Das neue europäische Datenschutzrecht erfordert Maßnahmen in technischer Hinsicht, die höchsten Sicherheitsanforderungen genügen.
Die EU-Datenschutz-Grundverordnung (DS-GVO), die am 24. Mai 2016 verabschiedet wurde, tritt zwei Jahre später, am 25. Mai 2018, in Kraft. Sie enthält verschiedene Öffnungsklauseln, die es den jeweiligen Mitgliedstaaten ermöglicht, bestimmte Bereiche des Datenschutzes auch auf nationaler Ebene bis zu diesem Zeitpunkt zu regeln. Für Deutschland wurde mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUGEU) eine entsprechende Vorschrift vom Bundestag verabschiedet. Dieses Gesetz dient dem Ziel, das Datenschutzrecht an die Verordnung (EU) 2016/679 anzupassen sowie die Richtlinie (EU) 2016/680 umzusetzen. Mittlerweile hat auch der Bundesrat dem Gesetzentwurf zugestimmt.
Datenschutzfreundliche Voreinstellung
Um den Schutz der Daten zu gewährleisten, sind in dem Gesetz Regelungen enthalten, die für den Bereich Datensicherheit der Umsetzung von notwendigen technischen und organisatorischen Maßnahmen dienen. Namentlich sind das:
- Artikel 25 (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen)
- Artikel 32 (Sicherheit der Verarbeitung) und
- Artikel 47 (Verbindliche interne Datenschutzvorschriften)
Die relativ konkreten Regelungen der Anlage 1 zu § 9 Bundesdatenschutzgesetz (BDSG), wie etwa die Pflicht zur Verschlüsselung einer E-Mail mit personenbezogenen Daten, finden sich im Entwurf des neuen BDSG nicht mehr. Vielmehr weisen die Artikel 25 Abs. 1 sowie 32 Abs. 1 darauf hin, dass nun der Stand der Technik bei den eingesetzten Verfahren vorgehalten werden muss. In Artikel 42 Abs. 2 sind unter anderem Ausführungen enthalten, wonach der Schutz der Daten künftig durch die Gestaltung der Technik sowie durch datenschutzfreundliche Voreinstellungen zu gewährleisten ist. Das beinhaltet auch die E-Mail-Verschlüsselung nach dem Stand der Technik.
Stand der Technik
In diesem Zusammenhang stellt sich natürlich die Frage, was unter dem Stand der Technik zu verstehen ist. Denn der Begriff ist zunächst einmal unbestimmt. Insoweit könnte man auf eine Empfehlung des TeleTrusT Bundesverbands IT-Sicherheit zum Stand der Technik zurückgreifen, die sich an die im Rahmen der notwendigen beziehungsweise erforderlichen Maßnahmen orientiert, die laut dem IT-Sicherheitsgesetz (ITSiG) gefordert werden. Darunter fallen unter anderem Maßnahmen im Zusammenhang mit:
- einer sicheren Vernetzung
- einem abgesicherten Internetzugang
- einer Mehrfachauthentifikation bei der Anmeldung
- Antivirusprogrammen sowie
- einem sicheren Logon
Schutz vor Cyberkriminalität
Man kann davon ausgehen, dass die Unternehmen zum heutigen Zeitpunkt nicht ausreichend vor Cyberkriminalität geschützt sind.
Unabhängig von den voranstehenden Ausführungen sollten die Unternehmen weitreichende Ressourcen bereitstellen, um die IT-Sicherheit und damit auch den Schutz personenbezogener Daten zu gewährleisten. Nach einer Vielzahl von Medienberichten und Aussagen von IT-Sicherheitsexperten ist jedoch davon auszugehen, dass die Unternehmen zum heutigen Zeitpunkt nur sehr unzureichend gegen Hackerangriffe und die Verschlüsselung von Firmendateien geschützt sind. Mit der Folge, dass zum einen die IT-Sicherheit beziehungsweise der fortlaufende Geschäftsbetrieb sowie zum anderen der Datenschutz massiv gefährdet sind.
Ausblick
In Anbetracht der jüngsten Vergehen im Bereich der Cyberkriminalität ergibt sich daher für die Firmen und Betriebe ein entsprechender Handlungsbedarf, um sich gegen derartige Angriffe wirkungsvoll zu schützen. Mit Blick auf eine zukünftige IT-Strategie, die den skizzierten Bedrohungen entgegenwirkt, steht DATEV für offene Fragen jederzeit zur Verfügung und bietet darüber hinaus den Unternehmen umfassende Unterstützung rund um das Thema IT-Sicherheit an.
MEHR DAZU
finden Sie unter www.datev.de/dsgvo und www.datev.de/datenschutz
