Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit & Compliance

Machen Sie Ihre DSGVO-Hausaufgaben und reduzieren Sie damit die Gefahr von Strafzahlungen!

Was in Ihrer Schulzeit ein guter Ratschlag war, ist auch relevant, wenn es um Konformität mit der Datenschutz-Grundverordnung (DSGVO) geht: Machen Sie Ihre Hausaufgaben, weil Ihre Zensur davon abhängt. Bei...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 28. Oktober 2021

Inhalt

    Was in Ihrer Schulzeit ein guter Ratschlag war, ist auch relevant, wenn es um Konformität mit der Datenschutz-Grundverordnung (DSGVO) geht: Machen Sie Ihre Hausaufgaben, weil Ihre Zensur davon abhängt. Bei der DSGVO gehört es zu Ihren Hausaufgaben, Maßnahmen für den Datenschutz durch Technikgestaltung zu entwickeln, umzusetzen und sicherzustellen, dass diese Richtlinien kommuniziert werden und dem Management bekannt sind.

    „Gute Notizen und meine Hausaufgaben machen“: Das war der erste Gedanke, der mir durch den Kopf schoss, als ich die im letzten Monat veröffentlichte Leitlinie über DSGVO-Strafzahlungen las. Das haben die EU-Behörden zu dem Thema zu sagen:

    „Diese Bestimmungen stellen keine Zielverpflichtung dar, sondern führen Verpflichtungen bezüglich der Methoden ein, d. h. der für die Verarbeitung Verantwortliche muss die notwendigen Beurteilungen vornehmen und angemessene Schlussfolgerungen ziehen. Danach muss die Aufsichtsbehörde die Frage beantworten, inwieweit der Verantwortliche unter Berücksichtigung der Art, des Zwecks oder des Umfangs der Verarbeitung im Hinblick auf die ihnen durch die Verordnung auferlegten Verpflichtungen ‚das getan hat, was von ihm erwartet werden konnte‘.“

    Die genannte Aufsichtsbehörde ist die früher als Datenschutzbehörde bezeichnete Stelle, die für die Durchsetzung der DSGVO im jeweiligen EU-Land zuständig ist. Wenn die Aufsichtsbehörde im Zusammenhang mit einer DSGVO-Beschwerde über eine Strafzahlung entscheiden soll, muss sie den Verantwortlichen (das Unternehmen, das die Daten sammelt) also fragen, ob er seine Hausaufgaben gemacht hat – „was von ihm erwartet werden konnte“.

    Die Datenschutz-Lehrer wissen es am besten

    In dieser Richtlinie sind weitere Faktoren vorgesehen, die sich auf die Höhe von Strafzahlungen auswirken, z. B. die Anzahl der betroffenen Personen, die Schwere des Schadens („Risiken für Rechte und Freiheiten“), die Kategorien der betroffenen Daten sowie die Bereitschaft zur Zusammenarbeit und Unterstützung der Aufsichtsbehörde. Man könnte argumentieren, dass einiges davon nicht mehr Ihrer Kontrolle unterliegt, sobald die Hacker die erste Verteidigungslinie durchbrochen haben.

    Aber was Sie kontrollieren können, ist der Aufwand, den das Unternehmen in sein Schutzprogramm zur Einschränkung von Sicherheitslücken gesteckt hat.

    Ich muss außerdem daran denken, was uns Sue Foster, Fachanwältin für Datenschutz bei Hogan Lovell, in unserem Interview darüber erzählt hat, wie wichtig das „Vorzeigen der geleisteten Arbeit“ ist. Mit einer weiteren Analogie zum Schulleben erklärte Frau Foster, dass man gute „Teilnoten“ bekommen kann, wenn man nach einem Vorfall den Behörden zeigen kann, dass man Schutzvorkehrungen eingeführt hat.

    Sie sagte auch voraus, dass wir weitere Leitlinien erhalten würden – und genau das ist die Funktion des oben erwähnten Dokuments: Es erklärt, welche Faktoren bei der Verhängung von Strafzahlungen im zweistufigen System der DSGVO berücksichtigt werden – in dem entweder 2 % oder 4 % der globalen Erträge verlangt werden.

    Die vorhandenen Datenschutzstandards zählen

    Die Leitlinie enthält auch sehr praxisrelevante Anweisungen im Bezug auf Compliance. Da sich viele Unternehmen bereits auf bestehende Datenschutzstandards wie ISO 27001 verlassen, sind die EU-Aufsichtsbehörden bereit, die Einhaltung dieser Standards positiv zu bewerten.

    „… alle „Best Practice“-Verfahren oder -Methoden sollten gebührend berücksichtigt werden, sofern sie existieren und angewendet werden. Industriestandards sowie Verhaltensregeln des jeweiligen Tätigkeitsbereichs oder Berufs sollten unbedingt berücksichtigt werden. Die Verhaltensregeln können Hinweise auf den Kenntnisstand über die verschiedenen Methoden geben, mit denen auf die typischen Sicherheitsprobleme im Zusammenhang mit der Verarbeitung eingegangen werden kann.“

    Wer das Kleingedruckte in der DSGVO lesen möchte, kann sich auf Artikel 40 („Verhaltensregeln“) berufen. Kurz gesagt heißt es, dass Normenverbände ihre Sicherheitskontrollen, z. B. PCI DSS, dem European Data Protection Board (EDPB) zur Genehmigung vorlegen können. Wenn ein Verantwortlicher dann einer offiziell genehmigten „Verhaltensregel“ folgt, kann dies die Aufsichtsbehörde von der Einleitung weiterer Maßnahmen – einschließlich der Verhängung von Bußgeldern – abhalten, solange der Normenverband, z.B. der PCI Security Standards Council – über einen eigenen Überwachungsmechanismus zur Überprüfung der Einhaltung seiner Standards verfügt.

    Aufgrund dieser speziellen DSGVO-Leitlinie sind diejenigen, die ihre Hausaufgaben gemacht haben und PCI-Konformität nachweisen können, sehr viel besser für den Umgang mit den EU-Aufsichtsbehörden aufgestellt.

    Nachweisbar DSGVO-konform

    Die DSGVO geht allerdings noch einen Schritt weiter. Sie hält auch einen Weg für eine Zertifizierung von Verantwortlichen hinsichtlich ihres Umgangs mit Daten offen.

    Im Endeffekt sind die Aufsichtsbehörden (durch Artikel 40) befugt, den Betrieb eines Verantwortlichen als mit der DSGVO konform zu zertifizieren. Die Aufsichtsbehörde kann auch andere Normenverbände für die Erteilung derartiger Zertifizierungen akkreditieren.

    In jedem Fall wird die Zertifizierung nach einem Zeitraum von drei Jahren ablaufen, worauf das jeweilige Unternehmen seine Zertifizierung erneuern muss.

    Es sollte erwähnt werden, dass diese Zertifizierung vollständig freiwillig erfolgen wird. Sie wird jedoch offenkundig für viele Unternehmen sehr vorteilhaft sein. Die Absicht dieser Regelung besteht darin, die vorhandenen Datenschutzstandards der Privatwirtschaft zu nutzen und Unternehmen einen praxisorientierten Ansatz für ihre Konformität mit den technischen und administrativen Auflagen der DSGVO zu bieten.

    Das EDPB wird voraussichtlich auch an Endverbraucher gerichtete Zertifizierungszeichen und -siegel und ein Register für zertifizierte Unternehmen entwickeln.

    Für weitere Informationen über die DSGVO-Zertifizierung werden wir auf weitere Mitteilungen der Behörden warten müssen.

    Auf kurze Sicht werden Unternehmen, die bereits Strukturen für Konformität mit PCI DSS, ISO 27001 oder anderen Datenschutzstandards eingerichtet haben, eine bessere Ausgangsposition hinsichtlich der Gefahr von DSGVO-Strafzahlungen haben.

    Und in allernächster Zeit könnte das „Europäische Datenschutzsiegel“ ein sehr begehrtes Element für Unternehmenswebsites werden.

    Wollen Sie Ihre Strafzahlungen infolge der DSGVO minimieren? Varonis hilft bei der Umsetzung zahlreicher Datenschutzstandards. Erfahren Sie mehr!

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    was-ist-data-governance?-framework-und-best-practices
    Was ist Data Governance? Framework und Best Practices
    was-ist-data-governance?-framework-und-best-practices
    David Harrington
    22. Juli 2022
    Data Governance unterstützt die Organisation, Sicherung und Standardisierung von Daten für verschiedene Organisationen. Erfahren Sie hier mehr über Data-Governance-Frameworks.
    was-ist-das-nist-framework-für-cybersecurity?
    Was ist das NIST-Framework für Cybersecurity?
    was-ist-das-nist-framework-für-cybersecurity?
    Josue Ledesma
    13. Juni 2022
    Erfahren Sie, wie Sie das NIST-Framework für Cybersecurity in Ihrer eigenen Organisation umsetzen können.
    einhaltung-der-datenschutzgesetze-von-illinois:-was-sie-wissen-müssen
    Einhaltung der Datenschutzgesetze von Illinois: Was Sie wissen müssen
    einhaltung-der-datenschutzgesetze-von-illinois:-was-sie-wissen-müssen
    David Harrington
    20. Oktober 2021
    The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
    die-12-pci-dss-anforderungen:-4.0-compliance-checkliste
    Die 12 PCI-DSS-Anforderungen: 4.0-Compliance-Checkliste
    die-12-pci-dss-anforderungen:-4.0-compliance-checkliste
    David Harrington
    29. September 2021
    Version 4.0 des Payment Card Industry Data Security Standard (PCI DSS) tritt bald in Kraft. Bereiten Sie sich mit unserer PCI-DSS-Compliance-Checkliste vor.