An den Themen Datenschutz und Informationssicherheit kommt heute kein Unternehmen mehr vorbei. Der richtige Einsatz von Datenschutz und IT-Sicherheit sowie der Aufbau und die Pflege klarer „Spielregeln“ im Unternehmen stellen entscheidende Erfolgs- und Wettbewerbsfaktoren dar – sowohl im nationalen als auch im internationalen Umfeld. Warum? Die Sicherheit und Stabilität sämtlicher IT-Aktivitäten sind grundlegend für Unternehmen, Daten sind das höchste Gut, welches es zu schützen gilt. Darum sind heutige Geschäftsprozesse ohne effiziente Datenschutz- und Informationssicherheit nicht mehr vorstellbar.
Diesen Sachverhalt spiegelt auch die Gesetzgebung wider: Mit der Einführung der europäischen Datenschutz-Grundverordnung im Mai 2018 sind Organisationen mehr denn je zu einer rechtmäßigen Datenverarbeitung und dem Nachweis darüber verpflichtet. Aber damit noch nicht genug: Das Zusammenspiel von Datenschutz und Informationssicherheit wurde im Zuge der DSGVO grundlegend verändert. Wurden bis dato der traditionelle Datenschutz und die rein auf Abschottung basierende IT-Sicherheit getrennt voneinander betrachtet, stehen seit der Einführung der Datenschutz-Grundverordnung die beiden Disziplinen in direkter Abhängigkeit.
Symbiose von Datenschutz und Informationssicherheit. Was bedeutet das für Unternehmen?
Auch wenn es vielen Unternehmensverantwortlichen oftmals nicht klar ist: Die DSGVO bedeutet, dass sie sich zwangsläufig auch mit dem Thema IT-Sicherheit auseinandersetzen müssen. Denn IT-Sicherheit ist ein stärkerer Bestandteil des Datenschutzes als zuvor: Die DSGVO macht mit ihren Vorgaben zum Datenschutz gleichzeitig auch klare Vorschriften zum Thema IT-Sicherheit. Die Logik dahinter ist einleuchtend, denn Datenschutz kann ohne eine vernünftige IT-Sicherheit kaum erfolgreich in den Unternehmen umgesetzt werden. Für Organisationen bedeutet dies: Wer seine DSGVO-Konformität erreichen möchte, muss auch die IT-Sicherheit im Unternehmen in den Griff bekommen. Somit bildet eine stabile und verlässliche IT-Sicherheitsstrategie die Basis für die Umsetzung von Datenschutzmaßnahmen.
Status quo in vielen Unternehmen.
Noch immer haben längst nicht alle Unternehmen einen adäquaten Stand hinsichtlich der DSGVO-Konformität erreicht. Einer Bitkom-Umfrage zufolge gaben rund 24 Prozent der befragten Unternehmen an, dass sie die DSGVO-Vorschriften erst teilweise in ihrem Unternehmen umgesetzt haben – fünf Prozent haben (Stand September 2019) noch nicht mit der Umsetzung begonnen.
Die Folge: Datenschutzverstöße, drohende Bußgelder – aber auch negative Wahrnehmung bei Kunden oder Reputationsverlust. Doch welche Inhalte und Bestandteile gilt es im Zuge der DSGVO überhaupt zu beachten? Welche davon sind für Unternehmen noch nicht geläufig und erfordern dringenden Handlungsbedarf auf Firmenseite? Wir haben die wichtigsten Punkte für Sie zusammengestellt:
1. Datenschutz und IT-Sicherheit: keine Produkte, sondern eine Unternehmenskultur.
Im Zuge der Einführung der DSGVO haben sich die Vorgaben zur IT-Sicherheit und somit auch die „technischen und organisatorischen Maßnahmen“ geändert. Diese Maßnahmen mussten bislang nur in „angemessener Weise“ erfolgen – doch im Zuge der DSGVO sind eine höhere Compliance- und IT-Risikobetrachtung gefordert. Der Gesetzgeber verlangt vom Unternehmen den adäquaten „Stand der Technik“ zur Einhaltung des Datenschutzes sowie ein stärkeres Risikomanagement. Darüber hinaus müssen Unternehmen laut DSGVO nicht nur die Art, den Umfang und den Zweck der Verarbeitung, den Stand der Technik und die Kosten berücksichtigen, sondern auch die Eintrittswahrscheinlichkeit von Risiken für die Betroffenen.
2. Informationssicherheit und Datenschutz sind „Chefsache“.
Das Management trägt nicht nur die strategische Verantwortung, sondern auch die Haftung für die IT-Sicherheit und das Risikomanagement. Darüber hinaus ist die Unternehmensleitung auch dafür verantwortlich, dass ein Informationssicherheitsmanagementsystem (ISMS) umgesetzt und kontinuierlich verbessert wird. Denn ein ISMS ist allgemein betrachtet ein Rahmenwerk von Richtlinien, Verfahren und Regelungen einer Organisation. Hierfür müssen Unternehmen geeignete Ressourcen bereitstellen, welche die Informationssicherheit dauerhaft definieren, steuern, kontrollieren, aufrechterhalten und kontinuierlich verbessern: Diese Verpflichtungen sind auch in einigen Gesetzestexten verankert. Die Verantwortlichen müssen laut unterschiedlichster Gesetze und Vorschriften den Fortbestand der Gesellschaft sichern.
3. Gesetzliche Auflagen: IT Compliance und die Rolle der Geschäftsführung.
Was bedeutet Compliance? Im Grunde genommen die Einhaltung des Rechts auf allen Gebieten des Unternehmens – also das Erreichen der Rechtskonformität. IT-Compliance betrifft hauptsächlich die IT-Systeme in Unternehmen. Dazu gehören auch Informationssicherheit, Verfügbarkeit, Datenschutz und Datenaufbewahrung. Nachstehend einige Beispiele gesetzlicher Verankerungen von IT-Compliance, neben der DSGVO:
- IT-Sicherheitsgesetz (KRITIS): Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme
- KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
- GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Unterlagen in elektronischer Form
- SOX: Sarbanes-Oxley Act
- Basel II/III und MaRisk: Bonitäts- und Risikobetrachtung auf Basis von Ranking-Systemen
- KWG: Kreditwesengesetz mit bankenaufsichtlichen Anforderungen an die IT
- Produkthaftungsgesetz bzw. § 823 BGB (z. B. bei Softwarekauf)
- Teledienstgesetz (TDG): Gesetz über die Nutzung von Telediensten
- Telekommunikationsgesetz (TKG): Reguliert den Wettbewerb im Bereich der Telekommunikation
- Grundgesetz Art. 10 und G10-Gesetz (Brief-, Post- und Fernmeldegeheimnis zählen zu den Grundrechten)
- Urheberrechtsgesetz (UrhG)
- StGB: u. a. IT-bezogene Straftaten §§ 202a (Ausspähen von Daten), 202b (Abfangen von Daten)
Aus diesen und weiteren gesetzlichen Auflagen lassen sich auch die direkte Verantwortung der Geschäftsführung für die IT-Sicherheit und Datensicherheit im Unternehmen ableiten. Im Klartext bedeutet dies: Eine Nichteinhaltung kann zu persönlicher Haftung der Geschäftsleitung führen.
4. Die Mitarbeiter ins Boot holen: Awareness und Sensibilisierung.
Nach Art. 39 Abs. 1 lit. a DSGVO müssen Mitarbeiter Schulungen zur Sensibilisierung erhalten. Unternehmen sollten außerdem dafür Sorge tragen, dass im Rahmen einer Datenschutz-Schulung auch die IT-Sicherheitsaspekte des Datenschutzes thematisiert werden. Unternehmen müssen das IT-Sicherheits- und Datenschutzkonzept korrekt umsetzen und befolgen. Das gilt vor allem für die Mitarbeiter – es gibt hier klare gesetzliche Nachweispflichten. Ohne das Bewusstsein für Informationssicherheit und Datenschutz können Unternehmen nicht das Sicherheitsniveau erreichen, das aus betriebswirtschaftlicher und rechtlicher Sicht erforderlich ist. Aus diesem Grund sind regelmäßige Mitarbeiterschulungen und die Sensibilisierung für diese Themen (Awareness) unerlässlich.
Darüber hinaus sind Meldungen von Mitarbeitern der häufigste Weg, wie Cyberangriffe innerhalb von Unternehmen bemerkt werden – noch dazu ist das beste Sicherheitskonzept wirkungslos, wenn Mitarbeiter beispielsweise den Anhang einer Phishing-E-Mail öffnen, da sie sich der Bedrohung nicht bewusst sind.
All diese Punkte unterstreichen die immense Bedeutung von Datenschutz und IT-Sicherheit. Doch oftmals wissen Unternehmen nicht, welche konkreten Schritte sie nun gehen sollten, um einen angemessenen Schutz in ihrem Unternehmen sowie eine Gesetzeskonformität zu gewährleisten. Wenn Sie einen zuverlässigen und erfahrenen Partner an Ihrer Seite benötigen, steht Ihnen Bechtle gerne rund um die Themen Datenschutz und Informationssicherheit zur Seite. Wir haben einen Zehn-Punkte-Plan mit den wichtigsten Schritten für Sie zusammengestellt. Mehr dazu erfahren Sie in unserem Vortrag am 01. Oktober 2020 beim ersten virtuellen Bechtle Competence Day.
