Denys Rudyi - Fotolia

EU-Datenschutz-Grundverordnung: Herausforderung für die IT-Sicherheit

Für die Erfüllung der EU-DSGVO muss oftmals die Sicherheitsstrategie angepasst werden. Keine leichte Aufgabe für kleine und mittlere Unternehmen.

Am 25. Mai 2018 wird die neue allgemeine Richtlinie zum Schutz der Daten der EU-Bürger, die Europäische Datenschutz-Grundverordnung (EU-DSGVO), verpflichtend in Kraft treten. Nicht mal mehr ein Jahr bleibt deutschen Unternehmen und Behörden somit, ihre IT-Sicherheitsarchitekturen an die neuen Anforderungen anzupassen.

Großunternehmen und Bundesbehörden wird dieser Prozess eher leichtfallen. Verfügen sie doch für gewöhnlich über gut aufgestellte IT-Sicherheitsabteilungen und einen Richtlinienkatalog, der ihnen die Arbeit an solch grundsätzlichen Anpassungen erleichtert.

Mittelständische Unternehmen und kommunale Institutionen dagegen werden bei der Umstellung rasch an ihre Grenzen stoßen. Ihre personellen Ressourcen sind weniger umfangreich und spezialisiert. Für grundlegende Umstrukturierungen der IT-Sicherheit wurde nur selten vorgeplant. Für sie bedeutet die Umstellung eine erhebliche Herausforderung.

Von der deutschen zur europäischen Datenschutzverordnung

Zur Vorbereitung an die ab 2018 geltende neue EU-DSGVO hat im Mai dieses Jahres der Bundesrat dem Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU-DSAnpUGEU) seine Zustimmung erteilt. Bei dem Gesetz, welches auch als BDSG-neu bezeichnet wird, handelt es sich um ein sogenanntes zustimmungspflichtiges Gesetz, daher war dessen Umsetzung von der Zustimmung des Bundesrates abhängig. Das Gesetz geht auf eine Initiative der Bundesregierung zurück und soll das deutsche Datenschutzrecht an die neue DSGVO anpassen.

Zum Hintergrund: Im Jahr 1995 war das BDSG über die EU-Richtlinie 95/46/EG, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr innerhalb des Europäischen Binnenmarktes regelt, an den europäischen Standard herangeführt worden.

Seit 1995 hat sich die Menge der erfassten, verwendeten und übermittelten personenbezogenen Daten jedoch deutlich erhöht. Die Preisgabe privater Daten gehört mittlerweile für die meisten EU-Bürger zum Alltag und für nicht wenige Unternehmen der EU stellt sie inzwischen einen Teil ihres Geschäftsmodells dar. Um der gewachsenen Bedeutung des Datenschutzes gerecht zu werden, bestätigte das EU-Parlament deshalb im Mai 2016 die neue Datenschutz-Grundverordnung EU 2016/679. Ziel ist es, das Vertrauen der EU-Bürger in die digitale Infrastruktur zu stärken, auf diesem Wege Digitalisierung und Vernetzung zu fördern und so letztlich die digitale Wettbewerbsfähigkeit der EU zu erhöhen.

Neben der persönlichen Kontrolle personenbezogener Daten und dem Datenschutz im Europäischen Binnenmarkt wird sie auch die Befugnisse von Strafverfolgungsbehörden und den rechtlichen Rahmen für den Datenverkehr mit dem außereuropäischen Raum regeln. 99 Artikel und 173 Erwägungsgründe umfasst die neue Grundverordnung. In ihnen werden juristische Vorgaben, wie das Recht auf Datenportabilität, das Recht auf Datenlöschung und die aktive Informationspflicht von Unternehmen bei Datendiebstahl geregelt.

Bis Mai 2018 haben Unternehmen und Behörden nun Zeit, ihre IT-Sicherheit an die neuen Vorgaben anzupassen. Tun sie es nicht, werden Bußgelder fällig. Bis zu vier Prozent des Globalumsatzes können dann von Gerichten als Strafzahlung geltend gemacht werden.

Die neue Verordnung – das sollten Sie wissen

Zwei Jahre Umstellungsfrist – ein knapper Zeitrahmen, befand der Landesbeauftragte für Datenschutz und Informationsfreiheit von Mecklenburg-Vorpommern, Reinhard Dankert, bereits 2016.  Anders sieht dies der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM), der die Problematik nicht überbewertet sehen möchte. So groß seien die Unterschiede zwischen Richtlinie 95/46/EG und Verordnung EU 2016/679 laut BITKOM nun auch wieder nicht. Doch ist auch der Bundesverband überzeugt, dass Unternehmen und Behörden bis Mai 2018 nicht um eine generelle Überprüfung und Neuausrichtung ihrer Datenschutzpraxis und ihres Datenschutz-Managements herumkommen werden. Einiges hat sich eben doch geändert.

Der zeitliche und personelle Aufwand der Umstellung wird dabei von Unternehmen zu Unternehmen variieren. Dass deshalb gerade kleine und mittlere Unternehmen mit der Umstellung zu kämpfen haben werden, davon ist dann auch wieder BITKOM überzeugt.

Herausforderung für kleine und mittlere Unternehmen

KMUs, kleinere Behörden und Kommunen verfügen nur selten über Fachkräfte mit ausreichendem Spezialisierungsgrad, die in der Lage sind, die Umstellungen durchzuführen und anschließend auch effektiv im Tagesgeschäft zu bedienen. IT-Sicherheitshersteller haben dies erkannt und deshalb schon vor Jahren begonnen, bei der Entwicklung ihrer Programme die personelle Schwachstelle ihres KMU-Kundensegments stärker zu berücksichtigen.

Benötigt wird deshalb eine effiziente und benutzerfreundliche Lösung mit einer zentralen Management-Konsole, die es auch weniger spezialisierten IT-Sicherheitsfachkräften ermöglicht, ihre Sicherheitsarchitektur auf dem aktuellen Gesetzesstand zu halten.

„Gerade bei den Audit-Funktionen ist es wichtig, dass die Persönlichkeitsrechte der Mitarbeiter berücksichtigt werden. Sie dürfen nicht zur Überwachung missbraucht werden.“

Sergej Schlotthauer, EgoSecure

 

Im Idealfall können die Anforderungen an Arbeitsaufwand und Spezialisierungsgrad der Administratoren dank einer einfach zu bedienenden Oberfläche der Lösungen auf ein Minimum reduziert werden – und dies, ohne die Effektivität der Sicherheitsmaßnahmen und die Einhaltung der staatlichen Vorgaben zu gefährden.

Besonders im Vorteil sind Nutzer von IT-Sicherheitslösungen, welche sich bereits an den Vorgaben des BDSG orientiert haben – dies gilt als eines der strengsten Gesetze innerhalb der EU. Wenn Artikel der kommenden EU-DSGVO bereits heute eingehalten werden, wird den Nutzern die Umstellung auf die neuen Vorgaben noch leichter fallen. Im Besonderen gilt dies für die Einhaltung der EU-DSGVO-Artikel 25, 30, 32, 33 und 34, die sich auf die Verhinderung von Angriffen durch Datenverschlüsselung, die Überwachung von Datenverletzungen ohne Verschlüsselung, die privilegierte Benutzerzugriffskontrolle, sowie die Erstellung von Audit-Daten und die Kontrolle der Datenübertragung in Echtzeit beziehen.

Von zentraler Bedeutung ist der Schutz von Datenspeichergeräten durch die Implementierung von Cloud-Verschlüsselung, Geräteverschlüsselung, sowie die Ordnerverschlüsselung und weiteren Lösungen. Eine effiziente Sicherheitslösung überwacht die Datenübertragung durch Audit-Funktionen und liefert Berichte über unverschlüsselte Dateiübertragungen.

Gerade bei den Audit-Funktionen ist es wichtig, dass die Persönlichkeitsrechte der Mitarbeiter berücksichtigt werden. Sie dürfen nicht zur Überwachung missbraucht werden, sondern können nur dann mitarbeiterbezogene Ansichten liefern, wenn die Arbeitnehmervertreter zustimmen.

Hier bietet sich die Regelung mit zusätzlichen Passwörtern an, die dem Betriebsrat oder Datenschutzbeauftragten zur Verfügung gestellt werden (4- bis 6-Augen-Prinzip). Zugriffskontrolle und Anwendungskontrolle sorgen dafür, dass niemand unbefugt Zugriff auf Anwendungen, Geräte oder bestimmte Dateitypen erhält. Ein hohes Maß an Sicherheit bietet eine Lösung zudem, wenn die Module die Datenübertragung in Echtzeit überwachen und Benachrichtigungen bei spezifischen Verhaltensweisen automatisch an eine zuvor definierte Stelle senden. Der Mai 2018 ist bereits näher als man denkt, daher sollten sich kleine Unternehmen und Behörden mit der Thematik zeitnah auseinandersetzen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Tools & Ratgeber zur Umsetzung der EU-DSGVO

Kostenloses E-Handbook: EU-Datenschutz-Grundverordnung richtig umsetzen

EU-Datenschutz-Grundverordnung: Der Countdown läuft

EU-Datenschutz-Grundverordnung: In sechs Schritten zur Compliance

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close