Blog Datensicherheit & Compliance

Machen Sie Ihre DSGVO-Hausaufgaben und reduzieren Sie damit die Gefahr von Strafzahlungen!

Was in Ihrer Schulzeit ein guter Ratschlag war, ist auch relevant, wenn es um Konformität mit der Datenschutz-Grundverordnung (DSGVO) geht: Machen Sie Ihre Hausaufgaben, weil Ihre Zensur davon abhängt. Bei...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Contents

    Was in Ihrer Schulzeit ein guter Ratschlag war, ist auch relevant, wenn es um Konformität mit der Datenschutz-Grundverordnung (DSGVO) geht: Machen Sie Ihre Hausaufgaben, weil Ihre Zensur davon abhängt. Bei der DSGVO gehört es zu Ihren Hausaufgaben, Maßnahmen für den Datenschutz durch Technikgestaltung zu entwickeln, umzusetzen und sicherzustellen, dass diese Richtlinien kommuniziert werden und dem Management bekannt sind.

    „Gute Notizen und meine Hausaufgaben machen“: Das war der erste Gedanke, der mir durch den Kopf schoss, als ich die im letzten Monat veröffentlichte Leitlinie über DSGVO-Strafzahlungen las. Das haben die EU-Behörden zu dem Thema zu sagen:

    „Diese Bestimmungen stellen keine Zielverpflichtung dar, sondern führen Verpflichtungen bezüglich der Methoden ein, d. h. der für die Verarbeitung Verantwortliche muss die notwendigen Beurteilungen vornehmen und angemessene Schlussfolgerungen ziehen. Danach muss die Aufsichtsbehörde die Frage beantworten, inwieweit der Verantwortliche unter Berücksichtigung der Art, des Zwecks oder des Umfangs der Verarbeitung im Hinblick auf die ihnen durch die Verordnung auferlegten Verpflichtungen ‚das getan hat, was von ihm erwartet werden konnte‘.“

    Die genannte Aufsichtsbehörde ist die früher als Datenschutzbehörde bezeichnete Stelle, die für die Durchsetzung der DSGVO im jeweiligen EU-Land zuständig ist. Wenn die Aufsichtsbehörde im Zusammenhang mit einer DSGVO-Beschwerde über eine Strafzahlung entscheiden soll, muss sie den Verantwortlichen (das Unternehmen, das die Daten sammelt) also fragen, ob er seine Hausaufgaben gemacht hat – „was von ihm erwartet werden konnte“.

    Die Datenschutz-Lehrer wissen es am besten

    In dieser Richtlinie sind weitere Faktoren vorgesehen, die sich auf die Höhe von Strafzahlungen auswirken, z. B. die Anzahl der betroffenen Personen, die Schwere des Schadens („Risiken für Rechte und Freiheiten“), die Kategorien der betroffenen Daten sowie die Bereitschaft zur Zusammenarbeit und Unterstützung der Aufsichtsbehörde. Man könnte argumentieren, dass einiges davon nicht mehr Ihrer Kontrolle unterliegt, sobald die Hacker die erste Verteidigungslinie durchbrochen haben.

    Aber was Sie kontrollieren können, ist der Aufwand, den das Unternehmen in sein Schutzprogramm zur Einschränkung von Sicherheitslücken gesteckt hat.

    Ich muss außerdem daran denken, was uns Sue Foster, Fachanwältin für Datenschutz bei Hogan Lovell, in unserem Interview darüber erzählt hat, wie wichtig das „Vorzeigen der geleisteten Arbeit“ ist. Mit einer weiteren Analogie zum Schulleben erklärte Frau Foster, dass man gute „Teilnoten“ bekommen kann, wenn man nach einem Vorfall den Behörden zeigen kann, dass man Schutzvorkehrungen eingeführt hat.

    Sie sagte auch voraus, dass wir weitere Leitlinien erhalten würden – und genau das ist die Funktion des oben erwähnten Dokuments: Es erklärt, welche Faktoren bei der Verhängung von Strafzahlungen im zweistufigen System der DSGVO berücksichtigt werden – in dem entweder 2 % oder 4 % der globalen Erträge verlangt werden.

    Die vorhandenen Datenschutzstandards zählen

    Die Leitlinie enthält auch sehr praxisrelevante Anweisungen im Bezug auf Compliance. Da sich viele Unternehmen bereits auf bestehende Datenschutzstandards wie ISO 27001 verlassen, sind die EU-Aufsichtsbehörden bereit, die Einhaltung dieser Standards positiv zu bewerten.

    „… alle „Best Practice“-Verfahren oder -Methoden sollten gebührend berücksichtigt werden, sofern sie existieren und angewendet werden. Industriestandards sowie Verhaltensregeln des jeweiligen Tätigkeitsbereichs oder Berufs sollten unbedingt berücksichtigt werden. Die Verhaltensregeln können Hinweise auf den Kenntnisstand über die verschiedenen Methoden geben, mit denen auf die typischen Sicherheitsprobleme im Zusammenhang mit der Verarbeitung eingegangen werden kann.“

    Wer das Kleingedruckte in der DSGVO lesen möchte, kann sich auf Artikel 40 („Verhaltensregeln“) berufen. Kurz gesagt heißt es, dass Normenverbände ihre Sicherheitskontrollen, z. B. PCI DSS, dem European Data Protection Board (EDPB) zur Genehmigung vorlegen können. Wenn ein Verantwortlicher dann einer offiziell genehmigten „Verhaltensregel“ folgt, kann dies die Aufsichtsbehörde von der Einleitung weiterer Maßnahmen – einschließlich der Verhängung von Bußgeldern – abhalten, solange der Normenverband, z.B. der PCI Security Standards Council – über einen eigenen Überwachungsmechanismus zur Überprüfung der Einhaltung seiner Standards verfügt.

    Aufgrund dieser speziellen DSGVO-Leitlinie sind diejenigen, die ihre Hausaufgaben gemacht haben und PCI-Konformität nachweisen können, sehr viel besser für den Umgang mit den EU-Aufsichtsbehörden aufgestellt.

    Nachweisbar DSGVO-konform

    Die DSGVO geht allerdings noch einen Schritt weiter. Sie hält auch einen Weg für eine Zertifizierung von Verantwortlichen hinsichtlich ihres Umgangs mit Daten offen.

    Im Endeffekt sind die Aufsichtsbehörden (durch Artikel 40) befugt, den Betrieb eines Verantwortlichen als mit der DSGVO konform zu zertifizieren. Die Aufsichtsbehörde kann auch andere Normenverbände für die Erteilung derartiger Zertifizierungen akkreditieren.

    In jedem Fall wird die Zertifizierung nach einem Zeitraum von drei Jahren ablaufen, worauf das jeweilige Unternehmen seine Zertifizierung erneuern muss.

    Es sollte erwähnt werden, dass diese Zertifizierung vollständig freiwillig erfolgen wird. Sie wird jedoch offenkundig für viele Unternehmen sehr vorteilhaft sein. Die Absicht dieser Regelung besteht darin, die vorhandenen Datenschutzstandards der Privatwirtschaft zu nutzen und Unternehmen einen praxisorientierten Ansatz für ihre Konformität mit den technischen und administrativen Auflagen der DSGVO zu bieten.

    Das EDPB wird voraussichtlich auch an Endverbraucher gerichtete Zertifizierungszeichen und -siegel und ein Register für zertifizierte Unternehmen entwickeln.

    Für weitere Informationen über die DSGVO-Zertifizierung werden wir auf weitere Mitteilungen der Behörden warten müssen.

    Auf kurze Sicht werden Unternehmen, die bereits Strukturen für Konformität mit PCI DSS, ISO 27001 oder anderen Datenschutzstandards eingerichtet haben, eine bessere Ausgangsposition hinsichtlich der Gefahr von DSGVO-Strafzahlungen haben.

    Und in allernächster Zeit könnte das „Europäische Datenschutzsiegel“ ein sehr begehrtes Element für Unternehmenswebsites werden.

    Wollen Sie Ihre Strafzahlungen infolge der DSGVO minimieren? Varonis hilft bei der Umsetzung zahlreicher Datenschutzstandards. Erfahren Sie mehr!

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    datenintegrität-:-was-ist-das-und-wie-ist-sie-aufrecht-zu-erhalten?
    Datenintegrität : Was ist das und wie ist sie aufrecht zu erhalten?
    datenintegrität-:-was-ist-das-und-wie-ist-sie-aufrecht-zu-erhalten?
    Michael Buckbee
    16. November 2018
    Wenn die Daten Ihres Unternehmens geändert oder gelöscht werden und Sie nicht wissen, wie, wann und von wem, kann das schwerwiegende Folgen für datengetriebene Geschäftsentscheidungen haben. Deshalb ist Datenintegrität absolut...
    so-schützen-sie-ihre-cloud-umgebung-vor-den-fünf-größten-aktuellen-bedrohungen
    So schützen Sie Ihre Cloud-Umgebung vor den fünf größten aktuellen Bedrohungen
    so-schützen-sie-ihre-cloud-umgebung-vor-den-fünf-größten-aktuellen-bedrohungen
    Lexi Croisdale
    1. Januar 1970
    Erfahren Sie mehr über die fünf größten Cloud-Bedrohungen für Ihre sensiblen Daten und wie Sie Ihr Unternehmen davor schützen können.
    eu-datenschutz-grundverordnung:-5-punkte,-die-sie-kennen-sollten
    EU-Datenschutz-Grundverordnung: 5 Punkte, die Sie kennen sollten
    eu-datenschutz-grundverordnung:-5-punkte,-die-sie-kennen-sollten
    Michael Buckbee
    15. Juli 2016
    Die europäischen Regulierungsbehörden meinen es ernst mit ihrer Datenschutzreform. Die Datenschutz-Grundverordnung (DS-GVO) ist eine komplette Überarbeitung der bisherigen EU-Datenschutzrichtlinie zur Verarbeitung personenbezogener Daten und steht kurz vor dem Abschluss. Wir...
    so-verwenden-sie-netcat-befehle:-beispiele-und-spickzettel
    So verwenden Sie Netcat-Befehle: Beispiele und Spickzettel
    so-verwenden-sie-netcat-befehle:-beispiele-und-spickzettel
    Michael Buckbee
    18. September 2020
    Erfahren Sie, was das Dienstprogramm Netcat ist und welche verschiedenen Befehle es unterstützt, um IT-Organisationen bei der effizienteren Verwaltung ihrer Netzwerke zu unterstützen.