actionbrowser.com
Art. 32 DSGVO verpflichtet den Verantwortlichen zur Gewährleistung eines angemessenen Schutzniveaus durch die Umsetzung von technischen und organisatorischen Maßnahmen nach dem Stand der Technik. Stellen sie sich als unzureichend heraus und es kommt zu einer Datenschutzverletzung, drohen dem Verantwortlichen neben hohen Bußgeldern auch Schadensersatzansprüche der Betroffenen. Der Gewährleistung eines ausreichenden IT-Sicherheitsniveaus kommt für Unternehmen folglich eine zentrale Bedeutung zu. Gleichwohl nennt die DSGVO keine konkreten Maßnahmen, sondern verweist lediglich exemplarisch auf einige abstrakte Möglichkeiten zum Schutz von Daten, wie etwa den Einsatz von Verschlüsselung. In der Praxis werden daher zur Ausfüllung von Art. 32 DSGVO technische Standards, beispielsweise das IT-Grundschutz-Kompendium in Verbindung mit weiteren Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder ISO 27001, herangezogen. Warum Sie ohne IT Sicherheit keine DSGVO-Konformität erreichen können. Dabei gilt es grundsätzlich zu beachten, dass es sich bei der DSGVO um europäisches Recht handelt und daher auch Art.
Was ist sonst noch wichtig? Achten Sie bei den Richtlinien darauf, dass die Richtlinien durchführbar sind, sie klare, nicht zu komplexe Beschreibungen enthalten, die Richtlinien sich nicht gegenseitig widersprechen und ihre Einhaltung überprüft wird. Machen Sie dabei deutlich, dass nicht zwingend alle Maßnahmen in jedem Fall zur Anwendung kommen. IT-Sicherheit in der Praxis: Art. 32 DSGVO mit Leben füllen. Vielmehr ist ein risikobasierter Ansatz richtig. Ist es in Einzelfällen nötig, von den verbindlich vorgegebenen Schutzmaßnahmen abzuweichen, so geht das nicht, ohne dies genau zu begründen, zu dokumentieren und mit den für die IT-Sicherheit und für den Datenschutz Verantwortlichen abzustimmen. Oliver Schonschek
Für die IT bedeutet das: Jede Sicherheitsverletzung, also erfolgreiche Malware Attacke, jeder unberechtigte Zugriff von außen (etwa durch echte Zugangsdaten die durch Phishing entwischt sind) und jeder Verlust eines unverschlüsselten USB-Sticks muss Behörden und Kunden gemeldet werden. Passiert das nicht drohen drakonische Strafen. 10-20 Millionen Euro (je nach Art des Verstoßes) bzw. 2-4% des weltweiten Umsatzes (der höhere Wert gilt) stellt die DSGVO in Aussicht. It sicherheit dsgvo 4. Was ist zu tun? Spätestens jetzt sollte sich jede IT Abteilung (erneut) Gedanken über Gefahrenabwehr im Bereich IT-Sicherheit machen. Vernünftige Antivirenprogramme und ein Patchmanagement sind hier nur die Basis. Verschlüsselung von USB Stick und Festplatten entscheiden im Zweifel darüber ob sämtliche Kunden über den Verlust eines USB-Sticks oder Laptops informiert werden müssen oder nicht. Applikationskontrolle schützt wirksam vor der Ausbreitung von Ransomware (die inzwischen Daten in die Cloud lädt und mit Veröffentlichung statt mit Löschung droht).