Blog Datensicherheit & Compliance

Machen Sie Ihre DSGVO-Hausaufgaben und reduzieren Sie damit die Gefahr von Strafzahlungen!

Was in Ihrer Schulzeit ein guter Ratschlag war, ist auch relevant, wenn es um Konformität mit der Datenschutz-Grundverordnung (DSGVO) geht: Machen Sie Ihre Hausaufgaben, weil Ihre Zensur davon abhängt. Bei...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Contents

    Was in Ihrer Schulzeit ein guter Ratschlag war, ist auch relevant, wenn es um Konformität mit der Datenschutz-Grundverordnung (DSGVO) geht: Machen Sie Ihre Hausaufgaben, weil Ihre Zensur davon abhängt. Bei der DSGVO gehört es zu Ihren Hausaufgaben, Maßnahmen für den Datenschutz durch Technikgestaltung zu entwickeln, umzusetzen und sicherzustellen, dass diese Richtlinien kommuniziert werden und dem Management bekannt sind.

    „Gute Notizen und meine Hausaufgaben machen“: Das war der erste Gedanke, der mir durch den Kopf schoss, als ich die im letzten Monat veröffentlichte Leitlinie über DSGVO-Strafzahlungen las. Das haben die EU-Behörden zu dem Thema zu sagen:

    „Diese Bestimmungen stellen keine Zielverpflichtung dar, sondern führen Verpflichtungen bezüglich der Methoden ein, d. h. der für die Verarbeitung Verantwortliche muss die notwendigen Beurteilungen vornehmen und angemessene Schlussfolgerungen ziehen. Danach muss die Aufsichtsbehörde die Frage beantworten, inwieweit der Verantwortliche unter Berücksichtigung der Art, des Zwecks oder des Umfangs der Verarbeitung im Hinblick auf die ihnen durch die Verordnung auferlegten Verpflichtungen ‚das getan hat, was von ihm erwartet werden konnte‘.“

    Die genannte Aufsichtsbehörde ist die früher als Datenschutzbehörde bezeichnete Stelle, die für die Durchsetzung der DSGVO im jeweiligen EU-Land zuständig ist. Wenn die Aufsichtsbehörde im Zusammenhang mit einer DSGVO-Beschwerde über eine Strafzahlung entscheiden soll, muss sie den Verantwortlichen (das Unternehmen, das die Daten sammelt) also fragen, ob er seine Hausaufgaben gemacht hat – „was von ihm erwartet werden konnte“.

    Die Datenschutz-Lehrer wissen es am besten

    In dieser Richtlinie sind weitere Faktoren vorgesehen, die sich auf die Höhe von Strafzahlungen auswirken, z. B. die Anzahl der betroffenen Personen, die Schwere des Schadens („Risiken für Rechte und Freiheiten“), die Kategorien der betroffenen Daten sowie die Bereitschaft zur Zusammenarbeit und Unterstützung der Aufsichtsbehörde. Man könnte argumentieren, dass einiges davon nicht mehr Ihrer Kontrolle unterliegt, sobald die Hacker die erste Verteidigungslinie durchbrochen haben.

    Aber was Sie kontrollieren können, ist der Aufwand, den das Unternehmen in sein Schutzprogramm zur Einschränkung von Sicherheitslücken gesteckt hat.

    Ich muss außerdem daran denken, was uns Sue Foster, Fachanwältin für Datenschutz bei Hogan Lovell, in unserem Interview darüber erzählt hat, wie wichtig das „Vorzeigen der geleisteten Arbeit“ ist. Mit einer weiteren Analogie zum Schulleben erklärte Frau Foster, dass man gute „Teilnoten“ bekommen kann, wenn man nach einem Vorfall den Behörden zeigen kann, dass man Schutzvorkehrungen eingeführt hat.

    Sie sagte auch voraus, dass wir weitere Leitlinien erhalten würden – und genau das ist die Funktion des oben erwähnten Dokuments: Es erklärt, welche Faktoren bei der Verhängung von Strafzahlungen im zweistufigen System der DSGVO berücksichtigt werden – in dem entweder 2 % oder 4 % der globalen Erträge verlangt werden.

    Die vorhandenen Datenschutzstandards zählen

    Die Leitlinie enthält auch sehr praxisrelevante Anweisungen im Bezug auf Compliance. Da sich viele Unternehmen bereits auf bestehende Datenschutzstandards wie ISO 27001 verlassen, sind die EU-Aufsichtsbehörden bereit, die Einhaltung dieser Standards positiv zu bewerten.

    „… alle „Best Practice“-Verfahren oder -Methoden sollten gebührend berücksichtigt werden, sofern sie existieren und angewendet werden. Industriestandards sowie Verhaltensregeln des jeweiligen Tätigkeitsbereichs oder Berufs sollten unbedingt berücksichtigt werden. Die Verhaltensregeln können Hinweise auf den Kenntnisstand über die verschiedenen Methoden geben, mit denen auf die typischen Sicherheitsprobleme im Zusammenhang mit der Verarbeitung eingegangen werden kann.“

    Wer das Kleingedruckte in der DSGVO lesen möchte, kann sich auf Artikel 40 („Verhaltensregeln“) berufen. Kurz gesagt heißt es, dass Normenverbände ihre Sicherheitskontrollen, z. B. PCI DSS, dem European Data Protection Board (EDPB) zur Genehmigung vorlegen können. Wenn ein Verantwortlicher dann einer offiziell genehmigten „Verhaltensregel“ folgt, kann dies die Aufsichtsbehörde von der Einleitung weiterer Maßnahmen – einschließlich der Verhängung von Bußgeldern – abhalten, solange der Normenverband, z.B. der PCI Security Standards Council – über einen eigenen Überwachungsmechanismus zur Überprüfung der Einhaltung seiner Standards verfügt.

    Aufgrund dieser speziellen DSGVO-Leitlinie sind diejenigen, die ihre Hausaufgaben gemacht haben und PCI-Konformität nachweisen können, sehr viel besser für den Umgang mit den EU-Aufsichtsbehörden aufgestellt.

    Nachweisbar DSGVO-konform

    Die DSGVO geht allerdings noch einen Schritt weiter. Sie hält auch einen Weg für eine Zertifizierung von Verantwortlichen hinsichtlich ihres Umgangs mit Daten offen.

    Im Endeffekt sind die Aufsichtsbehörden (durch Artikel 40) befugt, den Betrieb eines Verantwortlichen als mit der DSGVO konform zu zertifizieren. Die Aufsichtsbehörde kann auch andere Normenverbände für die Erteilung derartiger Zertifizierungen akkreditieren.

    In jedem Fall wird die Zertifizierung nach einem Zeitraum von drei Jahren ablaufen, worauf das jeweilige Unternehmen seine Zertifizierung erneuern muss.

    Es sollte erwähnt werden, dass diese Zertifizierung vollständig freiwillig erfolgen wird. Sie wird jedoch offenkundig für viele Unternehmen sehr vorteilhaft sein. Die Absicht dieser Regelung besteht darin, die vorhandenen Datenschutzstandards der Privatwirtschaft zu nutzen und Unternehmen einen praxisorientierten Ansatz für ihre Konformität mit den technischen und administrativen Auflagen der DSGVO zu bieten.

    Das EDPB wird voraussichtlich auch an Endverbraucher gerichtete Zertifizierungszeichen und -siegel und ein Register für zertifizierte Unternehmen entwickeln.

    Für weitere Informationen über die DSGVO-Zertifizierung werden wir auf weitere Mitteilungen der Behörden warten müssen.

    Auf kurze Sicht werden Unternehmen, die bereits Strukturen für Konformität mit PCI DSS, ISO 27001 oder anderen Datenschutzstandards eingerichtet haben, eine bessere Ausgangsposition hinsichtlich der Gefahr von DSGVO-Strafzahlungen haben.

    Und in allernächster Zeit könnte das „Europäische Datenschutzsiegel“ ein sehr begehrtes Element für Unternehmenswebsites werden.

    Wollen Sie Ihre Strafzahlungen infolge der DSGVO minimieren? Varonis hilft bei der Umsetzung zahlreicher Datenschutzstandards. Erfahren Sie mehr!

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    10-tipps-zur-behebung-ihrer-technischen-schulden-in-salesforce
    10 Tipps zur Behebung Ihrer technischen Schulden in Salesforce
    10-tipps-zur-behebung-ihrer-technischen-schulden-in-salesforce
    Lexi Croisdale
    22. Juni 2023
    Lernen Sie Best Practices für die Verwaltung und Analyse von Berechtigungen in Salesforce kennen und erfahren Sie, wie schnelle Lösungen die Daten Ihres Unternehmens gefährden können.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    warum-sie-ihre-passwörter-für-sich-behalten-sollten
    Warum Sie Ihre Passwörter für sich behalten sollten
    warum-sie-ihre-passwörter-für-sich-behalten-sollten
    Michael Buckbee
    8. Juni 2012
    von Rob Sobers Vielleicht haben Sie in den letzten Wochen in den Medien gehört, dass manche Arbeitgeber die Zugangsdaten ihrer Mitarbeiter für Facebook oder andere soziale Netzwerke wissen wollen. Verletzen...
    was-ist-privileged-access-management-(pam)?
    Was ist Privileged Access Management (PAM)?
    was-ist-privileged-access-management-(pam)?
    Josue Ledesma
    14. Juni 2021
    Privileged Access Management (PAM) und warum es für Ihr Unternehmen wichtig ist | Erfahren Sie, warum Privileged Access Management eine erforderliche Komponente für Ihre Cybersicherheitsstrategie ist, die Ihre Assets schützt.