IT-Compliance, IT-Security
IT-Compliance
Schon immer seit es Datenschutz gibt, ist ein Unternehmen verpflichtet, technische und organisatorische Maßnahmen zur sicheren Datenverarbeitung zu treffen. Die IT-Compliance ist in kleinen Unternehmen bislang meist nur „nebenbei“ gelaufen.
Nun sind die Anforderungen noch erweitert worden. Die Unternehmen müssen daher zunächst herausfinden, welche Sicherheitsmaßnahmen für die Compliance mit dem EU-DSGVO bei ihnen notwendig sind.
Das Bayerisches Landesamt für Datenschutzaufsicht sagt dazu:
"Die DSGVO spricht in Art. 32 von geeigneten technischen und organisatorischen Maßnahmen, die der Verantwortliche unter Berücksichtigung u. a. des Stands der Technik und der Implementierungskosten ergreifen muss. Folglich wird einerseits stets zu prüfen bleiben, was beim jeweiligen Verfahren als Stand der Technik angesehen wird. Anderseits wird auch die Verhältnismäßigkeit einer Maßnahme hinsichtlich des Aufwands zu diskutieren sein."
https://www.lda.bayern.de/media/baylda_ds-gvo_1_security.pdf
Jede datenverarbeitende Stelle (=Unternehmen) muss nachweisen können, dass sie ein Gesamtkonzept zur Einhaltung des Datenschutzes hat ("Rechenschaftspflicht"). Dieses muss sie auch regelmäßig kontrollieren und ggf. weiterentwickeln.
Privacy by Design and by Default
Es gilt der Grundsatz Privacy by Design and by Default: Bereits bei der Planung neuer Techniken und neuer Verarbeitungen sowie durch datenschutzfreundliche Grundeinstellungen ist der Datenschutz zu berücksichtigen.
Bisher waren die Unternehmen nicht verpflichtet, eine Risikonalyse bei der Implementierung neuer Prozesse vorzunehmen. Nun aber gibt es eine Pflicht zur Risiko- und Folgenabschätzung. Die Pflicht zu regelmäßigen Audits soll das Risiko von Datenschutzverstößen minimieren.
IT-Security ist durch die Neuerungen mit einer höheren Priorität zu behandeln. Die Sicherheit der personenbezogenen Daten muss nun nach "Stand der Technik" erfüllt werden. Es ist ein strengeres und umfassenderes Risikomanagement als bisher nötig, um mögliche Gefahren zu ermitteln, geeignete Maßnahmen zu entwickeln und umzusetzen sowie ein transparentes, zuverlässiges Reporting einzuführen (Verfahrensregister).
Dabei sind Cloud-Lösungen, Fremd-Anwendungen und Dienstleistungsketten zu berücksichtigen.
IT-Security umfasst Firewalls (Stand der Technik ist zB eine Next-Generation Firewall, veraltet IP-Table-Firewall), Intrusion Detection und Verschlüsselung. Veraltete Sicherheitskonzepte müssen angepasst werden. Die Unternehmen müssen Abwehrmechanismen gegen DDoS-Attacken, Antiviren- und Antimalware-Software einführen.
Die Anforderungen an die Identifizierungs- und Authentifizierungsmechanismen sind nun höher. Bei der Datenverarbeitung selbst sind Anonymisierung, transparente Speicherung und Verwendung der Informationen sowie das Einholen der Einwilligung zur Verarbeitung der persönlichen Daten das Thema.
Die geplante neue EU-E-Privacy-Verordnung führt nicht nur für Kommunikations- und Internetdienste, sondern für alle elektronischen Dienste neue Datenschutzkonzepte ein. Privacy-by-Default-Einstellungen sollen Standard in der Software für elektronische Kommunikation werden.
Und es geht hier nicht nur um drohende Bußgelder (https://www.heise.de/ix/meldung/Neue-EU-Datenschutzgrundverordnung-Vielen-Firmen-drohen-boese-Ueberraschungen-3900699.html) sondern auch normale Unternehmen müssen sich mittlerweile vor Cyber-Kriminalität schützen (http://www.spiegel.de/wirtschaft/unternehmen/uber-hielt-grossen-hackerangriff-geheim-57-millionen-menschen-betroffen-a-1179646.html).