DSGVO: IT-Sicherheit und Informationssicherheit sowie Datenschutz und Datensicherheit sind jetzt eine Einheit
Der 25. Mai 2018 markiert die endgültige Verschmelzung der Themen Informationssicherheit und IT-Datensicherheit auf Anbieter- und Unternehmensseite mit dem Bedürfnis der Nutzer und Bürger nach Schutz persönlicher Daten auf der Anwenderseite. Nach einer zweijährigen Übergangsphase ist die viel diskutierte und durchaus umstrittene Europäische Datenschutz-Grundverordnung (EU-DSGVO) für alle EU-Unternehmen verpflichtend in Kraft getreten. Alle Firmen in der EU sind somit ab diesem Datum gefordert, ihre IT-Systeme sowie IT-Sicherheitsrichtlinien und -architekturen entsprechend anzupassen. Mit der EU Datenschutzverordnung soll das Vertrauen der Menschen in die digitale Infrastruktur und Vernetzung gestärkt werden. Neu sind aus Verbrauchersicht beispielsweise:
- ein Recht auf Datenmitnahme
- ein Recht auf völlige Datenlöschung
- die aktive Informationspflicht von Anbietern beim Diebstahl von Daten.
Große Unternehmen und größere Behörden mit einem großen Stab von Juristen und IT-Fachkräften hatten sich schon lange vor dem „Datenschutz-D-Day“ mit den neuen Richtlinien für den radikal formulierten, neuen Rahmen für Datenschutz beschäftigt. Doch wie sieht es aus mit dem Mittelstand in Deutschland, der rund 90 Prozent aller Organisationen ausmacht?
Mittelstand ist von neuen Datenschutzbestimmungen völlig überfordert
Eine Bitkom Befragung zeigte ganz klar (vgl. Grafik): Nur ein Viertel der vorwiegend mittelständischen Unternehmen konnte wohl die weitreichenden Datenschutzrichtlinien pünktlich umsetzen. Das verwundert nicht: Es fehlt ihnen im Tagesgeschäft mehrheitlich an zeitlichen und personellen Ressourcen, an entsprechender inhaltlicher und juristischer Spezialisierung sowie Planungs- und Umsetzungskompetenz. 58 Prozent der Unternehmen in Deutschland hielten den Aufwand für die Umsetzung außerdem für zu hoch. Jedes zehnte deutsche Unternehmen sieht durch die DSGVO sogar Gefahren für ihr Geschäftsmodell.
Wenn Sie als KMU digital Daten verarbeiten und beim Thema EU-DSGVO bisher die Beine still gehalten haben, sollten Sie jetzt dringend handeln! Zum einen drohen saftige Geldbußen bei Verstößen gegen den Datenschutz und im Umgang mit personenbezogenen Daten. Die Strafen können sich je nach Tragweite des Verstoßes gemäß Artikel 83 Absatz 5 der DSGVO auf bis zu 20 Millionen Euro belaufen. Bei schweren Verstößen – was dies bedeutet, ist bislang weitgehend unklar – sind bis zu vier Prozent des weltweiten Jahresumsatzes vorgesehen.
Zum anderen – und das heißt Alarmstufe rot vor allem für kleine und mittelständische Unternehmen – bringt die EU-DSGVO eine extreme Verschärfung der Haftung für Führungskräfte, Geschäftsführer und auch IT-Leitungen. Sie haften als „natürliche Personen“ nun sogar ggf. persönlich, wenn es zu Verletzungen des Datenschutzes und der Datensicherheit kommt: bis hin zu strafrechtlichen Konsequenzen und sogar Haftstrafen! Denn ab jetzt kann jeder Geschädigte jeden Schädiger persönlich haftbar machen.
Datenschutz & Datensicherheit intensivieren, die IT konform gestalten: Was sollten KMU jetzt tun?
Es ist „Datenschutz-Alarm“: Mittelständler benötigen jetzt angesichts der neuen gesetzlichen Anforderungen eine eingehende Beratung und ein Konzept für ein neues, effizientes und benutzerfreundliches IT-Sicherheitskonzept, das auch finanzierbar ist. Wenn Sie die Anforderungen des Bundesdatenschutzgesetzes gut erfüllen, sind Sie mit Ihren IT-Systemen für die neuen verschärften Datenschutzbestimmungen bereits gut aufgestellt. DGSVO-konformer Datenschutz sollte vor allem folgende Anforderungen erfüllen:
- Aus der formellen Gesetzesperspektive gesehen: Die IT-Sicherheitslösungen sollten einen zeitgemäßen, maximalen Schutz vor Cybergefahren und vor Industriespionage bieten. Die DSGVO fordert von Anbietern, dass sie ihre IT-Systeme entsprechend des „Stands der Technik“ absichern. Dies ist eine sehr offene und interpretierbare Formulierung, die durchaus vom Gesetzgeber so gewollt ist.
- Möglichst viele kundenbezogenen Daten sollten verschlüsselt sein, um Cyberangriffe auf IT-Landschaften zu erschweren.
- Der gesamte Datenverkehr mit verschlüsselten oder nicht verschlüsselten Daten sollte möglichst in Echtzeit überwacht und dokumentiert werden. Auffälligkeiten und Verstöße gegen die Datensicherheit sollten klar dokumentiert werden und ggf. bei einer klar definierten Stelle – zum Beispiel dem internen oder externen Datenschutzbeauftragten – hinterlegt bzw. gemeldet werden. Nur so kann die IT-Sicherheit eines Unternehmens die gesetzliche Meldepflicht von Cyberattacken durch die neue Datenschutzgrundverordnung sicherstellen.
- Die Datenspeicher Hardware sollte verschlüsselt sein, inklusive der Cloud Speicherlösungen und der untergeordneten vertikalen Ordnerstrukturen.
- Der Zugriff zu Datenträgern mit personenbezogenen Daten und die Benutzung der Daten muss klar mit einem dezidierten Authentifizierungs- und Passwort-Management geregelt, dokumentiert und kontrolliert werden und einen unbefugten Zugriff ausschließen.
- Sicherheits-Audits im Sinne von ISO 27000ff mit/ohne Zertifizierungen sollten auf die neuen, verschärften Anforderungen angepasst werden. Das betrifft Themen wie die Erstellung von Audit-Daten, die Umsetzung von Audit-Funktionen, die stärkere und verpflichtende Sensibilisierung der Belegschaft, die stärkere Berücksichtigung der Persönlichkeitsrechte der Mitarbeiter oder die ganzheitliche DSGVO-konforme Zertifizierung des IT-Sicherheitsbeauftragten.
Fühlen Sie sich als mittelständisches Unternehmen allein gelassen oder völlig überfordert?
Final Systems unterstützt Sie mit professionellen Partnern an der Seite beim Aufbau eines effizienten, auf KMU zugeschnittenen Konzepts für optimierte IT-Sicherheit sowie bei der zielgerichteten und zeitgemäßen Einhaltung gesetzlicher Datenschutzanforderungen. Wir helfen Ihnen als Geschäftsleitung, Ihre persönliche Haftung und die Haftung des Unternehmens zu minimieren. Erfahren Sie mehr über unsere Datenschutzkonformen IT-Lösungen!