B. ISO 27001, ISMS native oder IT-Grundschutz (BSI) unter Berücksichtigung der DSGVO)
  • Implementieren Sie ein Datenschutz- und Sicherheitsmanagement
  • Schaffen Sie angemessene fachliche und personelle Ressourcen
  • Legen Sie unternehmensweit und unter Einbeziehung aller Stakeholder die nötigen Schutzmaßnahmen fest; beachten Sie dabei das Thema IT-Compliance.
  • Führen Sie eine Bestandsaufnahme der Datenverarbeitung durch und ermitteln Sie das Schutzniveau der Daten und Prozesse mittels einer Risikoanalyse.
  • Dokumentieren Sie die IT-Systeme und Prozesse in einem Datenschutz- und Informationssicherheitskonzept.
  • Bei Bedarf: Zertifizieren Sie Ihr Unternehmen gemäß aktueller Sicherheitsstandards zur Einhaltung der DSGVO bzw. ISMS.
  • Schulen Sie alle Mitarbeiter und beachten sie die gesetzliche Nachweispflicht.

Ganz wichtig: Handeln Sie jetzt, um wirtschaftliche Schäden und persönliche Haftungsansprüche zu vermeiden.

heiner-golombek.png
Heiner Golombek
Leiter Datenschutz & Datensicherheit