5 VOR EU-DSGVO DATENSICHERHEIT - (BVD) EV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Eine Publikation des Reflex Verlages zum Thema
5 vor eu-dsgvo
Datensicherheit
IT-Sicherheit ist die „Conditio sine qua
non“, um diese Bedingung dreht sich
alles. Sind Dateien beispielsweise auf
dem Laptop verschlüsselt, muss das
auf mobilen Endgeräten ebenso der Fall
sein. Always-on-Dateiverschlüsselungen
übernehmen die Daten.
Seite 6
Finanz- und
Forderungsmanagement
Nach EU-DSGVO wird der Umfang
der erhobenen Daten auf ein
Minimum reduziert. Besonders
im Finanz-, Versicherungs- und
Forderungsbereich sollen bis auf die
wirklich relevanten Datensätze keine
weiteren Informationen gesammelt,
verarbeitet und gespeichert werden.
Seite 8
Recht
Gebot für alle internen Maßnahmen sind
die möglichen rechtlichen Konsequenzen
bei Verstößen gegen die EU-DSGVO.
Im Einzelnen betrifft dies insbesondere
alle Datenverarbeitungsprozesse, die
personenbezogene Daten betreffen.
Seite 13
februar 2018
grusswort
Balance aus Risiken
und Chancen
Datenschutz kann als Drahtseilakt und Gratwanderung zwischen
den Anforderungen in Zeiten der Digitalisierung, dem Wunsch nach
Datenkontrolle und dem Erfüllungsgrad zunehmender Bürokratien
verstanden werden. Die Frage nach der Balance erscheint berechtigt.
Ob es den Schöpfern der EU-DSGVO gelungen ist, ein Werkzeug zu kre-
ieren, das faire Risiken und Chancen abwägt, bleibt zu hoffen. Für den
Schutz der persönlichen Daten ist es allemal ein Durchbruch. Jeden-
falls besteht bis zum Startschuss am 25. Mai 2018 noch Gelegenheit,
sich mit der Sicherheit und dem Schutz eigener und fremder
Daten kritisch auseinanderzusetzen. Das Gesetz wird so-
wohl Licht in die „Shadow-IT“ bringen, als auch durch
klare Regulierungsvorschriften mehr Kontrolle zulas-
sen und Vertrauen schaffen. An der zunehmenden dy-
namischen Entwicklung der Digitalisierung wird die
EU-DSGVO nichts ändern.
Karl-Heinz Möller
Chefredakteur
datensicherheit lösungen best practice
3 Leitartikel
Am 25. Mai diesen Jahres tritt die EU-DSGVO in
Kraft. Die neue Datenschutzverordnung ist diesmal
8 Finanz- und Forderungs-Systeme
Daten aus Finanz-, Versicherungs- und Forde-
rungsgeschäften gehören zu den Informationen mit
12 Compliance und Weiterbildung
In der Komplexität und im Umfang des neuen
Gesetzes spielen Aspekte der Complience eine be-
kein Papiertiger, sondern ein Monster mit scharfen großer Sicherheitsrelevanz. Vor, in und nach Transak- deutende Rolle. Um sie zu umzusetzen, bedarf es
Zähnen. Beste Vorbereitung in Unternehmen ist zu tionen werden vor allem für personennahe Daten aus- des ausführlichen Trainings und der Weiterbildung.
empfehlen, denn die Strafen bei Vergehen sind dras- führliche Vorgehensweisen gesetzlich vorgezeichnet.
tisch.
10 ePrivacy 13 Rechtsaspekte
Gesetze wie die EU-DSGVO zu verstehen
6 IT-Sicherheit Datentransfer
Für alle personenbezogenen Daten gelten neue
Bestimmungen. Ob Verwendung, Speicherung oder
Regeln für Datenschutz machen besonders
dann Sinn, wenn die persönlichen Daten im Rahmen
der elektronischen Kommunikation sicher verarbeitet
und richtig gesetzeskonform umzusetzen, ist
die vornehmliche Aufgabe von Juristen. Vor al-
lem sind nur sie in der Lage, Stolpersteine und
Weitergabe – für jede Aktivität ist Einverständnis des werden. In neuen Datenschutzkonzepten sind diese Fallen zu erkennen.
Betroffenen einzuholen. Die Vorgänge müssen sauber Anforderungen bereits eingeflochten.
dokumentiert, betreut und sicher verwahrt werden.
7 IT-Sicherheit Prävention
Stündlich werden Milliarden von Files durch die
11 IT-Managementsysteme
Die umfangreichen Vorgaben der EU-DSGVO in
ein IT-Management zu integrieren beziehungsweise ein
Netze geschickt, und das Augenmerk gilt insbeson- solches zu implementieren erscheint als eine sinnvolle
dere persönlichen Daten. Seien es Telefonnummern, Investition. Auf diese Weise sind regelbasierte geset-
Adressen, Codes oder digitale Schlüssel, als sensible zeskonforme Abläufe garantiert.
Informationen müssen sie mit höchster Sicherheits-
priorität behandelt werden.
Das Papier der Publikation, die im aufgeführten Trägermedium erschienen ist, stammt aus verantwortungsvollen Quellen.
Partner und Sponsoren
datensicherheit 3
leitartikel
Countdown für den großen
Daten-Check
Das neue EU-Datenschutzrecht klopft immer lauter an die Tür. Bis zum 25. den Strategien führen zu Wettbewerbs- he neuer Aufgaben. Unternehmen müs-
Mai dieses Jahres können Unternehmen und Behörden noch ihre IT-Systeme vorteilen und stärken die Positionen der sen ihre Geschäftsprozesse verändern,
und Organisationen anpassen. Dann läuft eine zweijährige Übergangsfrist agierenden Unternehmen. Daten löschen oder konsolidieren, Ein-
ab, und die nationalen Aufsichtsbehörden werden beginnen, die EU- Im Umfeld der nationalen Vorschrif- willigungstexte überarbeiten, neue Soft-
Datenschutz-Grundverordnung (EU-DSGVO) durchzusetzen. Alte nationale ten – hierzulande greift bisher das ware implementieren und alles penibel
„
Datenschutzregeln laufen dann aus oder werden angepasst. Deutschland nationale Bundesdatenschutzgesetz dokumentieren. Großunternehmen ver-
hat bereits ein neues nationales Datenschutzanpassungsgesetz BDSG – werden künftig die Regeln der fügen in der Regel über eigene Daten-
verabschiedet, weitere europäische Staaten folgen. EU-DSGVO verbind- schutzabteilungen
lich gelten. Sie harmo- und große Budgets,
nisieren innerhalb der Data-Governance um professionelle
M
Von Karl-Heinz Möller Europäischen Union ist vorbild für ein und großangelegte
den Datenschutz. Mit gesetzeskonformes D a t en s chut z -M a-
it dem tiefen Ein- den neuen rechtli- Datenschutzkonzept. nagement-Systeme
tauchen in das In- chen Rahmenbedin- aufzubauen bezie-
formationszeitalter gungen zum Schutze hungsweise neue
und der sich dyna- und zur Sicherheit der Daten geht eine Module in ihre vorhandenen IT-Lösun-
misch entwickeln- erhebliche Verschärfung der Bedingun- gen einzufügen. Mittelständlern fehlen
den technischen Möglichkeiten – die gen einher. Einschließlich empfindlich hingegen oft diese Ressourcen.
Rede ist von Speicherung großer Infor- hoher Strafzahlungen für Unternehmen Darüber hinaus führen Unsicherhei-
mationsmengen, automatischer Über- in Millionenhöhe, soweit sie die die Re- ten hinsichtlich der Handhabung der
mittlung und intelligenter Auswertung geln missachten. Regeln durch die Aufsichtsbehörden
der Informationen – avancieren die dazu, dass – oft in einem Vakuum zwi-
in diesem Prozess emsig gehandelten Unternehmen werden ihre schen Zaudern und Aktionismus – mit-
personenbezogenen Daten zum „Öl der Geschäftsprozesse anpassen müssen telständischen Unternehmen innovati-
Zukunft“. Neue Geschäftsmodelle ent- Für jedes Unternehmen, das sensible ve Projekte vorerst zurückstellen.
stehen per Analyse und Transformation Daten verarbeitet – und das sind prak- Um den Anforderungen der Daten-
der Datensätze. Die daraus resultieren- tisch alle – ergeben sich damit eine Rei- schutzgrundverordnung ge- III
gastbeitrag
Hohes Gut: einheitliche Datenschutzregeln
Mit der Datenschutzgrundverordnung haben wir erst- tationspflichten umsetzen. Völlig neu sind gesetzliche Praxisleitfäden von Verbänden. Für nicht wenige rächt
mals ein in den zentralen Punkten einheitliches Daten- Vorgaben wie die Berücksichtigung des Datenschutzes sich jetzt, dass sie das Thema Datenschutz zu lange ver-
schutzrecht in der Europäischen Union. Es gilt auch für bei der Produktentwicklung (Privacy by Design) oder die nachlässigt haben. Oft sind bis heute nicht einmal ein-
Unternehmen aus Drittstaaten. Das allein ist sehr positiv, Durchführung einer Datenschutz-Folgenabschätzung. fachste organisatorische Voraussetzungen geschaffen
sagt Achim Berg, Präsident des Digitalverbands Bitkom Solche Maßnahmen in einem Unternehmen zu integrie- worden. Die Folge: Vielen Unternehmen in Deutschland
ren, ist keine leichte Übung. In Kleinunternehmen fehlen drohen Millionen-Bußgelder.
Mit der Verordnung ist für Unternehmen aber auch ein dafür häufig das fachliche Know-how und das Bewusst- Aber auch für Unternehmen, die Maßnahmen ergrif-
erheblicher organisatorischer Aufwand verbunden. Sie sein für die Notwendigkeit. In großen Unternehmen ist fen haben, bleibt Rechtsunsicherheit. Sie können nicht
müssen zahlreiche neue Informations- und Dokumen- der Aufwand sehr hoch. Viele Unternehmen haben daher einschätzen, wie streng die jeweilige Datenschutzbehör-
Schwierigkeiten, die Daten- de die neuen Regelungen auslegt und wie genau sie die
verarbeitung bis zum Stichtag Umsetzung der neuen Vorgaben in Unternehmen prüfen
25. Mai 2018 gesetzeskonform wird. Viele hoffen, dass sie weiterhin unter dem Radar
anzupassen. der Behörden fliegen können. Sich zu verstecken ist aber
keine Lösung. Die Unternehmen müssen etwas tun.
Viele Unternehmen sind
hinterher Fairer Wettbewerb durch die
Im September 2017 hatte sich Datenschutzgrundverordnung
ein Drittel der Unternehmen Langfristig bietet die Datenschutzgrundverordnung
in Deutschland noch gar nicht mehr Rechtssicherheit für Unternehmen. Das Ziel der
mit der Datenschutzgrundver- Verordnung ist es, einen modernen und einheitlichen
ordnung beschäftigt. Nur 13 Rechtsrahmen in Europa zu schaffen. Das vereinfacht die
Prozent hatten damals mit ers- Arbeit von Unternehmen, die in mehreren europäischen
ten Umsetzungsmaßnahmen Ländern tätig sind, und sorgt auch für fairen Wettbewerb
angefangen. Viele wünschen zwischen den Standorten. Vorteile der Verordnung sind
sich deshalb zusätzliche Ausle- vor allem die einheitlichen Wettbewerbsbedingungen in
gungshilfen durch die EU, durch der EU. Davon können gerade auch kleine und mittlere
Unternehmensbefragung im Auftrag des Digitalverbands Bitkom, September 2017. die Datenschutzbehörden oder Unternehmen profitieren.
4 datensicherheit
III recht zu werden, und um den muliert finden sich dort rechtliche Vor- sind auch die Fragen zu beantworten, in sofern der Schutz personenbezogener
Aufwand kalkulierbar zu machen, kann gaben wie Zuständigkeiten für Daten, welchem Zusammenhang die personen- Daten verletzt wurde. Im Rahmen der
die Investition in eine spezielle Software Unterteilung der Daten, Definition von bezogenen Daten erfasst und verwendet EU-DSGVO ist für eine Datenschutz-Fol-
lohnen. Sie beinhaltet bereits den neu- Lebenszyklen. wurden. Beispielsweise welche Rechts- genabschätzung zu sorgen. Es geht um
esten Umsetzungsstand des Gesetzes grundlagen und Erlaubnisse damit ver- die Risikoeinschätzung, die ein daten-
und alle wesentlichen Informationen – Checklisten systematisieren bunden sind. verarbeitendes Unternehmen vor der
zum Beispiel Muster zur Beantwortung die Schritte zur Umsetzung der Beim Thema Informationspflicht Verarbeitung personenbezogener Daten
einer aufsichtsbehördlichen Anfrage. EU-DSGVO wird unterschieden zwischen der Er- vornehmen muss.
Da der Fokus auf den personenbezoge- hebung personenbezogener Daten bei
Sensibler Umgang mit nen Daten liegt, ist eine Analyse aller dem Betroffenen selbst und den Pflich- Elektronische Kommunikation wird
personenbezogenen Daten Daten notwendig, die dafür in Frage ten, wenn die Aufnahme nicht direkt effizienter und sicherer
Wie der Umgang mit Informationen im kommen. Eine Checkliste beginnt mit bei dem Betroffenen erfolgte. Grund- In Ergänzung zur EU-DSGVO wird an
Unternehmen zu erfolgen hat, gibt in der Klärung, was überhaupt unter per- satz ist die Transparenz im Sinne von einer „ePrivacy-Verordnung“ gearbeitet.
Grundzügen der Aufbau der EU-DSGVO sonenbezogenen Daten zu verstehen „Wer, was, wann bei welcher Gelegen- Da die EU-DSGVO nur generell die per-
vor. Das „Gesamtwerk“ ist ein komple- ist. Laut EU-DSGVO sind „personenbe- heit über eine Person weiß“. Konkret sönlichen Daten der Verbraucher und In-
xes Gesetzbuch mit elf Kapiteln und 99 zogene Daten alle Informationen, die geht es gegenüber Betroffenen um die ternetnutzer innerhalb der EU schützt,
Paragraphen („Artikeln“). Wegen ihrer sich auf eine identifizierte oder identi- Benennung eines Verantwortlichen, um wird das Datenschutzrecht für die welt-
besonderen Relevanz in der unterneh- fizierbare natürliche Person beziehen“. Informationen über den Zweck, um die weite elektronische Kommunikation re-
merischen Praxis finden die Artikel 5 Der Begriff „identifizierbar“ wird unter Interessen und die Rechtsgrundlage, formiert. Sie knüpft an die Regelungen
und 32 die größte Beachtung. Artikel 5 verschiedenen Aspekten der Identität sowie die Nennung des Empfängers. der Datenschutzgrundverordnung an
beschreibt die Grundsätze bezüglich erläutert (kulturelle Identität, Herkunft Beruht die Verarbeitung der Informatio- und postuliert die Voraussetzungen für
der Verarbeitung personenbezogener et cetera). Wichtig ist, dass nicht nur die nen auf einer Einwilligung, muss der im elektronische Kommunikation. Konse-
Daten. Im Artikel 32 steht die Sicherheit physische Identität, sondern auch die Unternehmen Verantwortliche nachwei- quenz: Wer künftig einen Cookie setzen
der Verarbeitung im Mittelpunkt. kulturelle und soziale Identität berück- sen können, dass eine Zustimmung der will, braucht das ausdrückliche Einver-
Kernpunkte wie diese sind die DNA sichtigt wird. Die Suche nach diesen Da- Betroffenen vorliegt. ständnis des Nutzers.
der EU-DSGVO. Sie sind der Schlüs- ten, die in der Regel in jeder Abteilung Maßnahmen und Ereignisse müssen Erwartungsgemäß finden sich in vie-
sel für ein gesetzeskonformes Daten- des Unternehmens auftauchen, ist eine dokumentiert und jederzeit nachvoll- len Artikeln der EU-Datenschutz-Grund-
schutzkonzept. Bestens geeignet für Detektivarbeit. Es sei denn, die Daten ziehbar sein. Bei Datenschutzvorfällen verordnung Aufgaben von Datensicher-
den Entwurf eines solchen Modells ist liegen bereits systematisch aufbereitet sind diese unverzüglich der Daten- heit im Allgemeinen und im Speziellen.
eine existierende Data Governance. For- im IT-System vor. In diesem Prozess schutzaufsichtsbehörde zu melden, Sicherheit ist eine übergeordnete Ins-
tanz für die Funktion des Gesamtsys-
tems. Der Wirksamkeit von Daten-
Umfrage zum Vertrauen in den Datenschutz bei deutschen Unternehmen 2017 schutz-Kontrollen fällt in der Checkliste
eine große Bedeutung zu.
Haben Sie bei deutschen Unternehmen (zum Beispiel Otto, Xing) mehr Vertrauen in die Datensicherheit als bei
Konkrete Hinweise enthält
amerikanischen (zum Beispiel Amazon, Facebook)?
die EU-DSGVO zur Pseudonymisierung
Deutschen Unternehmen vertraue ich … personenbezogener Daten und zu den
geeigneten Methoden der Verschlüsse-
lung. Maßnahmen zur Gewährleistung
der Vertraulichkeit, Integrität und die
Verfügbarkeit der personenbezogenen
Daten und der Verarbeitungssysteme
werden definiert. In regelmäßigen Inter-
vallen werden zur Wiederherstellung von
Daten und Systemen Zeiten festgelegt.
Alles in allem wird die EU-DSGVO
Quelle: Statista-Umfrage, 2017
die Unternehmens-IT fordern. Aber am
Ende wird ein Datenschutz geschaffen,
der diesen Begriff verdient. Die Vorfreu-
de auf den Monat Mai dürfte bereits
jetzt Frühlingsgefühle bei Verbrauchern
erzeugen. ●
werbebeitrag | unternehmensporträt
EU-DSGVO-konform mit IT-Sicherheit
Laut Gartner werden mehr als die Hälfte aller betroffe- mögliche Brennpunkte bei der Umset-
nen Unternehmen die EU-DSGVO-Richtlinien bis Ende zung der EU-DSGVO identifizieren, die
2018 nicht umgesetzt haben. Dabei müssen sich Unter- eigenen Workflows prüfen und vor allem
nehmen in der EU, die personenbezogene Daten spei- die IT-Infrastruktur absichern.
chern oder verarbeiten, bis zum 25. Mai 2018 an die neue Die G DATA Sof tware AG aus
Rechtslage anpassen, sonst drohen hohe Bußgelder. Deutschland bietet mit dem Layered- G DATA bietet Lösungen und Dienstleistungen, die einen EU-DSGVO-konformen
G DATA zeigt Unternehmen, wie sie mit ganzheitlicher Security-Konzept ganzheitliche IT-Si- Betrieb ermöglichen.
IT-Sicherheit EU-DSGVO-konform werden. cherheitslösungen, die Unternehmen
einen EU-DSGVO-konformen Betrieb ermöglichen. Mit Die G DATA Software AG bietet am 27.02.2018, zwi-
Aber welche Maßnahmen müssen konkret ergriffen Policy Management, Mobile Device Management und schen 10:00 und 11:00 Uhr das kostenlose Webinar
werden? Dragomir Vatkov, Head of Product Manage- Network Monitoring hat das Unternehmen unverzicht- „EU-DSGVO-konform mit ganzheitlicher IT-Sicherheit“
ment bei der G DATA Software AG, stellt klar: „Konfor- bare Werkzeuge für die effektive und effiziente Um- an. Erfahren Sie wie G DATA Software AG bei der Ein-
mität zur EU-DSGVO entsteht grundsätzlich auf einem setzung der Compliance-Richtlinien im Portfolio. Auf haltung der EU-DSGVO unterstützt und melden Sie sich
strategischen und organisatorischen Level, durch Do- Wunsch erstellen die Experten der G DATA Advanced ganz einfach direkt an:
kumentation und Prozessoptimierung“. Unternehmen Analytics gemeinsam mit Unternehmen maßgeschnei-
müssen einen Datenschutzbeauftragten benennen, derte IT-Compliance-Richtlinien. secure.gd/webinar
datensicherheit 5
werbebeitrag | unternehmensporträt
EU-DSGVO Umsetzung – Was kann ich jetzt noch tun?
Am 25. Mai 2018 werden die schäftsprozessen auf und doku- bin ich“ stellt Unternehmen oft vor Herausfor-
EU-Datenschutz-Grundver- mentiert zum Beispiel die Zwecke derungen. Sehr komplex wird das Thema Lö-
ordnung (EU-DSGVO) und das der Verarbeitung, die Kategorien schen von Daten. Wer sich hierzu noch keine
neue Bundesdatenschutzge- betroffener Personen und Daten, Gedanken gemacht hat, sollte spätestens jetzt
setz (BDSG) unmittelbar wirk- die Empfänger der Daten, die in die Konzeption einsteigen, wenn auch eine
sam. Bis dahin verbleiben nur Fristen zur Löschung wie auch Finalisierung in den verbleibenden Wochen wei-
noch wenige Wochen. Was Un- die technisch-organisatorischen testgehend unmöglich sein wird.
ternehmen jetzt noch tun kön- Maßnahmen zu ihrem Schutz. Der vorgenannte Überblick ist nicht abschlie-
nen, erklärt Barbara Scheben, Idealer Weise erfolgt zudem eine ßend; die EU-DSGVO stellt zahlreiche Anforde-
Partner bei KPMG. Zuordnung der Rechtsgrundla- rungen. Die ersten Schritte müssen aber getan
gen sowie der eingesetzten Sys- werden, um die künftige Datenschutzorganisation
Die Umsetzung der EU-DSGVO teme und Anwendungen. auch über den 25. Mai 2018 hinaus der EU-DSGVO
ist ein komplexes Unterfangen. entsprechend aufzustellen. Der Konzeptions- und
Sie zielt auf die Einrichtung eines „Wer noch am Anfang steht muss nun Risikoanalysen, Betroffenen- Umsetzungsphase werden Prüfungen des DSMS,
Datenschutz-Management-Sys- die Weichen richtig stellen“. rechte und Drittbeziehungen seien sie extern oder intern, folgen. Insoweit gilt: der
Barbara Scheben,
tems (DSMS) ab. Proaktivität, Re- Hierauf aufsetzend sind solche Weg ist das Ziel.
Rechtsanwältin, Partner, KPMG AG
gelkreisläufe und Dokumentation Wirtschaftsprüfungsgesellschaft Datenverarbeitungen, die ein
stehen im Vordergrund. Dies ist oft hohes Risiko für die Betroffenen www.kpmg.com
neu, war doch der Datenschutz, so die Erfahrung bergen, einer Datenschutz-Folgenab-
aus der Praxis, bislang eher reaktiv ausgestaltet. schätzung zu unterziehen. Bis zum 25.
Viele Unternehmen haben bereits Umsetzungspro- Mai. sollten diese Analysen priorisiert
jekte gestartet und werden zum 25. Mai 2018 einen und entsprechende Maßnahmen zur Da-
soliden Stand der Aktivitäten vorweisen können. Es tensicherheit eingerichtet werden. Mit
zeigt sich aber auch, dass ebenso viele Unternehmen Blick auf die Datenschutzorganisation
noch am Anfang stehen. Was nun zählt, sind die rich- sollten vor allem die Prozesse zur Sicher-
tigen Weichenstellungen zur Einleitung der wesentli- stellung der Betroffenenrechte wie auch
chen Maßnahmen. zur Meldung von Datenschutzverstößen
zum Stichtag konzipiert sein. Wichtig ist
Anwendungsbereich und Verarbeitungsverzeichnis zudem die Verwendung angepasster Vor-
Das künftige DSMS muss das Unternehmen als Ganzes lagen zur Einwilligung und Information.
umfassen, zum Beispiel auch Tochtergesellschaften Dienstleisterbeziehungen als Auftrag-
und Auslandsniederlassungen. Bemessungsgrundla- geber, Joint Controller oder Auftragneh-
ge für ein mögliches Bußgeld sind bis zu vier Prozent mer wie auch – ein Klassiker – im Rahmen
des „gesamten weltweit erzielten Jahresumsatzes des des konzerninternen Datenaustauschs
vorangegangenen Geschäftsjahres“. Es sind also nicht sind zu klären. Die Frage nach dem „Wer Die Zeit wird knapp – worauf es jetzt ankommt.
nur Compliance-Erwägungen, sondern auch Risikoer-
wägungen ausschlaggebend. Die Umsetzung hat auch
Gesellschaften außerhalb der EU zu umfassen, soweit
sich deren Waren oder Dienstleistungen an EU Bürger fokusinterview
richten oder deren Verhalten in der EU beobachtet wird.
Das Shared-Service-Center in Indien, die Produktion in
Südamerika, die Tochtergesellschaft in Afrika können „Cybersicherheit zuerst“
betroffen sein. Neben der EU-DSGVO ist die Umsetzung
der Öffnungsklauseln in den EU Mitgliedstaaten einzu-
kalkulieren; in Deutschland zum Beispiel das neue BDSG. Die Digitalisierung von Wirt- Investoren. Investitionen in Cy-
schaft und Behörden muss mit bersicherheit wirken flächende-
IT-Sicherheit einhergehen. Dr. ckend auf die Verfügbarkeit aller
Holger Mühlbauer, Geschäfts- digital vernetzten Infrastruktu-
führer des Bundesverbandes ren. Die neue Bundesregierung
IT-Sicherheit TeleTrusT, fordert hat die Chance, die eigene IT-Si-
konkrete Maßnahmen für die Er- cherheitswirtschaft zu stärken
höhung des Sicherheitsniveaus. und europäische und interna-
tionale Kooperationsprojekte
Welche Schritte wären jetzt aufzubauen.
wichtig? Die regierungsbil- Welche konkreten Maßnah-
denden Parteien müssen ein men sollten schnell und ge-
jährliches Budget von mindes- zielt umgesetzt werden? Neue
tens einer Milliarde Euro für die Anreizsyseme für den Ausbau
EU-Datenschutzgrundverordnung: Die Zeit läuft! Stärkung der Cybersicherheit von IT-Sicherheitsmaßnah-
von Behörden und Wirtschaft in den Koalitions- men nach dem Stand der Technik, Entwicklung
Dreh- und Angelpunkt des DSMS wird das Verarbei- vertrag aufnehmen, um dringend erforderliche neuer Basis-Sicherheitsprodukte, Programme
tungsverzeichnis, welches ein Unternehmen sowohl finanzielle und organisatorische Maßnahmen für Wirtschaft und Behörden, um Cybersicher-
als datenschutzrechtlich „Verantwortlicher“ als auch umzusetzen, die das Cybersicherheitsniveau in heits-Lösungen „made in Germany“ einzufüh-
als Auftragsverarbeiter zu führen hat. Es dient im Sin- Unternehmen und Behörden deutlich erhöhen. ren, Investitionen in Kooperationprogramme
ne der Rechenschaftspflicht als Basis-Dokumentation. Warum steckt in nachhaltiger IT-Sicherheit der zwischen Anwendern und Industrie, Usability-
Das Verarbeitungsverzeichnis geht weit über das bisher Schlüssel für den Erfolg digitaler Transformati- und Betriebsanforderungen von IT-Architek-
bekannte „öffentliche Verfahrensverzeichnis“ oder eine on? Der digitale Standort Deutschland wird da- turen an den Bedürfnissen des Mittelstandes
Auflistung aller IT-Systeme hinaus. Es setzt auf den Ge- mit nachhaltig attraktiver, auch für ausländische ausrichten.
6 datensicherheit
it-sicherheit und datentransfer
Limits auf dem elektronischen Highway
Von Karl-Heinz Möller
Täglich stehen in Unternehmen Fragen zur Sicherheit von Daten zur Debatte. Verwunderlich ist das nicht, lagern und strömen doch nahezu
alle bedeutenden Informationen in einem System von digitalen Netzen und Milliarden von Rechnern. Die Daten und deren Verkehr zu
schützen und zu sichern, ist existenziell. Diese komplexen Beziehungen und Zusammenhänge werden aktuell europaweit neu geregelt.
D
atensicherheit ist ein essenzieller Bestandteil des lokalen und globalen „unangemessene Verzögerung“ und soweit möglich unterrichten. Der Zeitraum in
Managements. Einerseits gelten Informationen heute als der größte dem die Datenschutzverletzung angezeigt werden muss beträgt 72 Stunden nach
Schatz von Unternehmen, siehe Google, Amazon oder Facebook, aber erster Kenntnisnahme. Nur wenn die Verletzung keine Folgen für die Rechte und
auch Zalando, Otto oder Deutsche Telekom. Andrerseits gehören die Daten den Freiheiten von betroffenen Einzelpersonen hat, kann von dieser Meldung abgese-
Personen, die sie selbst beschreiben und deren Urheber sie per se sind. Sie un- hen werden. Alle Einzelpersonen, die eine Verletzung der Privatsphäre erlitten ha-
terliegen daher einem besonderen Schutz. Datensicherheit im weiteren Sinne ben, müssen ebenfalls umgehend informiert werden.
dient vor allem der Vermeidung und Bekämpfung von Cyberkriminalität.
Im Unternehmen gehören zu den organisatorischen Maßnahmen der Da- Fragmentierung der Daten muss gesetzeskonform gelöst werden
tensicherheit unter anderem das regelmäßige Erstellen von Backups, deren Der Datenschutz gilt seit langem als das größte Hemmnis, wenn es bei Unterneh-
Aufbewahrung sowie Zugangskontrollen und Verlaufsprotokolle. Im Konzert men in Deutschland um die Entscheidung für Cloud-Computing geht. Trotzdem
mit Schutzsoftware gegen Viren und Schädlingsprogrammen richten sich steigt die betriebliche Cloud-Nutzung in Deutschland weiter an, wie der Cloud
diese Maßnahmen gegen den virtuellen Datenverlust. Monitor 2017 von Bitkom Research zeigt. Die Mehrheit der IT-Entscheider hält die
Cloud für entsprechend sicher: Nach den Ergebnissen der Bitkom-Umfrage halten
Anzeigepflicht bei Datenschutzverletzungen 57 Prozent ihre Unternehmensdaten in der Public Cloud für „sehr sicher“ oder
Personenbezogene Daten in Unternehmen müssen künftig im Rahmen „eher sicher“. Nur vier Prozent halten ihre Daten für „sehr unsicher“ oder „eher
der neuen Verordnung unter neuen Gesichtspunkten gesammelt und unsicher“. 37 Prozent können keine klare Aussage machen.
gespeichert werden. Darüber hinaus sind Unternehmen aufgefordert,
strengere Auflagen und Bedingungen bezüglich deren Nutzung zu erfül- Verschlüsselung auf allen Plattformen
len. Bei Einzelpersonen bedarf es nach EU-DSGVO einer ausdrücklichen Die ab dem 25. Mai anzuwendende Datenschutz-Grundverordnung könnte die Un-
Zustimmung. Wobei ein Einverständnis so deutlich formuliert sein sicherheit bei den IT-Managern noch verstärken: Der Veritas 2017 GDPR Report er-
muss, dass der Verwendungszweck klar hervorgeht. Die Genehmigung gab, dass sich fast die Hälfte (48 Prozent) der befragten deutschen Unternehmen
kann jederzeit widerrufen werden. noch in der Mitte des vergangenen Jahres nicht gerüstet fühlt für die EU-DSGVO.
Die fachliche Hoheit und Verantwortung für die Sicherheit trägt ein Die Fragmentierung von Daten und der fehlende Einblick in die Daten seien die
eigens dafür bestimmter Datenschutzbeauftragter (DSB). In Verwal- größten Herausforderungen. IT-Fachleute gehen dennoch nicht davon aus, dass
tungen, Behörden und Unternehmen sind diese Mitarbeiter dafür die Unsicherheit das Cloud-Wachstum spürbar bremsen. Bereits bestehende Da-
ausgebildet, speziell personenbezogene Daten umfassend zu schüt- tenschutzbedenken hätten dem Cloud-Boom bisher keinen Abbruch getan.
zen und entsprechend zu betreuen. Die Datenschutzbeauftragten In einer lückenlosen Verschlüsselung steckt auch hier die Lösung. Viele Pro-
müssen bei einem Verstoß alle relevanten Aufsichtsbehörden ohne gramme arbeiten nur auf einer bestimmten Plattform, zum Beispiel auf einem
Windows-PC, auf einem Android-Smartphone oder
in einer bestimmten Cloud. Sind Dateien auf dem
Desktop-PC verschlüsselt, muss das auf mo-
bilen Endgeräten ebenso der Fall sein. Soge-
werbebeitrag | unternehmensporträt nannte Always-on-Dateiverschlüsselungen
übernehmen Daten von allen mobilen Gerä-
ten, Laptops, Desktop-PCs, lokalen Netzwer-
Es ist nie zu spät! ken und Cloud-basierten File-Sharing-An-
wendungen. Spätestens das Inkrafttreten des
Gesetzes im Mai dürfte für genügend Über-
Mehr als 90 Prozent der Unter- Rein organisatorische Schritte – wie zeugungskraft sorgen, umfassende Sicher-
nehmen haben noch immer kei- bisher üblich – sind zwar augenscheinlich heitsmaßnahmen zu installieren. ●
nen vollständigen Überblick, kostengünstiger und einfacher einzufüh-
was die neuen Regelungen der ren, jetzt aber nicht mehr ausreichend. Im
Datenschutz-Grundverordnung Gesetz werden konkret Datenverschlüs- Rechte der Betroffenen
(EU-DSGVO) für Sie bedeuten und selung oder Pseudonymisierung nach dem Die drei wichtigsten Rechte sind Selbstbe-
welche Herausforderungen damit Stand der Technik verlangt. stimmung, Auskunftsanspruch und Löschung
verbunden sind, mahnt Clemens Als unabhängiger Krypto-Spezialist mit der Daten.
Härtling (CTO) von IDpendant. der Erfahrung von über zehn Jahren hat die
IDpendant die technische Umsetzung auf •J
ede Person muss der Speicherung und Ver-
Ein wesentlicher Teil beruht auf den gleichen Level gehoben. Mit Hilfe stan- arbeitung seiner Daten zu einem bestimm-
ten Zweck zustimmen. Mit Inkrafttreten
technischen Maßnahmen zum Da- dardisierter Produkte, wie zum Beispiel
der DSGVO 2018 genügt nicht mehr still-
tenschutz. Viele IT-Verantwortliche schieben das The- vom Weltmarktführer Gemalto, spielt es nun keine Rolle
schweigendes Einverständnis. Der Betroffe-
ma weil: mehr, welche Komplexität und kryptografischen Verfah-
ne muss aktive Zustimmung geben.
• Zu teuer! ren die Datenverschlüsselung haben muss oder welchen
• Verlangsamt Prozesse! Anforderungen die Authentisierung genügen muss. • Den Betroffenen steht ein Auskunftsrecht zu.
• Bringt nichts! Außerdem könnten Sie gleichzeitig die meisten Pass-
•D
ie Berichtigung, Löschung und Sperrung
wörter im Unternehmen abschaffen, eine E-Mail-Ver-
der Daten ist jederzeit möglich.
Gleichzeitig schüren viele IT-Hersteller noch die Angst schlüsselung einführen und damit Ihre IT-Sicherheit
vor Strafen in Hoffnung auf zusätzliche Umsätze. modernisieren. Dies bringt Pluspunkte bei Audits und Falsche, veraltete, widerrechtlich gespei-
Dazu Clemens Härtling: „Alle drohen mit der beschleunigte Arbeitsprozesse. cherte personenbezogene Daten müssen
EU-DSGVO. Sprechen Sie mit uns, dem marktführenden Lassen Sie sich überzeugen. Es ist nie zu spät! von den Datensammlern rechtzeitig ge-
Lösungsanbieter und lassen sich kompetent helfen. Ne- sperrt, berichtigt oder gelöscht werden.
benbei schaffen Sie die lästigen Passwörter ab.“ www.idpendant.com/dsgvo
datensicherheit 7
it-sicherheit und prävention
Volle Transparenz im Netz
Von Karl-Heinz Möller
Bei der Diskussion um Sicherheit sind zu unterscheiden die Daten der Privatsphäre und die in der Interaktion mit Unternehmen
und Behörden entstehenden Informationen. Im Fokus der Datensicherheit stehen nicht nur der Schutz der Daten vor Verlust,
Verfälschung, Beschädigung, Kopie, Missbrauch und Löschung durch organisatorische und technische Maßnahmen. Im engeren
Sinne gehören die stillschweigende und ungeregelte Weitergabe und Nutzung persönlicher Informationen ebenso dazu.
D
ank vereinheitlichter Regeln im Umgang mit schutz und IT-Sicherheit wird ausdrücklich definiert. nenbezogener Datensätze abzielen, machen diese Sys-
personenbezogenen Daten durch private Un- Unternehmen werden verpflichtet, IT-Sicherheitsmaß- teme sichtbar, was im Netzwerk vorgeht. Per Warnung
ternehmen und öffentliche Stellen gelten zu- nahmen unter Berücksichtigung des aktuellen Stan- wird ein tatsächlicher oder versuchter Zugriff auf sen-
künftig europaweit schärfere Bedingungen. Konkret des der Technik zu ergreifen, um ein dem Risiko ange- sible Bereiche des Firmennetzwerks angezeigt.
geht es insbesondere um die Wahrung von Rechten der messenes Schutzniveau zu gewährleisten.
Betroffenen und den Pflichten der Verantwortlichen. Prozesse müssen nahtlos ineinandergreifen
Zu den relevanten Neuerungen gehören beispielswei- Prävention schützt vor Datenverlusten Unternehmen mit großen Datenaufkommen gelingt
„
se das Recht auf Datenmitnahme beziehungsweise Mit der Verordnung einher geht die Forderung, dass mit System, tägliche Vorhersagen über ihr Datenauf-
Datenportabilität. Unternehmen besonders personenbezogene Daten bes- kommen, Sicherheitsvorfälle und drohende Engpäs-
Neu ist auch die Maßgabe eines Software-Designs, ser abschirmen. Ein wich- se zu erhalten. Wenn
bei dem Privatsphäre-Einstellungen mit Auslieferung tiger Schritt, solche Daten alle internen Prozesse
in Anwendungen und Produkten voreingestellt sind. besser zu schützen, ist das Unternehmen werden verpflichtet, nahtlos ineinandergrei-
Mit der Datenschutzfolgeabschätzung sollen Risiken Monitoring aller Vorgän- Maßnahmen nach aktuellem Stand fen, können Mitarbeiter
einer Datenverarbeitung und deren möglicher Folgen ge im gesamten Netzwerk. der Technik zu ergreifen. komfortabel in Echtzeit
für die persönlichen Rechte und Freiheiten der Betrof- Zum einen, um Sicherheits- auf gewünschte Daten
fenen künftig vorab beurteilt werden können. vorfälle durch Angriffe auf- zugreifen. Besonders aus-
Weiterhin ermutigt die EU-DSGVO zur Entwicklung zudecken, aber auch um den Abfluss von Daten sowohl sagefähige Informationen sind aus den Log-Daten zu
sogenannter Verfahrensregeln (Code of Conduct), um extern als auch intern zu vermeiden. In diesem Zusam- gewinnen, und eine kontinuierliche und automatisier-
die oft abstrakten Vorgaben für den eigenen Geschäfts- menhang spielen SIEM-Lösungen (Security Informati- te Auswertung erfolgt.
bereich zu konkretisieren. Das Verhältnis von Daten- on and Event Management) eine besondere Rolle. Organisationen, die personenbezogene Daten verar-
Die Fülle der Angebote von Lösungen beiten, müssen bis Mai ihre Strategien in die Praxis um-
für SIEM macht es schwer, eindeutig zu gesetzt haben, um ihre IT-Systeme vor Cyberangriffen
Unternehmen vor Datenklau rechtzeitig schützen
erkennen, was sich hinter dem Begriff zu schützen Der Weg zu einem ehrlichen Datencheck
wirklich verbirgt. Häufig werden die könnte über die Simulation einer Attacke erfolgen. Si-
Anforderungen auf Log-Management cherheitsexperten schlüpfen in die Rolle des Hackers
und die Analyse von Log-Files (Dateien, und sammeln alle relevanten Informationen für einen
die unter anderem Webnutzungen und Angriff. Nach der Identifikation von Sicherheitslücken
Adressen dokumentieren) reduziert. Ge- wird in Form einer Schwachstellen-Analyse ein Kon-
eignete Lösungen können Events und zept erarbeitet, um mögliche Lücken zu schließen. Eine
Log-Files sammeln, korrelieren und solche IT-Gesamtaufnahme umfasst die Infrastruktur,
analysieren und Sicherheitsvorfälle in die Anwendungen im Internet, die mobilen Geräte, die
Echtzeit analysieren, sowie Reports au- WLAN-Verbindungen, die zentralen Hardware-Kom-
tomatisch erstellen und nicht zuletzt ponenten und alle Web-Applikationen. Werden solche
einfach und schnell in bestehende Tests regelmäßig durchgeführt, ist ein relativ hohes
IT-Systeme integriert werden. Bei Cyber- Niveau an Vorkehrungen erreicht. Die totale Sicherheit
angriffen, die auf den Diebstahl perso- gibt es sowieso nicht. ●
werbebeitrag | produktporträt
Die Lösung heißt Verschlüsselung
Zahlreiche Unternehmen nutzen Cloud Als Spezialist für die Verschlüsselung Mit Boxcryptor ist einfach und schnell
speicherdienste wie Dropbox, Google von in der Cloud gespeicherten Daten, ein großer Schritt in Richtung EU-DSGVO
Drive & Co. Die Vorteile liegen auf der Hand: unterstützt Boxcryptor die EU-DSGVO Konformität gemacht. Sie müssen Ihre
Die Dateien werden zuverlässig gespei- Konformität in wesentlichen Punkten. Mitarbeiter nicht erst schulen, denn die
chert und die Arbeit im Team ist ein Leich- Das Unternehmen bietet Ende-zu- Verschlüsselungslösung integriert sich
tes. Boxcryptor von der Secomba GmbH Ende-Verschlüsselung auf höchstem nahtlos in bestehende Systeme, wie bei- EU-DSGVO konforme Speicherung personen
schützt dabei vor unautorisiertem Zugriff. Niveau, insbesondere für die Datenspei- spielsweise Active Directory und Single bezogener Daten in der Cloud mit Boxcryptor
cherung bei Cloudanbietern oder im Sign-on.
Zwei Dinge machen Unternehmen im Netzlaufwerk. Vorteile für Boxcryptor Kunden: Alle Kontaktieren Sie Boxcryptor und si-
Hinblick auf die EU-DSGVO Sorgen: Dro- Dank AES-256 und RSA-Verschlüs- Daten werden vor deren Speicherung in chern Sie sich 30 Prozent Rabatt auf un-
hende Strafzahlungen bei Fehlverhalten selung ist Boxcryptor eine „geeignete der Cloud verschlüsselt. Somit wird das ser Enterprise Paket mit dem Stichwort
und ein Imageschaden bei Datenverlust. technische und organisatorische Maß- Risiko durch Datenverlust erheblich redu- “Datenschutzgrundverordnung“.
Doch in beiden Fällen ist eine Risikomin- nahme“, die den unrechtmäßigen Zugriff ziert. Auch Partnern und Kunden ist so-
derung möglich. durch Dritte verhindert. mit klar, Sie nehmen Datenschutz ernst. www.boxcryptor.com
8 lösungen
finanz- und forderungs-it
Vorfahrt im elektronischen
Datenverkehr
Geo-Targeting auf der Basis von Big Data und Data-Mining sowie die Personalisierung der Daten haben in der jüngsten Vergangenheit zu vielen Vorteilen
aber auch erheblicher Kritik geführt. Mittlerweile setzt ein Umdenken ein. Es wird angestrebt, den Umfang der erhobenen Daten auf ein Minimum zu
reduzieren. Besonders im Finanz-, Versicherungs- und Forderungsbereich sollen bis auf die wirklich relevanten Datensätze keine weiteren Informationen
gesammelt, verarbeitet und gespeichert werden. Sicherheit und Schutz der Daten gehen vor.
Von Karl-Heinz Möller
D
ie neuen regulativen Anforderungen und strengen Regeln für den dieser Maßnahme ist das Ende des Monopols der Bankinstitute auf die Kontoinfor-
Schutz personenbezogener Daten sorgen im digitalisierten Finanz- mationen der Kunden.
und Versicherungsgeschäft für Handlungsdruck. Sichere Authentifi- Insgesamt ist beabsichtigt, das elektronische Bezahlen bequemer und günstiger
zierungsmethoden spielen dabei eine entscheidende Rolle. Das klas- zu gestalten. Der Prozess eines florierenden digitalen Binnenmarktes soll dabei eher
sische Pärchen Benutzername und Passwort hat damit weitgehend gefördert als gebremst werden.
ausgedient. Es ist vor allem für Transaktionen und Tätigkeiten mit der sensiblen Dabei konzentriert sich die EU-DSGVO ganz besonders auf den Schutz der In-
Ware Geld ein Auslaufmodell und wird von Mehrfaktoren-Authentizität abgelöst. timsphäre und nicht nur auf den Datenschutz im Allgemeinen. Um Complian-
Nicht nur die wachsende Zahl an Cyberangriffen, sondern auch der hingenomme- ce-Richtlinien zu genügen und den Datenschutz in diesem Sinne umzusetzen,
ne „Missbrauch“ von persönlichen Daten hat zu Initiativen und konkreten Schritten werden etliche Unternehmen ihren Anstrengungen auf eine höhere und weitreichen-
zum Schutz personenbezogener Daten und zur Anpassung des gesetzlichen Rah- dere Ebene heben. Sonst dürfte es kaum möglich sein, persönliche Daten im erfor-
mens an die zunehmenden kriminellen Aktivitäten geführt. derlichen Maß zu kontrollieren und zu verarbeiten.
Elektronisches Bezahlen soll nicht nur sicherer, sondern auch bequemer werden Auch künstliche Intelligenz könnte dem Schutz der persönlichen Daten dienen
Als übergeordnete Regelung enthält die EU-Datenschutzgrundverordnung detail- Ob es Chancen gibt, dass der Gesetzgeber noch Spielräume zu eigener Ausgestaltung
lierte Weisungen im Umgang mit personenbezogenen Daten durch Unternehmen des Schutzes personensensible Daten gibt, ist nicht endgültig entschieden. Immer-
und öffentliche Stellen. Zusätzlich wird im Rahmen der Zahlungsrichtlinie (PSD2) hin stecken in diesen III
der Europäischen Kommission die Sicherheit im elektronischen Zahlungsver-
kehr erhöht. Eine weitreichende Konsequenz
werbebeitrag | produktporträt
werbebeitrag | interview
Personendaten rechtzeitig löschen
„Digitalisierung braucht Sicherheit“
Finanzinstitute müssen Daten von Perso- Datensätzen, deren Aufbewahrung gegen
Stefan Wahle, Vorsitzender der Geschäftsführung nen zu denen keine Geschäftsbeziehung die gesetzlichen Vorschriften verstößt.
der Wolters Kluwer Software und Service GmbH, mehr besteht, nach Ablauf der Aufbe-
über Digitalisierung und Datenschutz wahrungsfrist löschen. Häufig finden die Schnelle und effektive Abhilfe
operativen Systeme aber eine Vielzahl emagixx verschafft Finanzinstituten
Worin sehen Sie die gravierendste Neuerung relevanter Datensätze nicht oder löschen einen Überblick über die Anzahl der
der EU-DSGVO? Unsere Welt wird zunehmend diese zu spät. Die emagixx GmbH bietet betroffenen Datensätze. Mit der Dienst-
durch die Digitalisierung bestimmt: Immer mehr hierfür Lösungen, die noch vor Inkrafttre- leistung Reorganisation steht zudem eine
Lebens- und Arbeitsbereiche verändern sich durch ten der EU-DSGVO greifen. Möglichkeit zur Verfügung, Problemfälle
Automatisierung, Robotik und künstliche Intelli- noch rechtzeitig vor in Kraft treten der
genz. Diesen globalen Trends kann sich letztlich Eigentlich sorgen operative Ban- EU-DSGVO zu löschen.
niemand entziehen. Daher ist es so wichtig, dass kensysteme durch das Setzen eines
das Recht auf informationelle Selbstbestimmung Kennzeichens dafür, dass inaktive Per-
unbedingt gewährleistet wird. In diesem Kontext ist die gravierendste Neuerung sonendaten fristgerecht gelöscht wer-
der EU-DSGVO der verstärkte Schutz der personenbezogenen Daten, der durch den. In einer Reihe von Fällen greift dieser
hohe Strafandrohungen unterstrichen wird – das ist aus meiner Sicht genau rich- Automatismus aber nicht. So werden
tig, damit sich die Digitalisierung im Sinne der Nutzer entfalten kann. viele inaktive Kunden gar nicht als sol-
Was tun Sie als Softwarehersteller für Steuerberater und Mittelstand, damit che erkannt. Auf familiären Beziehungen
die EU-DSGVO für Ihre Kunden nicht zum Hindernis im täglichen Geschäft wird? beruhende systemische Verknüpfungen
Wir verstehen uns als Innovator der Branche und erschließen unseren Kunden von inaktiven mit aktiven Datensät-
die Möglichkeiten der Digitalisierung. Damit sie dabei die erhöhten Datenschut- zen verhindern zudem das Setzen des
zanforderungen effizient erfüllen können, haben wir das „EU-DSGVO-Dashboard“ Löschkennzeichens. Außerdem kann
entwickelt. Es bietet den Anwendern unserer Software einen zentralen Zugriffs- das im System vorhandene Löschdatum
punkt für alle Fragen zum Schutz der personenbezogenen Daten und komfortable aufgrund von zum Beispiel migrations- Produkte von emagixx ermöglichen sicheres
Funktionen etwa für die Identifikation von Daten zur Löschung oder die Beant- bedingten „Reaktivierungen“ zum Teil Erkennen und Löschen problematischer
Datensätze
wortung von Auskunftsersuchen. erheblich vom gesetzlich geforderten ab-
weichen. Zusammengenommen handelt
www.addison.de es sich in der Regel um eine Vielzahl von www.emagixx.de
lösungen 9
III Informationen enorme ökonomische Pfründe. Für viele Verlage beispiels-
weise gehören die Auswertung und Weitergabe zum Geschäftsmodell. So hoffen
deren Marketing-Vorstände immer noch, dass es Auswege gibt, um weiterführende
Erkenntnisse aus der Verknüpfung von internen und externen Daten zu schöpfen.
Eine Lösung wäre ein verstärkter technischer Datenschutz, um den Zielkonflikt
zwischen Persönlichkeitsschutz und digitalen Innovationen einerseits und Nutzer-
freundlichkeit und Intimsphäre zu entspannen. Andere Möglichkeiten stecken in ei-
ner geschickt programmierten Verschleierung der Daten, die nur wenig Rückschlüs-
se auf die sich dahinter verbergenden Personen zuließen.
Auch der Einsatz künstlicher Intelligenz oder mit Kontroll-Algorithmen aufgebau-
te Programme sind denkbar. Die Phantasie der Juristen war in diesem Punkt wohl
nicht ausschweifend. IT-Experten denken auch an eine mit Datenschutzregeln ge-
fütterte und von Datenschützern kontrollierte Software, die über die Einhaltung von Persönliche Daten müssen beim Kauf
geschützt bleiben
Persönlichkeitsrechten wacht. Ganz zu schweigen von den Chancen, die eine Block-
chain-Technologie böte. Speicherereignisse könnten in Verzeichnissen vermerkt
und auf verschiedene Beteiligte, Rechner und Unternehmen verteilt sein. mittelten Daten ausschließlich dafür verwenden. Die Informationen dürfen keines-
falls in die Tätigkeit als Auskunftei mit einfließen.
Verantwortung im sensiblen Umgang mit Forderungen und Bei Forderungseinzug liegt eine Datenverarbeitung im Auftrag vor. Zu den ledig-
Abtretungen wird aufgeteilt lich unterstützenden Tätigkeiten können die Erstellung von Mahnungen, Feststel-
Ein großes Thema im Zahlungsverkehr ist der Umgang mit Forderungen. Werden lung der aktuellen Anschrift oder Überwachung des Zahlungseingangs gehören.
ausstehende Forderungen übertragen, gelten besondere Regelungen zum Schutz Eine wichtige Neuerung für Kunden ist das Recht auf Löschung gemäß
dieser Informationen, je nach Vertragsgestaltung. Tritt ein Gläubiger seine Forde- EU-DSGVO. Die betroffene Person kann von dem Verantwortlichen verlangen, dass
rung in Form eines Verkaufs an ein Inkassounternehmen ab, handelt es sich daten- die personenbezogenen Daten unverzüglich gelöscht werden, vor allem, wenn die
schutzrechtlich um den Fall einer Funktionsübertragung. Ein Inkassobüro macht Daten für den vorgesehenen Zweck nicht mehr notwendig sind. Das klingt nach
die Forderung im eigenen Namen geltend und handelt nicht weisungsgebunden. Bei echtem Verbraucherschutz. ●
diesem Verfahren wählt das Inkassounternehmen die Maßnahmen zur Beitreibung
der Forderung eigenverantwortlich.
Die Erhebung und Verarbeitung der Daten durch ein Inkassounternehmen erfolgt Missbrauch im Datenschutz
in diesem Fall für eigene Geschäftszwecke und unterliegt somit den Vorschriften In der Praxis häufig verletzte Normen und Verstöße:
des Bundesdatenschutzgesetzes (BDSG). Der Gläubiger kann sich bezüglich der
Übermittlung der Daten an das Inkassounternehmen ebenfalls auf diese Regelung • Es wurde kein Datenschutzbeauf- • Unterlassen der Unterrichtung des
berufen. Die Begleichung der Forderung kann als berechtigtes Interesse des über- tragter in der vorgeschriebenen Betroffenen bei der Nutzung von
mittelnden Unternehmens angesehen werden. Form bestellt. Daten für Werbezwecke und für den
Die Vorschrift greift so lange, wie kein schutzwürdiges Interesse des Schuldners Adresshandel.
• Bußgelder, wenn ein Auftrag im Rah-
überwiegt. Vorsicht sei nach Ansicht von Rechtsexperten beispielsweise dann gebo- men der Auftragsdatenverarbeitung • Verstöße bei der Erteilung einer Aus-
ten, wenn das beauftragte Inkassounternehmen gleichzeitig als Auskunftei tätig ist. nicht richtig, nicht vollständig oder kunft an den Betroffenen. Auskunft
Das Inkassounternehmen darf die ihm zum Zwecke des Forderungseinzugs über- nicht in der vorgeschriebenen Weise wird nicht richtig, vollständig oder
erteilt wurde. rechtzeitig erteilt.
werbebeitrag | unternehmensporträt
Was Sie über die EU-DSGVO wissen müssen
Die gute Nachricht vorab: Jedes Unternehmen, das den Auskunfteien ist auf alle Fälle weiter-
Datenschutz schon bisher ernst genommen hat, seine hin legitimiert.
Prozesse dokumentiert und einen Datenschutzbeauf- Die EU-DSGVO hält an dem Verbot
tragten hat, ist gut auf den bevorstehenden Geltungs- mit Erlaubnisvorbehalt fest. Danach
tags der EU-Datenschutzgrundverordnung (EU-DSGVO) ist jede Verarbeitung personenbezo-
am 25. Mai 2018 vorbereitet. Arvato Financial Solutions gener Daten zunächst verboten, so-
gibt hier einen Überblick über die wichtigsten Änderun- weit nicht eine Einwilligung vorliegt
gen und berät Sie gerne. oder eine Erlaubnisnorm greift. So ist
eine Datenverarbeitung zur Erfüllung
Die EU-DSGVO soll mit der Harmonisierung des Da- eines Vertrages – dazu gehört auch
tenschutzes EU-weit gleiche Wettbewerbsbedingungen die Durchsetzung offener Zahlun-
für Unternehmen schaffen. Ziel ist es, alle EU-Bürger in gen – sowie zur Wahrung berechtig-
einer datengetriebenen Welt vor Datenschutzverstö- ter Interessen zulässig.
ßen zu schützen. Einwilligungen sind allerdings nur
Die größte Veränderung betrifft den erweiterten wirksam, wenn diese „ informiert“ er-
Geltungsbereich. Er erstreckt sich auf alle Unterneh- folgen. Das heißt, Verbraucher müs- Sind Sie bereit für die EU-DSGVO?
men, die Daten von EU-Bürgern verarbeiten, und zwar sen vorab informiert werden, welche
ungeachtet ihres Firmensitzes. Sogenannte Öffnungs- Datenkategorien zu welchen Zwecken gespeichert wer- lenden Rechtsgrundlagen für die Verarbeitung der
klauseln erlauben den Staaten, Regelungslücken durch den. Das war auch bisher schon so. Aber die Rechte von Daten, Anordnungen der Aufsichtsbehörde oder Dritt-
nationale Gesetze auszufüllen. In Deutschland wird die Verbrauchern werden durch neue Transparenz- und er- landübermittlung sind bis zu 20 Millionen Euro oder
Verordnung durch das neue Bundesdatenschutzgesetz weiterte Informationspflichten weiter gestärkt. Damit vier Prozent des weltweiten Vorjahresumsatzes fällig.
ergänzt. sich der Verbraucher einfach informieren kann, ist es Außerdem müssen Unternehmen bei gravierenden Da-
sinnvoll, diese Angaben schon im Bestell- oder Antrags- tenschutzverstößen die Aufsichtsbehörde binnen 72
Was sind die wichtigsten Änderungen? prozess zu hinterlegen. Stunden informieren. Da heißt es, schnelle und effizien-
Absehbar ist, dass die neue EU-DSGVO Raum für In- te Prozesse zu etablieren.
terpretation bieten wird im Hinblick darauf, was sie für Welche Sanktionen gibt es? Sie möchten mehr erfahren? Dann laden Sie unser
Unternehmen in den verschiedenen EU-Mitgliedstaaten Die neue Verordnung soll nicht nur wirksam sein, son- White Paper herunter.
bedeutet. Die Erhebung und weitere Verarbeitung per- dern auch abschrecken. Entsprechend hoch sind die
sonenbezogener Daten durch Inkassounternehmen und Strafen. Bei Verstößen gegen Verbraucherrechte, feh- finance.arvato.com/dsgvo
10 lösungen
ePrivacy
Vorprogrammierter Datenschutz
Von Paul Trebol
Wie eine Lambda-Sonde in moderneren Automobilen, die die Abgase reinigt, kann in Software und Hardware der Datenschutz
von Hause aus eingebaut sein und einen rechtskonformen und sicheren Datenverkehr gewährleisten. Anwender, die beispielsweise
weltweit elektronisch kommunizieren und Waren erwerben und verkaufen, sichern sich damit ab. Diese und andere Regelungen
werden separat in einer Datenschutzverordnung für den Datenverkehr im Internet formuliert, der ePrivacy-Verordnung.
F
ür den Schutz und die Sicherheit der Daten in der EU-DSGVO geregelt wird, hat den Grund, dass ePrivacy-Verordnung entschieden, um die „personen-
bricht mit der einheitlichen Datenschutzgrund- die EU-DSGVO eine Grundverordnung ist und damit bezogenen Daten“ im internationalen elektronischen
verordnung ein neues Zeitalter in Europa an. lediglich die Grundsätze regeln soll. Hauptziel der Datentransfer in einer speziell eingerichteten Zone
„
Dass damit noch längst nicht alle Aufgaben rund EU-DSGVO ist es, natürliche Personen bei der Verarbei- zu schützen. Zudem gelten EU-Verordnungen im Ver-
um die digitalen Informationen, beispielsweise im tung personenbezogener Daten zu schützen. gleich zu Richtlinien unmittelbar in allen Mitglieds-
Verkehr via Internet zwi- Die ePrivacy-Verord- ländern und müssen nicht in nationales Recht umge-
schen Unternehmen, Lie- nung hat den speziellen setzt werden, ein Vorteil.
feranten, Kunden sowie Verordnung soll Bürgern wieder Schutz des Privatlebens
behördlichen Institutio- mehr Transparenz über die im Netz und den Schutz personen- Datensammeln wird erheblich erschwert
nen, gemacht sind, zeigt hinterlassene digitale Spur geben. bezogener Daten in der Datenschutz kann schon im Design Teil des Konzeptes
die sogenannte ePrivacy- elektronischen Kommu- sein. Beim „Privacy by Design“ sind Datenschutzanfor-
Verordnung. nikation im Fokus. Auch derungen direkt in der Spezifikation von neuen Pro-
Hintergrund: Eine „ePrivacy“ genannte Richtlinie wenn es an vielen Stellen große Schnittmengen gibt, dukten oder Funktionen berücksichtigt. Produkte mit
existiert in der EU seit 2002. Sie gibt eine Mindest- haben sich die EU-Datenschützer zur einer separaten der Funktion von „Privacy by Default“ müssen im initi-
vorgabe im Bereich des Datenschutzes alen Zustand einen hohen Datenschutz
an. Ergänzt wurde sie 2009 durch die des Kunden gewährleisten
Respekt der Privatsphäre auch im Job
Cookie-Richtlinie, die unter anderem Die Verordnung soll EU-Bürgern in
eine Einwilligung und Aufklärung der Zukunft wieder mehr Transparenz und
Nutzer beim Setzen von Cookies auf Kontrolle über die im Netz hinterlassene
Webseiten verlangt. Beide Richtlini- digitale Spur geben. Wer künftig einen
en ergänzen die europäischen Daten- Cookie setzen will, braucht ab Inkraft-
schutzbestimmungen. treten der ePrivacy-Verordnung das aus-
drückliche Einverständnis des Nutzers.
Spezielle Schutzzone im inter Mit ihr wurde ein weiteres Sanktions-
nationalen Datenverkehr via Internet modell erschaffen, das in Anlehnung
Da sich die elektronische Kommunika- an die Datenschutzgrundverordnung
tion seither dramatisch verändert hat, für Unternehmen das Risiko empfind-
sind zwangsläufig inhaltliche Anpas- licher Geldbußen bedeutet. Wegen der
sungen in der neuen ePrivacy-Verord- anhaltend heftigen Diskussion inner-
nung notwendig. Warum das alles nicht halb der EU steht ihr Inkrafttreten –
geplant war ebenfalls im Mai – noch
nicht fest. ●
werbebeitrag | interview
„Auf der sicheren Seite“
Instant Messaging ist aus Weil die Übermittlung nikation schneller, effizienter und be- geschützt, nach der Zustellung werden
dem Geschäftsalltag nicht vieler dienstlicher quemer. Inhalte des Kundentermins, sie gelöscht. Hosting und Betrieb er-
mehr wegzudenken. Marco Inhalte mit Whats- Arbeitsaufträge an die Mitarbeiter und folgen auf ISO 27001 zertifizierten Ser-
Hauprich, Senior Vice Pre- App nach einschlä- ein Foto des Flipcharts mit den Mee- vern, die ausschließlich in Deutschland
sident Digital Labs bei der giger Gesetzeslage ting-Ergebnissen – das alles geht zü- stehen. Der Dienst ist konform mit dem
Deutschen Post AG, erklärt im und spätestens nach gig an die richtige Person, ohne die bei Bundesdatenschutz und der kommen-
Interview, warum Unterneh- In k r a f t t r e t e n d e r E-Mails üblichen Cc- und Bcc-Verteiler. den EU-DSGVO sowie den Anforderun-
men sich nicht mehr zwischen EU-DSGVO schlicht Außendienstler sind via Messenger gen des Bundesamtes für Sicherheit in
Usability und Sicherheit ent- unzulässig ist. Von jederzeit und an jedem Ort schnell zu der Informationstechnik (BSI).
scheiden müssen. möglichen Risiken für erreichen. Und Administratoren ha- Und wer nutzt SIMSme Business be-
die Unternehmens- ben mit dem Management Cockpit ein reits? Zu unseren Kunden gehören unter
Die Deutsche Post hat sicherheit ganz zu intuitives Werkzeug zur Nutzer- und anderem Volkswagen Financial Services
mit SIMSme Business einen Messenger schweigen. Mit SIMSme Business können Lizenzverwaltung – auch vom Desk- sowie der Bayerische Landkreistag. Das
ausschließlich für den professionellen Firmen rechtlich sicher von den Vorteilen top-Rechner aus. Interesse für SIMSme Business geht
Einsatz auf den Markt gebracht. Warum der Messenger-Nutzung profitieren. Was macht Ihre App so sicher? Bei aber quer durch alle Branchen.
sollten Unternehmen SIMSme Business Was genau sind die Vorteile? Der SIMSme Business werden sämtliche Da-
statt WhatsApp einsetzen? Ganz einfach: Messenger macht die interne Kommu- ten mit Ende-zu-Ende-Verschlüsselung www.sims.me/businessSie können auch lesen
