It Datenschutz

EU-Grundverordnung zum Datenschutz: eine große Aufgabe für die IT-Sicherheit

Für kleine und mittelständische Betriebe keine einfache Sache. Die neue Rahmenrichtlinie zum Datenschutz der EU-Bürger, die so genannte DSGVO (European Data Protection Basic Regulation), tritt am 26. April 2018 in Kraft. 2.2. Damit haben deutsche Firmen und Verwaltungen nicht einmal mehr ein Jahr Zeit, ihre IT-Sicherheitsarchitekturen an die neuen Erfordernisse anzugleichen.

Der Mittelstand und die kommunalen Einrichtungen werden dagegen bei der Einführung schnell an ihre Leistungsgrenzen stößt. Pläne für eine grundsätzliche Umstrukturierung der IT-Sicherheit wurden kaum gemacht. Der Umstieg stellt für sie eine große Aufgabe dar. Im Vorfeld der ab 2018 geltenden neuen EU-DSGVO hat der Bundesrat das Datenschutzgesetz an die Regelung (EU) 2016/679 und die Umsetzungsrichtlinie (EU) 2016/680 (Datenschutzanpassungs- und Umsetzungsgesetz EU-DSAnpUGEU) im Mai diesen Jahres verabschiedet.

Es geht auf eine Initiative des Bundes zurück und soll das Bundesdatenschutzgesetz an die neue DSGVO anlehnen. Vorgeschichte: 1995 wurde das BDSG zur EU-Richtlinie 95/46/EG, die den Personenschutz bei der Bearbeitung von Personendaten und den ungehinderten Verkehr von Personendaten im EU-Binnenmarkt reguliert, an die EU-Standards angepasst.

Doch seit 1995 ist die Zahl der erhobenen, genutzten und übertragenen persönlichen Informationen erheblich gestiegen. Für die meisten EU-Bürger ist die Offenlegung von privaten Informationen zum alltäglichen Leben geworden und für viele EU-Unternehmen Teil ihres Unternehmensmodells. Damit der wachsenden Wichtigkeit des Schutzes von Informationen Rechnung getragen wird, hat das Europäische Parlament im März 2016 die neue Basisdatenschutzverordnung EU 2016/679 bestätigt und damit das Selbstbewusstsein der EU-Bürger in die digitalen Infrastrukturen gestärkt, die auf diese Weise die Verbreitung der digitalen Kommunikation und deren Verknüpfung und letztendlich die Steigerung der digitalen Konkurrenzfähigkeit der EU fördert.

Zusätzlich zur Personenkontrolle und zum Datenschutz im gemeinsamen Markt werden auch die Zuständigkeiten der Vollzugsbehörden und der Rechtsrahmen für den Verkehr mit nichteuropäischen Ländern festgelegt. Sie regelt gesetzliche Anforderungen wie das Recht auf Datenübertragbarkeit, das Recht auf Löschung von Informationen und die Pflicht der Firmen, bei Datenklau Auskunft zu geben.

Firmen und öffentliche Stellen haben nun bis einschließlich 05.05.2018 Zeit, ihre IT-Sicherheit an die neuen Anforderungen anzugleichen. Schon 2016, so Reinhard Dankert, Landesbeauftragter für Datenschutz und Pressefreiheit des Landes Mecklenburg-Vorpommern: "Der BITKOM, der das Problem nicht überschätzen will, hält es für anders.

Allerdings ist der Verband auch davon Ã?berzeugt, dass sich Firmen und Behörden einer generellen Ã?berprÃ?fung und Umorientierung in der Datenverarbeitung und im Datenschutzmanagement bis im Mai 2018 nicht entziehen können. Zeit- und Personalaufwand für die Umsetzung variiert von Firma zu Firma. Der BITKOM ist davon Ã?berzeugt, dass gerade kleine und mittelstÃ?ndische Firmen mit der WÃ?hrung zurechtkommen werden.

KMU, kleine öffentliche Verwaltungen und Gemeinden haben kaum Spezialisten mit einem ausreichenden Spezialisierungsgrad, die in der Regel in der Lage sind, die Umbauten vorzunehmen und sie dann auch im täglichen Geschäft wirkungsvoll zu betreuen. "Idealerweise können der Aufwand und der Spezialisierungsgrad der Administration durch eine benutzerfreundliche Schnittstelle der Lösung auf ein Mindestmaß gesenkt werden - ohne die Wirksamkeit von Sicherheitsvorkehrungen und die Erfüllung behördlicher Auflagen zu beeinträchtigen.

Von besonderem Nutzen sind Anwender von IT-Sicherheitslösungen, die sich bereits an den Anforderungen des BDSG ausrichten. Werden bereits heute die Anforderungen der bevorstehenden EU-DSGMO erfüllt, wird es den Anwendern noch einfacher sein, sich auf die neuen Anforderungen einzustellen. Dies betrifft insbesondere die Erfüllung der EU DSGVO Art. 25, 30, 32, 33 und 34, die sich auf die Verhütung von Attacken durch verschlüsselte Daten, die unverschlüsselte Beobachtung von Datenverstößen, die Zugangskontrolle für berechtigte Benutzer sowie die Erzeugung von Auditdaten und die Echtzeitkontrolle der Datenübermittlung bezieht.

Die Sicherung von Datenspeichern durch die Einführung von Cloud-Verschlüsselung, Geräte-Verschlüsselung, Ordner-Verschlüsselung und anderen Anwendungen ist von entscheidender Wichtigkeit. Ein effizientes Sicherheitssystem kontrolliert den Datentransfer mit Hilfe von Audit-Funktionen und stellt Reports über den unverschlüsselten Datentransfer bereit. Hierbei die Verordnung mit weiteren Kennwörtern, die dem betrieblichen Beirat oder Beauftragten für den Datenschutz zur Kenntnis gebracht werden (4- bis 6-Augen-Prinzip).

Hohe Sicherheitsaspekte bieten auch dann, wenn die Bausteine den Datentransfer in Realzeit verfolgen und Meldungen über ein bestimmtes Verhalten automatisiert an einen vordefinierten Ort aussenden. Schon jetzt ist der Monat Mai 2018 nahe, daher sollten sich kleine Firmen und Verwaltungen rechtzeitig mit dem Thema beschäftigen.