Schlagwort-Archive: personenbezogene Daten

DSGVO

Datenschutzgrundverordnung (DSGVO) und IT-Sicherheit

Die Datenschutzgrundverordnung (DSGVO) regelt den richtigen Umgang mit personenbezogenen Daten. Da es sich hierbei um einen weitreichenden Begriff handelt, begegnen uns personenbezogene Daten in fast allen Bereichen des Arbeitsalltags. Anonyme Daten wie reine Statistiken oder Maschinendaten fallen nicht in den Anwendungsbereich der DSGVO. Sobald jedoch ein Personenbezug besteht, greifen die datenschutzrechtlichen Vorgaben.

Ein zentraler Aspekt der DSGVO ist der Schutz der Daten durch angemessene Maßnahmen. Besonders relevant ist hier Artikel 32 DSGVO, der technische und organisatorische Maßnahmen (TOMs) zur Absicherung der Datenverarbeitung fordert. Ziel ist es, ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Technische und organisatorische Maßnahmen (TOMs) nach Artikel 32 DSGVO

Artikel 32, Absatz 1 DSGVO beschreibt verschiedene Schutzmaßnahmen, die Unternehmen und Organisationen umsetzen müssen:

  1. Pseudonymisierung und Verschlüsselung von Daten.
  2. Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zur Datenverarbeitung.
  3. Schnelle Wiederherstellung der Verfügbarkeit der Daten und des Zugangs zu ihnen bei einem physischen oder technischen Zwischenfall.
  4. Regelmäßige Überprüfung, Bewertung und Evaluierung der TOMs, um deren Wirksamkeit sicherzustellen.

Allerdings enthält die DSGVO – abgesehen von Pseudonymisierung und Verschlüsselung – keine konkreten Maßnahmen, sondern beschreibt allgemeine Gewährleistungsziele. Jede verantwortliche Stelle muss selbst entscheiden, welche spezifischen TOMs erforderlich sind.

Risikobasierter Ansatz für IT-Sicherheit

Gemäß Artikel 32 DSGVO müssen verschiedene Faktoren bei der Auswahl und Implementierung der TOMs berücksichtigt werden:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Datenverarbeitung
  • Eintrittswahrscheinlichkeit und Schwere des Risikos

Dabei steht nicht das Risiko des Unternehmens im Vordergrund, sondern das Risiko für die betroffenen Personen, deren Daten verarbeitet werden. Es gilt zu verhindern, dass Daten verloren gehen, verändert werden oder unbefugten Dritten zugänglich sind.

Praktische Beispiele für TOMs

Folgende Maßnahmen können zur Umsetzung der Anforderungen aus Artikel 32 DSGVO beitragen:

  • Aktuelle Betriebssysteme und regelmäßige Updates
  • Antivirus-Software und Firewalls
  • Sichere Backup-Strategien
  • Passwortrichtlinien und Multi-Faktor-Authentifizierung
  • Physische Schutzmaßnahmen (Alarmanlagen, Überwachungskameras, Zugangskontrollen)
  • Schulungen und Sensibilisierung der Mitarbeiter
  • Datenschutzrichtlinien und Betriebsvereinbarungen

Die konkrete Auswahl und Umsetzung dieser Maßnahmen sollte auf einem risikobasierten Ansatz beruhen:

  1. Welche Werte müssen geschützt werden?
  2. Welche Risiken bestehen?
  3. Welche Maßnahmen sind erforderlich?
  4. Wie wird die Wirksamkeit der Maßnahmen überprüft?

Unterstützung durch etablierte Standards

Unternehmen müssen nicht alle Sicherheitsmaßnahmen selbst definieren, sondern können sich an bewährten Sicherheitsstandards orientieren:

  • IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
  • Standard-Datenschutzmodell (SDM) der deutschen Datenschutzaufsichtsbehörden
  • ISO 27001 (Informationssicherheitsmanagement)
  • ISO 27701 (Datenschutzmanagementsystem als Ergänzung zur ISO 27001)

Datenschutz und IT-Sicherheit – Ein gemeinsames Ziel

Die Einhaltung der DSGVO führt nicht nur zur Erfüllung gesetzlicher Vorgaben, sondern trägt auch zur allgemeinen IT-Sicherheit eines Unternehmens bei. Sichere personenbezogene Daten bedeuten auch besseren Schutz für Geschäftsgeheimnisse und andere sensible Informationen. Neben der DSGVO gibt es hierzu ergänzende gesetzliche Regelungen wie das Geschäftsgeheimnisgesetz (GeschGehG).

Fazit

Unternehmen, Behörden und Vereine müssen die Anforderungen von Artikel 32 DSGVO einhalten und geeignete TOMs zur Absicherung personenbezogener Daten implementieren. Ein umfassender, risikobasierter Ansatz und die Nutzung etablierter Sicherheitsstandards sind essenziell, um Datenschutz und IT-Sicherheit wirksam umzusetzen.

Überblick EU-Datenräume

Überblick EU-Datenräume

Die EU-Datenstrategie verfolgt das Ziel, eine datengesteuerte Wirtschaft zu schaffen und einen Binnenmarkt für Daten zu etablieren. Dies umfasst sowohl personenbezogene als auch nicht-personenbezogene Daten sowie sensible Geschäftsdaten, die im Einklang mit den EU-Vorschriften und Werten sicher und nahtlos über Grenzen und Sektoren hinweg fließen können. Dies soll Unternehmen und Bürgern gleichermaßen zugutekommen.

Ein rechtlicher Rahmen für den Datenaustausch wird insbesondere durch den Data Act und den Data Governance Act gesetzt. Weitere wichtige Regelwerke sind der Digital Markets Act und der Digital Services Act, die große Online-Plattformen regulieren, sowie die Open Data Richtlinie, die die Weiterverwendung öffentlicher Daten ermöglicht.

Hauptmerkmale des EU-Datenraums

  • Sichere und datenschutzfreundliche Infrastruktur für die Zusammenführung, Nutzung und Verarbeitung von Daten.
  • Fairer, transparenter und nicht diskriminierender Zugang zu Daten.
  • Vertrauenswürdige Datenverwaltungsmechanismen, unter Berücksichtigung europäischer Vorschriften und Werte.
  • Schutz personenbezogener Daten durch die DSGVO und das Bundes- sowie Landesdatenschutzgesetz.
  • Regulierung der Cybersicherheit durch die NIS2-Richtlinie, das NIS-2-Umsetzungsgesetz, das IT-Sicherheitsgesetz 2.0, den Cyber Resilience Act, den Cybersecurity Act und das Geschäftsgeheimnisgesetz.
  • Schutz kritischer Infrastrukturen durch die CER-Richtlinie und das KRITIS-Dachgesetz.
  • Sicherstellung der Finanzmarktstabilität durch DORA und die Mindestanforderungen an das Risikomanagement (MaRisk).
  • Normen für die Automobilbranche durch TISAX.
  • Regulierung von Online-Plattformen durch den Digital Services Act und den Digital Markets Act.
  • Künstliche Intelligenz und Produktsicherheit durch die KI-Verordnung, die KI-Haftungsrichtlinie, die Produkthaftungsrichtlinie und die Produktsicherungsverordnung.
  • Verbraucherschutz für digitale Inhalte und Waren durch die Richtlinie über digitale Inhalte und die Warenverkaufsrichtlinie.
  • Zertifizierungsanforderungen für ISMS durch den BSI IT-Grundschutz.
  • Regulierung der digitalen Identität durch die eIDAS-Verordnung 2.0.
  • Stärkung der Cyberresilienz durch den Cyber Solidarity Act.

Sektorale EU-Datenräume

Um die Datenstrategie umzusetzen, entwickelt die EU Datenräume in 14 Sektoren:

  1. Landwirtschaft
  2. Kulturerbe
  3. Energie
  4. Finanzen
  5. Green Deal (Umwelt)
  6. Gesundheit
  7. Sprache
  8. Industrie (verarbeitendes Gewerbe)
  9. Medien
  10. Mobilität
  11. Öffentliche Verwaltung
  12. Forschung und Innovation
  13. Qualifikationen
  14. Tourismus

Die Implementierung dieser Datenräume erfordert sowohl technische als auch gesetzliche Voraussetzungen, die durch spezifische Vorschriften geregelt werden. Besonders im Gesundheitsdatenraum gibt es bereits erste Initiativen. Generell legt die EU verstärkt Wert auf Sicherheitsaspekte in ihren gesetzlichen Regelungen.