Security-Awareness. Fluch? Segen? Auf jeden Fall notwendig!

Früher ohne Digitalisierung. War es eine bessere Zeit? Hier gibt es vermutlich keine pauschale Antwort. Die Digitalisierung
hat vor- und Nachteile. Fakt ist, dass man es irgendwie schaffen muss die Informationssicherheit auf ein sehr hohes Niveau
zu heben. Daher müssen Unternehmen den „Faktor“ Mensch ausreichend berücksichtigen.
Um die IT-Sicherheit zu stärken, sollte über ein sogenanntes Security-Awareness-Programm nachgedacht werden.
Bevor ein Unternehmen sich ein solches Programm entwickelt bzw. „aussucht“, sollten folgende Faktoren und Parameter
bedacht werden:
• Motivation
• Unternehmenskultur
• Zielsetzung
• Zielgruppen
• Schulungs- und Kommunikationsplan
• Art der Schulungen bzw. Sensibilisierungen
• Themenauswahl und Schwerpunkte
• Timing und Häufigkeit
• Art der Umsetzung (Webinar, Präsenzschulung, Videokonferenz)
Erfolg nur so gut wie die Vorplanung war bzw. ist!
Da diverse Parameter eine nicht unwichtige Rolle spielen und der Faktor Mensch eine gewisse Art von Unsicherheit
darstellt, ist es wichtig, dass man hier immer wieder wiederholt bzw. das Ganze nicht als Einmal-Projekt betrachtet, sondern
stetig nachjustiert und anpasst. Beispielsweise gibt es Tage an denen ein Mensch anders (vielleicht schlechter) Dinge
aufnimmt. Auch kreuzen vielleicht Ereignisse im Unternehmen einen Schulungsplan, der dann situativ angepasst werden
sollte.
IT-Security ist nicht ausschließlich Datenschutz, es ist ein Teil des Datenschutzes. Aber für ein Unternehmen ist es ein
elementar wichtiger Teil.
Cloud-Dienstleister. Was muss beachtet werden?
Auch dies hat die Digitalisierung mit sich gebracht. Unternehmen setzen immer mehr auf die Nutzung von Clouds. Ok, in
manchen, vielleicht sogar vielen, Fällen werden sie schon fast von Seiten der Händler förmlich dahin „gezwungen“. Immer
mehr Dienste werden in die Cloud verlagert.
Klar, gibt es Vorteile, wie beispielsweise, dass man sich in der Regel auf den Dienstleister verlassen kann. Aber genau hier
fängt auch schon das Problem an. Können Sie sich auf Ihren Cloud-Dienstleister verlassen? Fakt ist nämlich auch, dass
es gerade in diesem Bereich große Unterschiede zwischen „Privatnutzung“ und „Nutzung fürs Unternehmen“ gibt.
Die dänische Datenschutzbehörde war es, die in ihrer Stellungnahme die Anforderungen an den Einsatz von CloudDienstleistern zusammengefasst hat.
Was ist bei der Auswahl zu beachten?
• Grundsätzliche Zulässigkeit der Verarbeitung personenbezogener Daten
• Anforderungen an einen möglichen Drittlandstransfer
• Art der personenbezogenen Daten, die verarbeitet werden sollen
• Art des Zweckes
Drittlandbezug? Dann kommen noch weitere Bewertungsfaktoren hinzu:
• Ermittlung Konkretisierung des Drittlandstransfers
• Ergänzende Sicherheitsmaßnahmen (beispielsweise Verschlüsselung oder Pseudonymisierung)
• Beachtung von möglichen Verfahrensvorschriften
• Beachtung von EU-Standardvertragsklauseln (insbesondere dann, wenn es kein Angemessenheitsbeschluss gibt)
Dann sollte eine Risikobewertung kommen. In die Risikobewertung sollten auch Punkte, „Datensicherung“ und „allgemeine
Sicherheit“ hineinschießen.
Und auch hier sollte in regelmäßigen Abständen der Prozess geprüft und gegebenenfalls optimiert werden. Wenn auch
sehr unwahrscheinlich ja selten sollte es nie ausgeschlossen sein, dass man den Dienstleister wechselt.
Datenschutzhinweise sind vorhanden. Müssen die auch weiterhin geprüft werden?
Ein klares „Ja“. Es zieht sich wie ein roter Faden durch den Gesamtbereich „Datenschutz“. Man kann es nicht oft genug
sagen, es gibt keinen Stillstand.
Aufgrund von Veränderungen im Unternehmen oder andere, beispielsweise gesetzliche, Anforderungen müssen
Informationsdokumente, wie gemäß Art. 13 DSGVO, regelmäßig auf Vollständigkeit und Korrektheit geprüft werden.
Wie sollte die Praxis aussehen?
Eigentlich ganz einfach, die Unternehmen informieren, wenn sich etwas ändert. Und? Anpassungsempfehlungen sollten
umgesetzt und nicht auf die lange Bank geschoben werden.
Die Praxis sieht dann doch (manchmal) anders aus. Erst durch Nachfragen beim Unternehmen werden solche Risiken
aufgedeckt.
Bußgelder im April 2022? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Fehlender Schutz für Gesundheitsdaten
Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL), Branche: Gesundheitsbranche
Verstoß: Art. 28, 29, 32 DSGVO, Bußgeld: 1,5 Mio. Euro
• Schwerwiegende Mängel beim Führen einer „Betrugsliste“
Behörde: Autoriteit Persoonsgegevens (NL), Branche: öffentliche Verwaltung/ Steuer- und Zollbehörde
Verstoß: Art. 5 Abs. 1 lit. a), b), d), e), Art. 6 Abs. 1, Art. 32 Abs. 1, Art. 35 Abs. 1 DSGVO
Bußgeld: 3,7 Mio. Euro
• Datenverarbeitung ohne bestehendes Löschkonzept
Behörde: Datatilsynet (DK), Branche: Banken/ Finanzwesen
Verstoß: Art. 5 Abs. 2 DSGVO, Bußgeld: 1.344.357 Euro (10.000.000 DKK)
• Verarbeitung von Gesundheitsdaten mittels Wärmebildkameras ohne Rechtsgrundlage
Behörde: Gegevensbeschermingsautoriteit (BEL), Branche: Flughafen
Verstoß: Art. 5 Abs. 1 lit. a), b) DSGVO, Art. 6 Abs. 1 lit. c), Abs. 3 DSGVO, Art. 9 Abs. 2 DSGVO, Art. 12
DSGVO, Art. 13 DSGVO, Art. 32 DSGVO, Art. 35 Abs. 1 und 7 DSGVO, Bußgeld: 100.000 Euro
• Unzulässige Auswertung von Kundengesprächen und fehlende Informationspflichten
Behörde: Nemzeti Adatvédelmi és Információszabadság Hatóság (HU), Branche: Banken / Finanzwesen
Verstoß: Art. 5 Abs. 1, Art. 6 Abs. 1, 4 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 13 DSGVO, Art. 21 DSGVO, Art, 24
DSGVO, Art. 25 DSGVO, Bußgeld: 708.035 Euro
Fazit?
Wie schon oft gesagt, „Datenschutz ist kein Einmal-Projekt“!
Neben Planungen, wie im Bereich Awareness, ist es das regelmäßige Prüfen, Nachjustieren und Dokumentieren, was ein
datenschutzkonformes Handeln durch das Unternehmen ausmacht.
Man sollte nicht vergessen, dass dieses nervige Ungetüm von Datenschutz in erster Linie Mehrwerte inklusiv mehr
Sicherheit für das Unternehmen darstellt.
Und wie bei vielen Dingen im Leben, muss man auch hier mit einem guten gesunden Maß herangehen.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!