IT-Sicherheit und die Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung – was sie für Unternehmen und die IT-Sicherheit bedeutet

Spätestens zum 25. Mai 2018 muss die neue Datenschutz-Grundverordnung, kurz DSGVO, umgesetzt sein. Für viele Unternehmen stellt das eine große Herausforderung dar. Zusätzlich lässt die Formulierung des Gesetzestextes Spielraum zur Interpretation, was weitere Fragen aufwirft.Die Datenschutz-Grundverordnung wurde von der EU beschlossen und muss in den jeweiligen Mitgliedsstaaten durch die zuständigen Behörden umgesetzt werden. Konkret bedeutet dies, dass alle Unternehmen, die personenbezogene Daten speichern, verschärfte Sicherheitsmechaniken implementieren müssen. Weniger konkret ist das Gesetz jedoch im Bezug auf die Standards, die eingehalten werden müssen. So lautet die entsprechende Passage: „Unter Berücksichtigung des Stands der Technik, […] treffen der Verantwortliche […] geeignete technische und organisatorische Maßnahmen, um ein […] angemessenes Schutzniveau zu gewährleisten.“

Diese schwammige Formulierung wurde vom Gesetzgeber absichtlich gewählt. Zum einen ist man sich der rasanten Entwicklung der IT-Branche bewusst und will vermeiden, dass das Gesetz innerhalb kürzester Zeit veraltet. Zum anderen nimmt die Aussage „Unter Berücksichtigung des Stands der Technik“ die Unternehmen in die Pflicht, sich an den jeweils aktuellen Möglichkeiten zu orientieren. Aus diesem Umstand ergibt sich für alle Unternehmen, die personenbezogene Informationen auf ihren Systemen verarbeiten oder speichern, eine kontinuierliche Pflicht, sich über die Entwicklungen im Segment des Datenschutzes der IT zu informieren. Die Bundesregierung kommt ihrer Informationspflicht mit dem IT-Grundschutz-Kompendium nach und gibt technische Richtlinien heraus, die immer wieder aktualisiert werden. Zusätzlich informieren Fachverbände und Aufsichtsbehörden über relevante Themen der IT-Sicherheit.

Sich über den Stand der Dinge zu informieren ist jedoch nur der erste Schritt zur Umsetzung der Datenschutz-Grundverordnung. Wichtiger ist die praktische Anwendung und das stellt viele Unternehmen vor noch größere Probleme. Ein Großteil der Unternehmen hat noch gar keine konkreten Schritte unternommen, um ab Ende Mai gesetzeskonform zu sein, und viele Betriebe haben sich noch gar nicht mit der Thematik beschäftigt. Gleichzeitig sind die Unternehmen ab dem Stichtag in der Verantwortung und müssen im Falle einer Datenpanne mit empfindlichen Geldbußen rechnen. Helfen können hier erfahrene Dienstleister, die sich auf das Thema IT-Sicherheit spezialisiert und Erfahrungen mit der Umsetzung haben. Aus diesen Gründen sollte man sich schnellstmöglich mit dem Thema auseinandersetzen oder, um auf der sicheren Seite zu sein, die Partnerschaft mit einem IT-Dienstleister wie Cyberleaks suchen, der die Umsetzung der DSGVO übernimmt.