Beiträge mit den Schlagworten :

Datenschutz

„Cybervorfälle stehen weltweit an der Spitze als das wichtigste Geschäftsrisiko für Unternehmen“ – ein Interview mit Wolf-Werner Alebrand (2/2) 1024 577 C4B

„Cybervorfälle stehen weltweit an der Spitze als das wichtigste Geschäftsrisiko für Unternehmen“ – ein Interview mit Wolf-Werner Alebrand (2/2)

Im Ranking von Geschäftsrisiken stehen Cybervorfälle erstmals an der Spitze als das wichtigste Geschäftsrisiko für Unternehmen weltweit. Im zweiten Teil unseres Interviews [lesen Sie hier Teil 1] erläutert Wolf-Werner Alebrand, Spezialist für Compliance- und Datenschutz-Management, welche Maßnahmen Firmen zum Schutz vor Cyberattacken treffen müssen und wie detailliert Informationssicherheitskonzepte sein sollten.

Herr Alebrand, mit der Umstellung auf Remote Work während der Corona-Pandemie trat auch das Thema Datenschutz wieder stärker in den Fokus. Wie detailliert sollte denn ein Informationssicherheitskonzept sein?

Wolf-Werner Alebrand: Versucht man, alles abzudecken, von den strategischen Zielen bis zur Frage, wie viele Ziffern ein Passwort enthalten sollte, dann kommt man schnell auf Konzeptumfänge, die dann niemand mehr lesen mag. Bewährt hat sich das sogenannte Zwiebelschalenmodell mit vier Vertraulichkeitsstufen, die es festzulegen und auszuarbeiten gilt. Die Sicherheitsanforderungen steigern sich von der äußeren Schale, dem öffentlich zugänglichen Bereich wie der Website, bis zu dem Hochsicherheitsbereich, beispielsweise geheimen Dokumenten. Es gilt immer, Zugänglichkeit gegen den definierten Schutzbedarf abzuwägen und dabei die Akzeptanz der Benutzer und die Usability im Blick zu behalten.

Die Schäden durch Cyberattacken nehmen immer größere Ausmaße an. Von welchen Schadensfällen und -höhen geht man aus?

Wolf-Werner Alebrand: Rund 100 Milliarden Euro soll der Schaden für deutsche Unternehmen durch Cyber-Angriffe betragen – und zwar pro Jahr. Diese Zahl ermittelte der IT-Branchenverband Bitkom Ende 2019. Im Ranking von Geschäftsrisiken stehen Cybervorfälle erstmals an der Spitze als das wichtigste Geschäftsrisiko für Unternehmen weltweit. Laut Allianz Risk Barometer 2020 verdrängen IT-Gefahren das Risiko einer Betriebsunterbrechung auf den zweiten Platz. Betriebsunterbrechung hatte seit 2013 den Spitzenplatz im Ranking inne, damals lag Cyber noch mit sechs Prozent der Antworten auf Platz 15. Beispielsweise richten sich Ransomware-Angriffe zunehmend nicht nur gegen große, sondern auch mittelständische und sogar kleine Unternehmen und die Forderungen bei Erpressungen steigen.

Welche Maßnahmen sollten Firmen zum Schutz vor Cyberattacken treffen?
Wolf-Werner Alebrand: Das ungeübte Verhalten der Mitarbeiter ist hier immer noch ein großes Risiko, denn sie sitzen hinter der Firewall des Unternehmensnetzwerkes. Deshalb gilt es, die Mitarbeiter zu informieren und zu stärken. Studien gehen davon aus, dass rund ein Viertel aller Datenverletzungen auf menschliches Versagen zurückgehen. Es genügt nicht, wenn die IT-Abteilung die Rahmenbedingungen schafft, den Rest aber den Mitarbeitern überlässt. Andersherum nützt selbst der beste Job der IT-Abteilung wenig, wenn die Mitarbeiter die Richtlinien nicht einhalten oder unvorsichtig sind. Letztlich ist die Cyber-Sicherheit in einem Unternehmen immer das Ergebnis der Leistung des gesamten Teams. Anders ausgedrückt heißt das: Jeder einzelne Mitarbeiter muss seinen Anteil zur Datensicherheit beitragen.

 

10 Tipps zur Cyber-Sicherheit

  1. Realistisches Risikobewusstsein aufbauen
  2. Starke Passwörter technisch erzwingen
  3. Wöchentliche Sicherungskopien machen
  4. Auf Sicherheitslücken schnell reagieren
  5. Sicherheitsupdates sofort installieren
  6. Sorgfalt bei den Administratoren-Rechten
  7. Mobile Geräte zusätzlich absichern
  8. Server mit 2-Faktor-Authentifizierung sichern
  9. Benutzerindividuelle Kennungen
  10. Schutz gegen Schadsoftware

 

 

Über Wolf-Werner Alebrand

Wolf-Werner Alebrand ist Spezialist für Compliance- und Datenschutz-Management und berät und unterstützt Unternehmen zu Themen des betrieblichen Risikomanagements und als Interimsmanager.

Wolf-Werner Alebrand auf LinkedIn und Xing.

 

„Corona ist ein Gegenspieler zum Datenschutz“ – ein Interview mit Wolf-Werner Alebrand (1/2) 1024 671 C4B

„Corona ist ein Gegenspieler zum Datenschutz“ – ein Interview mit Wolf-Werner Alebrand (1/2)

Zwei Jahre ist es jetzt her, dass die DSGVO viele Unternehmer zum Verzweifeln gebracht hat. Inzwischen ist zwar Ruhe eingekehrt, doch in den vergangenen 24 Monaten wurden erhebliche Bußgelder wegen Verstößen verhängt. Grund genug, den Scheinwerfer einmal wieder auf das Thema Datenschutz zu richten. Im Interview Wolf-Werner Alebrand, Spezialist für Compliance- und Datenschutz-Management.

 

Herr Alebrand, Ende Mai vor zwei Jahren trat die Datenschutzgrundverordnung (DSGVO) in Kraft. Wo stehen wir heute?

Wolf-Werner Alebrand: Obwohl die DSGVO bereits zwei Jahre vor ihrem Inkrafttreten im Jahr 2018 angekündigt wurde, schienen viele Unternehmen doch von ihr überrascht worden zu sein. Erst wenige Wochen, oft erst wenige Tage vorher, häuften sich auch bei mir die Anfragen, wie nun die Bestimmungen umzusetzen sind. Und bis heute haben viele Unternehmen noch nicht gänzlich ihre Hausaufgaben erledigt. Insgesamt mangelt es noch an Klarheit in der Anwendung, der Beratungsbedarf ist also hoch geblieben. Aber die zunächst befürchteten großen Abmahnwellen sind ausgeblieben.

Kann man schon eine Zwischenbilanz ziehen?

Wolf-Werner Alebrand: Die EU-Kommission zieht in ihrem Bericht aus dem Juni eine weitestgehend positive Bilanz der ersten zwei Jahre. [Anm. der Redaktion: nachzulesen hier]. Danach genießt die DSGVO national eine hohe Akzeptanz und wurde, mit Ausnahme von Slowenien, von den europäischen Mitgliedsstaaten in eigenes nationales Recht umgesetzt. Und auch international hat die DSGVO Schule gemacht. Beispielsweise haben Länder wie Japan oder Brasilien oder Staaten wie Kalifornien mit ihrem California Consumer Privacy Act die Regelungen adaptiert. Das macht die wirtschaftliche Zusammenarbeit einfacher.

 

Die drohenden Bußgelder aufgrund von Verstößen gegen die DSGVO können mit bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens ja erheblich sein. Wurden diese auch durchgesetzt?

Wolf-Werner Alebrand: Die Zahl der wirksamen Verfahren sind gestiegen. Aufsehen erregt haben beispielsweise die hohen Strafen für Unternehmen wie die Hotelkette Marriott in Höhe von 110 Millionen Euro oder Google in Höhe von 50 Millionen Euro. Auch in Deutschland gab es hohe Bußgelder. Die Deutsche Wohnen musste beispielsweise 14,5 Millionen Euro dafür zahlen, dass sie Mieterdaten nicht rechtzeitig gelöscht haben. Gute Gründe also, sich als Unternehmen intensiv mit der DSGVO auseinanderzusetzen.

 

Was hat sich Ihrer Ansicht nach seit Inkrafttreten der DSGVO zum Positiven hin verändert?

Wolf-Werner Alebrand: Mit Einführung der DSGVO hat sich auch das Bewusstsein über die Sensibilität von Daten verändert, das kann man auch leicht bei sich selbst feststellen. Datenschutz ist nicht nur „nice to have“, sondern ein Grundrecht. Und das kann jetzt besser durchgesetzt werden. Die Anforderungen an den Umgang mit personenbezogenen Daten wurden erheblich verschärft. Zudem ist der Datenschutz als Verkaufsargument angekommen, auch in Hinsicht auf Compliance sowie erste Zertifizierungen.

 

Es ist vielfach zu lesen, dass die EU-Verordnung speziell bei europäischen Unternehmen wie ein Katalysator für mehr und vor allem wirksamere IT-Sicherheit gesorgt hat. Inwiefern ist das so? Und: teilen Sie diese Ansicht?

Wolf-Werner Alebrand: Ich nenne es gerne den „heilsamen Druck der Gesetze“. Die angedrohten Bußgelder erzeugen den notwendigen Handlungsdruck, damit die Regeln auch umgesetzt werden. Ansonsten fragen sich viele Unternehmen: Warum kümmere ich mich überhaupt um den Datenschutz? Aus diesem Zwang heraus werden Projekte aufgesetzt und Prozesse unter die Lupe genommen, für die vorher oft nicht die Ressourcen bereitgestellt wurden. Insofern hat so ein Gesetz auch positive Nebeneffekte, das gilt auch für einzelne Bereiche wie die IT.

 

Mit der Corona-Pandemie wurden viele Arbeitsplätze quasi über Nacht an den heimischen Schreibtisch oder gar Küchentisch verlagert. Wie geht es dem Datenschützer damit?

Wolf-Werner Alebrand: Corona war zunächst einmal ein Gegenspieler zum Datenschutz. Viele Unternehmen mussten möglichst schnell ihre herkömmlichen Arbeitsprozesse umstellen. Nur wenige hatten aufgrund des finanziellen und zeitlichen Drucks die Zeit, auch noch passende Schulungen für ihre Mitarbeiter zu organisieren. Ad hoc wurden Videokonferenzlösungen eingesetzt und Messenger-Gruppen gegründet, private Hardware genutzt, häufig mangels ausreichender dienstlicher Laptops. Und Firmendokumente lagen am heimischen Küchentisch, zwischen den Schulaufgaben der Kinder. Alles Themen, bei denen sich dem Datenschützer die Nackenhaare sträuben. Unternehmen tun gut daran, im Sinne einer gezielten Prävention von Datenschutzverstößen auch für die Remote-Arbeit einige Vorgaben einzuführen. Angefangen von Arbeitsanweisungen zu dem Umgang mit Papierdokumenten im häuslichen Umfeld über Vorgaben zur IT-Sicherheit, beispielsweise dem Einsatz von Passwörtern, bis hin zu dem sicheren Zugriff auf den Unternehmensserver. Einen guten Überblick über notwendige Maßnahmen im Homeoffice bietet ein Dokument des Bayerischen Landesamtes für Datenschutz.

Lesen Sie im zweiten Teil unseres Interviews mit Wolf-Werner Alebrand mehr zur Frage, wie detailliert ein Informationssicherheitskonzept sein sollte und welche Maßnahmen Firmen zum Schutz vor Cyberattacken treffen müssen.

 

Über Wolf-Werner Alebrand

Wolf-Werner Alebrand ist Spezialist für Compliance- und Datenschutz-Management und berät und unterstützt Unternehmen zu Themen des betrieblichen Risikomanagements und als Interimsmanager.

Wolf-Werner Alebrand auf LinkedIn und Xing.

Zeit zu Handeln 150 150 C4B

Zeit zu Handeln

Datenschutz

Die wesentlichen Neuerungen der Datenschutzgrundverordnung (DSGVO):

Noch gut 10 Monate, spätestens dann müssen alle Unternehmen in Europa auf die Datenschutzgrundverordnung (DSGVO) vorbereitet sein. In seinem Gastbeitrag stellt Wolf-Werner Alebrand vor, was die neue Datenschutzgrundverordnung regelt und worauf Unternehmen künftig achten müssen.

Gastbeitrag von Wolf-Werner Alebrand

Es bleiben noch knapp zehn Monate: Ab dem 25. Mai 2018 gilt als EU-weit verbindliche Regelung die Datenschutzgrundverordnung (DSGVO) und ein neues Bundesdatenschutzgesetz (BDSGneu) in Deutschland. Beide regeln die Erhebung und Nutzung personenbezogener Daten. Das sind alle Daten, die direkt oder indirekt auf eine Person schließen lassen, neben Namen und Adressen auch z.B. die IP-Adresse bei der Internetnutzung. Die Neuerungen gelten nicht nur für alle Unternehmen und öffentliche Institutionen, die in der EU ihren Sitz haben. Sie gilt auch für außereuropäische Unternehmen, die in der EU am Markt tätig sind (sogennates „Marktortprinzip“). Neben bekannten Prinzipien wie Datensparsamkeit, Transparenz, Rechtmäßigkeit und Zweckbindung enthält die Verordnung auch neue Pflichten, etwa hinsichtlich der Dokumentation der Verarbeitungsverfahren und Information der betroffenen Personen (Betroffene). Sie gewährleistet deren Einhaltung durch die drastische Erhöhung des Strafrahmens: Bis zu vier Prozent des weltweiten Konzern-Jahresumsatzes können diese Bußgelder ausmachen. Das ist erheblich mehr als nach dem bisherigen Bußgeldkatalog, der Strafen bis zu max. 300 Tsd. EUR vorsah.

Was regelt die DSGVO?

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) sowie der freie Verkehr, also Übertragung personenbezogener Daten (Art. 1 Abs. 3 DSGVO).

Wie regelt die DSGVO?

Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Dokumentationspflicht

Besonders die umfassenden Dokumentationspflichten sind wichtig. Sie ergeben sich aus dem Grundsatz der Verantwortlichkeit („Accountability“). Dem Verantwortungsprinzip räumt die DSGVO durch damit verbundene Rechenschaftspflichten eine herausragende Stellung ein. Das Prinzip der „Accountability“ hat zur Folge, dass Unternehmen die Einhaltung der DSGVO dokumentieren und jederzeit nachweisen können müssen. Dazu müssen „technische und organisatorische Maßnahmen“ (Art. 24 Abs. 1 DSGVO) getroffen werden, die die Einhaltung des Datenschutzes garantieren. Zudem müssen interne Prozesse überwacht und geprüft werden, um die ständige Einhaltung der Schutzstandards nachweisen zu können.

Die 10 wesentlichen Neuerungen der DSGVO:

  1. Erstmals harmonisierter Datenschutz EU-weit
    Künftig gelten in allen EU-Staaten die gleichen Standards in Sachen Datenschutz, datenschutzrechtliche „Rückzugsräume“ innerhalb Europas wird es damit nicht mehr geben. Allerdings gibt es nationale Öffnungsklauseln.
  2. Verbotsgesetz mit Erlaubnisvorbehalt
    Grundsätzlich ist die Verarbeitung abhängig vom genehmigten Zweck – es ist z:B. keine Ausspähung vom Kundenverhalten (sog. „Profiling“) ohne deren explizite Einwilligung erlaubt. Die EU-DSGVO wird als Verbotsgesetz mit Erlaubnisvorbehalt ausgestaltet. Das bedeutet, dass der Umgang mit personenbezogenen Daten grundsätzlich untersagt ist, es sei denn die Verordnung, eine andere gesetzliche Vorschrift oder eine Einwilligung des Betroffenen erlauben dies. Diese Auswirkung werden wir in Deutschland nicht besonders spüren, da das BDSG bereits identisch verfuhr.
  3. Informierte eindeutige Einwilligung
    Welchen Inhalt eine korrekte Einwilligung haben soll und wie eingewilligt werden muss, ist höchst umstritten und Gegenstand ständiger Diskussion. Auch ob es eine vermutete Einwilligung geben kann und wenn nicht, welche Voraussetzungen von der rechtswirksamen Einwilligung erfüllt werden müssen. In Artikel 4 wird bestimmt, dass nur eine informierte und unmissverständlich abgegebene Einwilligung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung wirksam ist. Darüber hinaus muss, wenn die Verarbeitung auf einer Einwilligung beruht, der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu der Verarbeitung ihrer personenbezogenen Daten erteilt hat.
  4. Europaweite Pflicht zur Bestellung eines Datenschutzbeauftragten
    Die EU-DSGVO sieht europaweit grundsätzlich eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten vor, jedenfalls wenn das Geschäftsmodell im Kern auf der Verarbeitung personenbezogener Daten beruht. Damit wird das Zwei-Säulen-Modell des Datenschutzes europaweit umgesetzt. Wonach die Erstkontrolle von Datenverarbeitungsprozessen im Unternehmen vom Datenschutzbeauftragten vorgenommen wird, um so die Einhaltung der gesetzlichen Anforderungen ohne behördlichen Aufwand sicherzustellen. Die Datenschutzbeauftragten müssen sich allerdings auf einen härteren Haftungsmaßstab einstellen.
  5. Konzernprivileg
    Der für Unternehmen interessanteste neue Begriff, der in Artikel 4 definiert wird, ist die sogenannte Unternehmensgruppe. Darunter versteht man eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Desweiteren konstituiert sie in Artikel 43 eine Art Konzernprivileg. Danach können gruppeninterne Datenweitergaben zwischen verbundenen Unternehmen unter erleichterten Voraussetzungen erfolgen. Voraussetzung ist allerdings, dass ein angemessenes Datenschutzniveau gewährleistet ist. Dieses kann durch gruppeninterne vertragliche Regelungen oder eine verbindliche Konzernrichtlinie, sog. „Codes of Conduct“ geschehen, deren Mindestinhalt vorgeschrieben wird.
  6. One-Stop Shop Prinzip
    Bürger und Bürgerinnen können sich bei Beschwerden immer an die Datenschutzbehörde ihres Mitgliedstaates wenden, ganz egal in welchem Mitgliedstaat der Datenmissbrauch passiert ist. Gleiches gilt für Unternehmen, diese müssen nur noch mit der Datenschutzbehörde des Mitgliedstaates zusammenarbeiten, in dem sich der Hauptsitz des Unternehmens befindet.
  7. Kohärenzverfahren
    Die Tätigkeit der Datenschutz-Aufsichtsbehörden in den einzelnen Mitgliedsstaaten soll harmonisiert werden. Mit dem Europäischen Datenschutzausschuss wird eine einheitliche Stelle geschaffen, die unter anderem die Befugnis zur Auslegung des europäischen Datenschutzrechts hat. Insbesondere in Fällen von europaweiter Bedeutung kann der Ausschuss sogar bindende Entscheidungen treffen. Damit dürfte eine unterschiedliche Auslegung und Anwendung des Gesetzes durch die Landesdatenschutzbehörden beendet sein.
  8. Recht auf „Vergessenwerden“
    Wer möchte, dass persönliche Daten gelöscht werden, muss dieses Recht gegenüber Google, Facebook und Co. auch durchsetzen können. Bislang war dies nur sehr schwierig möglich, wie das Google-Spanien-Urteil des EUGH vom Mai 2014 zeigte. Die EU-DSGVO stellt nun klar, wann Verbraucher sich auf das „Recht auf „Vergessenwerden“ berufen können und wie Unternehmen dem nachkommen müssen. Grundsätzlich werden Unternehmen persönliche Daten von Verbrauchern nicht nur dann löschen müssen, wenn die Betroffenen dies wünschen, sondern auch wenn es keine legitimen Gründe für eine weitere Speicherung der Daten gibt. Dies stellt eine erhebliche Herausforderung und Überarbeitungsbedarf für die ERP Systeme, z.B. SAP etc. dar.
  1. Besseres Verständnis für „personenbezogene Daten“
    Die EU-DSGVO findet wie bisher Anwendung auf Daten einer bestimmten oder bestimmbaren Person. Desweiteren wird festgelegt, dass die Person bestimmbar ist, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen bestimmt werden kann. Der gegenwärtige Ansatz für sensible Daten wird beibehalten. Dieser wird aber auf genetische Daten und biometrische Daten ausgeweitet. Insgesamt ist der Begriff der personenbezogenen Daten durch die neuen Definitionen besser handhabbar und vor allem auch auf moderne Verarbeitungsprozesse angepasst.
  2. Höhere Bußgelder
    Für Unternehmen mag dieser Punkt sicher kein Vorteil sein, nichtsdestotrotz ist dieser Punkt für den Datenschutz eine willkommene Verbesserung. Mit dem Hinaufsetzen der Sanktion im Extremfall bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens wird deutlich, dass der Datenschutz eine wichtige Rolle spielt. Die Bürgerinnen und Bürger der Europäischen Union können sicher sein, dass Unternehmen in einem völlig anderen Umfang dem Datenschutz Rechnung tragen, als dieses bislang der Fall war.

Mit dem neu geschaffenen europäische Datenschutzrecht ändert sich nicht alles – aber doch vieles. Für Unternehmen entstehen eine ganze Reihe von neuen Pflichten. Herauszuheben ist hier vor allem die Pflicht zur Schaffung eines Datenschutzmanagements, die viele betroffene Mittelstandsunternehmen oder Selbstständige vor erhebliche Herausforderungen stellen wird. Wichtig ist, dass Unternehmen schnell eine Bestandsaufnahme über alle Verarbeitungsprozesse machen und als Verarbeitungsverzeichnis dokumentieren. Aus dem Verarbeitungsverzeichnis lässt sich der weitere Handlungsbedarf, z. B. im Rahmen der Risikofolgenabschätzung ableiten. Die Zeit drängt. Unternehmen sollten die Bestandsaufnahme bis Spätsommer 2017 abschließen, um über den Jahreswechsel den Anpassungsbedarf im Unternehmen, in Betriebsvereinbarungen, Verträgen und Policies zu ermitteln.

 

Zum Autor: WolfWerner Alebrand berät und unterstützt Unternehmen bei Fragen des betrieblichen Risikomanagements, und ist als Spezialist für Compliance-Kultur und Datenschutzmanagement tätig.

Wolf-Werner Alebrand XING

Wolf-Werner Alebrand LinkedIn