16.04.2018 von

Wie die DSGVO Datensicherheit definiert

Unsere Videoserie zur DSGVO untersucht, was die Grundverordnung unter „Datensicherheit“ versteht, wie man diese überprüfen muss und wann man Betroffene zu informieren hat, wenn doch einmal etwas schiefgeht. 

Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler. Der Leiter des Teams für IT-Recht bei Baker McKenzie in Wien ist Autor folgender Bücher zur Datenschutz-Grundverordnung: 

 

Fragen zum Thema Datensicherheit und Sicherheitsverletzungen (Fragen 86-93)

Datensicherheit: An technischen Standards orientieren

Florian Unterberger: Nach der Datenschutzgrundverordnung muss man ein „dem Risiko angemessenes Schutzniveau“ gewährleisten – aber wie sicher ist sicher? Was ist ein angemessenes Niveau?

Lukas Feiler: Wichtig ist zunächst, dass die Verordnung keine perfekte Sicherheit verlangt – hundertprozentige Sicherheit ist auch gar nicht erreichbar. Vielmehr muss die Sicherheit, die man
bietet, angemessen sein – einerseits gemessen an dem Risiko für die Betroffenen, andererseits an den Kosten der Implementierung von Sicherheitsmaßnahmen. Insofern ist hier eine Balance herzustellen.

Wo die genau im Einzelfall liegt, ist natürlich eine schwierige Frage, deshalb bedient man sich in der Praxis sehr oft technischer Sicherheitsstandards, die dann auch ganz konkrete
Handlungsanweisungen enthalten und die man auch wirklich der IT-Abteilung übergeben kann. Dieser Art lassen sich ganz konkrete Compliance-Maßnahmen ableiten.

Datensicherheit durch Audits überprüfen

Genügt es, diese Standards einzuhalten oder muss ich dann die Datensicherheit auch tatsächlich technisch überprüfen?

Lukas Feiler: Die Verordnung sieht vor, dass man regelmäßig Audits durchführen muss. In welcher Intensität und mit welcher Regelmäßigkeit, ist nicht ausdrücklich geregelt und wird im Ergebnis davon abhängen, welche Daten man hier verarbeitet, wie risikoreich diese Datenverarbeitung ist.

Sicherheitsverletzungen: Wann man Behörde und Betroffene informieren muss

Wenn es jetzt trotz aller Vorsichtsmaßnahmen zu einer Sicherheitsverletzung kommt, wann muss ich die Datenschutzbehörde informieren und wann muss ich die Betroffenen informieren?

Lukas Feiler: Kommt es zu einer Sicherheitsverletzung, muss die Datenschutzbehörde immer dann informiert werden, wenn es ein Risiko für die Betroffenen gibt, sei es noch so klein. Wenn dieses Risiko sogar ein hohes Risiko ist, was grundsätzlich dann der Fall ist, wenn sensible Daten kompromittiert werden oder Username und Passwort kompromittiert werden, dann müssen auch die Betroffenen informiert werden.

Da man es als Unternehmen tunlichst verhindern will, in eine solche Situation zu kommen, dass man gegenüber den Betroffenen derartige Dinge offenlegt, lautet die praktische Empfehlung, gerade dort, wo hohe Risiken bestehen, besonders sorgsam zu sein und beispielsweise Passwörter nie unverschlüsselt abzuspeichern.

Weitere Fragen zum Thema Datensicherheit und Sicherheitsverletzungen

Diese Fragen stammen aus dem Kapitel „Datensicherheit und Sicherheitsverletzungen“ aus dem neuen Buch von Lukas Feiler und Bernhard Horn. Die weiteren Fragen in diesem Kapitel lauten:

  • An welchen technischen Sicherheitsstandards kann man sich orientieren?
  • Ist eine Zertifizierung nach ISO 27001 erforderlich? Was sagt sie aus?
  • Was sind die gefährlichsten Sicherheitslücken?
  • Sind Penetrationstests zwingend erforderlich?
  • In welcher Form sind Sicherheitsverletzungen zu dokumentieren?

Praktische Umsetzung der DSGVO in 12 Schritten

Zur Videoserie „Die DSGVO in der Praxis“

Dieses Video ist Teil einer mehrteiligen Serie, in der Lukas Feiler praktische Tipps gibt, wie Unternehmen die Datenschutz-Grundverordnung in der Praxis umsetzen können:

Diese Videoserie beruht auf dem neuen Buch von Lukas Feiler und Bernhard Horn: „Umsetzung der DSGVO in der Praxis – Fragen, Antworten, Muster“

Einführung in die Datenschutz-Grundverordnung

Für eine grundsätzliche Einführung in das Thema Datenschutz-Grundverordnung empfehlen wir Ihnen unsere erste Videoserie zur DSGVO:

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.