EU-DSGVO: Was bedeutet eigentlich „Stand der Technik“?

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

EU-DSGVO: Was bedeutet eigentlich „Stand der Technik“?

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Der Countdown läuft: Ab dem 25. Mai 2018 greift die EU-Datenschutzgrundverordnung (EU-DSGVO). Bis zu diesem Stichtag sind Unternehmen verpflichtet, ihre IT-Landschaft entsprechend dem "Stand der Technik" abzusichern. Aus dieser mehr als vagen Begrifflichkeit müssen sie konkrete Maßnahmen für ihre IT-Sicherheit ableiten – andernfalls drohen empfindliche Bußgelder. Von André Neumann

André Neumann, Nexinto

Der Countdown läuft: Ab dem 25. Mai 2018 greift die EU-Datenschutzgrundverordnung (EU-DSGVO). Bis zu diesem Stichtag sind Unternehmen verpflichtet, ihre IT-Landschaft entsprechend dem „Stand der Technik“ abzusichern. Aus dieser mehr als vagen Begrifflichkeit müssen sie konkrete Maßnahmen für ihre IT-Sicherheit ableiten – andernfalls drohen empfindliche Bußgelder. Von André Neumann

Drei kleine Worte mit großem Raum für Interpretation: Der „Stand der Technik“ ist ein wesentlicher Terminus der neuen EU-DSGVO, die in weniger als acht Monaten volle Gültigkeit erhält. Sie regelt europaweit Schutz und Verarbeitung personenbezogener Daten. Konkret heißt es in Art. 32 der EU-DSGVO: „Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Diese sehr schwammigen Gesetzesformulierungen lassen Unternehmen, die nicht gerade aus der IT-Branche kommen, etwas hilflos zurück: Was hat es genau mit dem Stand der Technik auf sich? Welche IT-Sicherheitsmaßnahmen sind jetzt konkret zu ergreifen?

Bewusster Spielraum für Interpretationen

Die Begrifflichkeit „Stand der Technik“ ist vom Gesetzgeber bewusst maximal interpretierbar formuliert. Das hat verschiedene Gründe. Zum einen entzieht sich der Gesetzgeber selber einer potentiellen Haftung oder Anfechtbarkeit. Zum anderen ist die technologische Entwicklung heute so schnell, dass die im Gesetzestext aufgeführten Technologien und Verfahren unter Umständen schon wieder veraltet sein könnten, wenn das Gesetz in Kraft tritt. Dennoch sind Unternehmen gefordert, ihre Sicherheitskonzepte auf diesem schwammigen Podest aufzubauen.

Der Stand der Technik impliziert drei Stufen: Die erste umfasst einen Konsens zu Technologien und Konzepten, die bereits erprobt und eingeführt sind. Hier besteht der Nachteil darin, dass innovative Ansätze dabei keine Rolle spielen. Die zweite Ebene verzichtet auf den Konsens und setzt dafür schneller auf innovative Technologien. In der dritten geht es um Technologien, die es noch in Wissenschaft und Forschung zu erproben gilt. Am sinnigsten für die EU-Datenschutzgrundverordnung ist eine Einsortierung des Stands der Technik zwischen der ersten und zweiten Ebene – also der Kombination aus bewährten und innovativen Technologien, um maximale Sicherheit herzustellen.

Übersetzung notwendig?

Für Unternehmen bedeutet das konkret, sich selbst darüber auf dem Laufenden zu halten, was aktuell der Stand der Technik ist. Hier helfen Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiter. Insbesondere der Grundschutzkatalog und technische Richtlinien, die das BSI regelmäßig aktualisiert, beschreiben gewisse Mindeststandards, die Unternehmen einhalten sollten. So hat das BSI beispielsweise im Februar 2017 seine technische Richtlinie für kryptographische Verfahren aktualisiert. Darin sind konkrete Technologien und Verfahren empfohlen – unter anderem etwa AES-128 für Blockchiffren zur Verschlüsselung.

Neben dem BSI lohnt sich ebenso ein Blick auf das Informationsmaterial der Aufsichtsbehörde für Datenschutz sowie der Fachverbände. Unternehmen erhalten auf diese Weise zumindest eine Vorstellung, was an technologischen Maßnahmen nötig ist. Wie diese dann noch konkret umzusetzen sind oder welcher Hersteller dafür zu empfehlen ist, gilt es dann anschließend herauszufinden.

Eine weitere gute Orientierungshilfe zum Datenschutz sind Zertifikate etwa zur Informationssicherheit nach ISO 27001. Für die EU-DSGVO gibt es derzeit keinen einheitlichen zertifizierbaren Standard. Es existieren allerdings verschiedene Modelle, die Teilbereiche abdecken. Hier wäre beispielsweise der Anforderungskatalog des BSI „Cloud Computing Compliance Controls Catalogue“ (C5) sowie das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz (ULD) von Schleswig-Holstein, das ebenfalls praktische Guidelines zum Datenschutz veröffentlicht, zu nennen. Allerdings ist ein Zertifikat in der Regel lediglich eine Momentaufnahme des Sicherheitsstatus, während sich der Stand der Technik dynamisch weiterentwickelt. Daher ist in diesem Kontext für die Zukunft noch ein valides Vorgehen zu finden.

Verantwortung nicht übertragbar

Einer repräsentativen Umfrage des Branchenverbandes Bitkom zufolge, fühlte sich im September 2017 noch immer ein Großteil der befragten deutschen Unternehmen nicht vorbereitet auf die EU-DSGVO. Lediglich 13 Prozent gaben an, konkrete Maßnahmen in Angriff genommen zu haben. Gleichzeitig beschäftigen sich immerhin 49 Prozent mit dem Thema. Viele Unternehmen haben in der Praxis Schwierigkeiten, sich mit den umfangreichen Anforderungen der EU-DSGVO auseinanderzusetzen und diese noch in konkrete Maßnahmen zu übertragen. So bemängelten 34 Prozent das Fehlen von praktischen Umsetzungshilfen. Zahlreiche Unternehmen sind daher auf die Zusammenarbeit mit erfahrenen Dienstleistern angewiesen, die sich tagtäglich mit Risikoszenarien, Abwehrmechanismen und ganzheitlicher Sicherheit auseinandersetzen. Dabei bleibt das Unternehmen als Kunde trotzdem weiterhin die verantwortliche Stelle. Dies wiederum stellt nicht automatisch einen Freibrief für IT-Dienstleister dar, ihre Hände im Fall einer Datenpanne in Unschuld zu waschen.

Hohe Bußgelder drohen

Mit der EU-DSGVO kommt auf sie eine höhere Beratungs- und Informationspflicht zu – speziell, was den „Privacy-by-Design“-Ansatz anbelangt, der auf eine grundlegende, ganzheitliche Sicherheit personenbezogener Daten abzielt. Mit der EU-DSGVO ist die Auswahl eines passenden Providers mehr denn je auch eine Frage der vertrauensvollen Zusammenarbeit.

So muss etwa der Provider melden, wenn es zu einer Datenpanne kommen könnte – selbst, wenn beispielsweise noch kein Datendiebstahl stattgefunden hat. Hintergrund ist die dafür vorgesehene Meldepflicht, die Unternehmen erfüllen müssen. Sie müssen sicher sein, dass der IT-Dienstleister hierbei ihnen gegenüber maximal transparent ist. Werden Versäumnisse und Datenpannen öffentlich, drohen empfindliche Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Konzern-Vorjahresumsatzes, je nachdem, welche Summe höher ist.

Fazit

Die Anforderungen der EU-Datenschutzgrundverordnung umzusetzen, fällt Unternehmen nicht leicht. Im Blick auf den Stand der Technik gilt es, den individuellen Schutzbedarf genau abzuwägen und darauf basierend zu entscheiden, welche Technologie am besten passt. Doch zu viele zu berücksichtigende Aspekte oder Komponenten sowie unkonkrete Vorgaben verunsichern die Unternehmen, die verstärkt auf externe Experten angewiesen sind, um bis Mai 2018 gewappnet zu sein.

Über den Autor: André Neumann ist Director Supplier Management & Data Privacy bei Nexinto.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Die Mode-Suchmachine Lyst hat anlässlich des Black Friday 2019 das Kaufverhalten von Verbrauchern in Deutschland und weltweit untersucht. Der Report bringt spannende Erkenntnisse zutage.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Social Commerce

Neue Trends im Onlinehandel

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.