Recht und Normen
DSGVO
Was ist die DSGVO?
Die DSGVO ist die Datenschutz-Grundverordnung der Europäischen Union (Verordnung (EU) 2016/679). Sie gilt seit 25. Mai 2018 und regelt, wie Unternehmen personenbezogene Daten verarbeiten dürfen. Dazu gehört die Pflicht, diese Daten technisch angemessen zu schützen.
Personenbezogene Daten sind alle Angaben, die sich auf eine bestimmbare natürliche Person beziehen. Dazu zählen Name, Adresse, E-Mail-Adresse, Fotos, Gehaltsdaten, Gesundheitsdaten und auch IP-Adressen, also die Kennungen, unter denen ein Gerät im Internet erreichbar ist. Jeder Betrieb verarbeitet solche Daten, sobald er Mitarbeiterinnen und Mitarbeiter beschäftigt oder Kundinnen und Kunden betreut. Eine Mindestgröße, ab der die DSGVO erst zu beachten wäre, gibt es nicht.
Für die IT-Sicherheit sind vor allem zwei Stellen der Verordnung wichtig. Artikel 5 verlangt, dass personenbezogene Daten vertraulich und unversehrt bleiben. Artikel 32 verlangt technische und organisatorische Maßnahmen, die dem Risiko angemessen sind, und nennt dabei ausdrücklich Verschlüsselung, die Fähigkeit zur raschen Wiederherstellung der Daten nach einem Zwischenfall sowie ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit dieser Maßnahmen. Aus Artikel 5 Absatz 2 folgt die Rechenschaftspflicht. Der Betrieb muss also nachweisen können, dass er die Vorgaben einhält.
Im Alltag zeigen sich Lücken an einfachen Beobachtungen. Alle Beschäftigten können auf sämtliche Ordner am Server zugreifen. Konten ausgeschiedener Personen sind Monate später noch aktiv. Kundendaten liegen unverschlüsselt auf privaten Notebooks oder auf USB-Sticks. Die Sicherung läuft jede Nacht und wurde noch nie testweise zurückgespielt. Jede dieser Beobachtungen wirft eine Frage nach Artikel 32 auf.
Ein sinnvoller erster Schritt ist eine Bestandsaufnahme. Welche personenbezogenen Daten verarbeitet der Betrieb, in welchen Systemen liegen sie, wer greift darauf zu und welche Dienstleister sind eingebunden. Artikel 30 verlangt dafür ohnehin ein Verzeichnis der Verarbeitungstätigkeiten, also eine schriftliche Übersicht aller Verarbeitungen. Auf dieser Grundlage lassen sich Zugriffsrechte, Sicherungen und Verschlüsselung in einer sinnvollen Reihenfolge ordnen.
Artikel 83 der DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Der IT-Check prüft die technische Seite dieser Pflichten in acht Bereichen mit über 100 Prüfpunkten und hält den Stand in einem Befund fest, den Sie innerhalb von 14 Werktagen erhalten. Die rechtliche Bewertung bleibt Aufgabe einer Juristin oder eines Juristen. Der Befund liefert dafür die technische Grundlage.
IT-Check: technische Maßnahmen nach Artikel 32 prüfen lassen Überblick über Recht und Normen
Alle Begriffe der Wissensdatenbank
Hinweis: Dieser Eintrag gibt den Stand nach bestem Wissen wieder und dient der allgemeinen Orientierung. Er ersetzt keine Rechtsberatung. Maßgeblich ist immer die geltende Fassung bei der zuständigen Stelle, etwa dsb.gv.at, nis.gv.at oder onlinesicherheit.gv.at.
Vom Begriff zur Praxis
Wie steht Ihr Betrieb wirklich da?
Der IT-Check prüft Ihre IT in 8 Prüfbereichen mit über 100 Prüfpunkten und liefert einen dokumentierten Befund mit priorisiertem Maßnahmenplan. Ab 1.299 € exkl. USt. Das Erstgespräch dauert 20 Minuten. Es entstehen keine Kosten.