Im letzten Jahr hat die Europäische Union (EU) das Datenschutzniveau für alle Mitgliedsländer erneuert. Die neue Verordnung heißt nun Datenschutzgrundverordnung (DSGVO) und ersetzt das Bundesdatenschutzgesetz (BDSG). Weiterhin hat die EU die Umsetzungsfrist auf  Ende Mai 2018 gesetzt. Wir berichten über die neuen Anforderungen, welche an die Informationssicherheit gestellt werden. Die neue Datenschutzgrundverordnung und Informationssicherheit sind nun enger miteinander verbunden.

BDSG§9 geht und DSGVO §32 kommt

Die Informationssicherheit wird im BDSG im §9 geregelt. Die dort beschriebenen Maßnahmen und Forderungen sind weitestgehend sehr oberflächlich. Kriterien zur Risikofeststellung und angemessenen Maßnahme werden im BDSG nicht genannt. Die DS-GVO wird hier deutlich konkreter, denn in Artikel 32 DS-GVO werden Schutzziele benannt. Hierbei handelt es sich um die Ziele Vertraulichkeit, Integrität und Verfügbarkeit. Hinzugekommen ist als viertes Ziel, das der Belastbarkeit („resilience“). Die Ziele sind dem BSI Grundschutzhandbuch sehr ähnlich und lassen sich somit auf die ISO 27001 ableiten.

Die Zukunft des DSGVO §32

Natürlich gibt es Spielräume und wir warten gespannt die ersten richtungsweisenden Urteile ab. Dennoch ist die absolute Schwammigkeit des §9 BDSG endlich beseitigt. Weiterhin werden die Unternehmen verpflichtet, eine Nachweispflicht zu erbringen (i.V.m. §5 DSGVO), dass der §32 DSGVO umgesetzt wurde. Fehlt der Nachweis, so können bis zu 20Mio oder mehr (Weltunternehmen 4% Umsatz) als Strafe angesetzt werden. Dadurch wächst der Druck, dass die Unternehmen endlich auf ihren Datenschutz achten und geeignete technische und organisatorische Maßnahmen einführen und nachhalten.

Neue Datenschutzgrundverordnung und Informationssicherheit

Quelle: www.lda.bayern.de – Die Informationssicherheit wird in Unternehmen einen höheren Stellenwert erringen.

Sehr positiv ist, dass die „IT-Sicherheit“ durch die DS-GVO eine höhere Bedeutung für Datenschutzverantwortliche bekommt, als es bislang durch das BDSG abgebildet wurde.

Zunächst wird es für die verantwortliche Stelle notwendig sein, den Schutzbedarf der relevanten personenbezogenen Daten festzustellen. Hierbei hat sich bereits heute die Klassifizierung in die Schutzbedarfsklassen normal, hoch und sehr hoch etabliert. Ebenso ist es bereits heute üblich, das bestehende Risiko für die Betroffenen anhand der folgenden Kriterien zu bewerten:

1. Eintrittswahrscheinlichkeit eines bestimmten Risikos
2. Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen
3. Maßnahmen treffen
4. Prüfnachweise

Höchste Anforderungen an die zu treffenden technischen und organisatorischen Maßnahmen werden an diejenigen Verarbeitungen gestellt, die eine hohe Eintrittswahrscheinlichkeit besitzen und gleichzeitig besonders schwere Risiken für die Rechte und Freiheiten der Betroffenen bedeuten.

Zu guter Letzt ist die Nachhaltigkeit im Sinne des §5 DSGVO zu gewährleisten. Besonders die Nachweisbarkeit wird für viele Unternehmen einen Herausforderungen. Zeitlich begrenzte Prüfzertifikate werden in den kommenden Jahren einen Boom erleben. Auch die klare Forderung des §35 DSGVO von aktuellen Verschlüsselungsmechanismen, kommt dem Schutz der Kundendaten sehr entgegen.

Somit spielt die kommende Datenschutzgrundverordnung auch bei der Regelung des digitale Nachlasses einen wichtige Rollen, denn das Recht auf Vergessen ist durch die neue DSGVO umsetzbarer geworden.

Wir unterstützen Sie gerne bei der Feststellung, Prüfung, Bewertung und beim Erstellen des Maßnahmenkatalogs.