Verbraucherrechte, Datenschutzverpflichtungen und Reaktion auf Verstöße

Dr. Ann Cavoukian im Gespräch mit Varonis

Eine der wichtigsten Neuerungen in der EU-Datenschutzgrundverordnung und gleichzeitig eine von den Richtlinien, die äußerst kontrovers diskutiert wurden, ist die Benachrichtigungsfrist innerhalb von 72 Stunden nachdem ein Datenschutzvorfall bekannt geworden ist. Die Forderung richtet sich an Unternehmen und betrifft Datenschutzverstöße bei denen persönliche Daten von Verbrauchern betroffen sind.

BITKOM-STUDIE VOM JULI 2016

Der Streit zwischen den EU‑Behörden und Google schwelt schon seit Langem. Bislang war unklar, ob das Unternehmen gezwungen werden kann, Links aus Suchergebnissen zu entfernen. Am Dienstag schließlich fällte der Europäische Gerichtshof ein endgültiges Urteil gegen Google. Die Entscheidung wird als Sieg für die Verfechter des „Rechts auf Vergessenwerden“ gefeiert. Diese Worte tauchen in dem Gerichtsbeschluss allerdings gar nicht auf. Vielmehr ist es so, dass die geltenden EU‑Regelungen, namentlich die Datenschutzrichtlinie, Verbrauchern andere weitreichende Datenschutzrechte einräumen.

Neu sind sie in deutschen Unternehmen nicht, die Forderungen ein umfassendes Compliance-Management einzuführen. Schon vor etwa 10 Jahren begannen Beratungsunternehmen gemeinsam mit Experten aus der IT-Sicherheit damit, das Thema an Unternehmen heranzutragen. Aus den gesetzlichen Vorgaben leitet sich ein Anforderungsprofil ab, das sich in den letzten Jahren sukzessive erweitert hat.

ÜBERSICHT Im August 2009 erließ der Deutsche Bundestag das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Sicherheit der Informationstechnologie der deutschen Regierung stärken soll.

SARBANES-OXLEY (SOX) UND VARONIS

Im April hat der PCI-Council die Version 3.1 seines Datensicherheitsstandards PCI-DSS veröffentlicht. Es handelt sich bei den meisten Änderungen dieses Minor Release zwar eher um Klarstellungen, doch im Hinblick auf sichere Kommunikationsprotokolle gibt es zumindest eine bedeutende Aktualisierung: Der Council hat beschlossen, dass SSL und TLS 1.0 nach dem 30. Juni 2016 nicht mehr eingesetzt werden dürfen.

Hintergrund Die Internationale Organisation für Normung (International Standards Organization, ISO) ist die weltweit größte Vereinigung zur Erarbeitung von Standards. Zu ihren Mitgliedern gehören die nationalen Normungsgremien überall auf der Welt, einschließlich Nord- und Südamerika, Europa und Asien. Die Normen werden von technischen Sachverständigenausschüssen entwickelt und vor der Veröffentlichung eingehenden Untersuchungen und Prüfungen unterzogen. Die internationale Norm ISO 27001 ist das Ergebnis derartiger Bemühungen und stellt eine Aktualisierung und Ausweitung des britischen Standards BS 7799-2 dar. ISO 27001 will ein „Modell zur Bestimmung, Implementierung, Betrieb, Überwachung, Prüfung, Pflege und Verbesserung von Managementsystemen für Informationssicherheit (ISMS) bieten“. ISO 27002 erläutert darüber hinaus auch Kontrollen für die Informationssicherheit und definiert in großem Umfang die Komponenten, die ein ISMS ausmachen. Die einst separaten Normen ISO 27001 und 27002 werden mittlerweile als ergänzend angesehen. Unternehmen könnten die kombinierten Anweisungen dazu nutzen, ein ISMS aufzubauen, das den Größen- und Risikotoleranzen der Organisation entspricht. Letztendlich zertifizieren Unternehmen, die den ISO 27000 Leitfaden implementieren, ihre ISMS anschließend gemäß ISO 27001.