Um den Datenschutz europaweit zu vereinheitlichen tritt ab 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft.
DSGVO in Bezug auf Verschlüsselung
Durch das neue Datenschutzgesetz werden die Anforderungen an die Verschlüsselung und sichere Lagerung von Daten auf den neuesten Stand der Technik gebracht. Bisher regelte § 9 BDSG diese Anforderungen an datenverarbeitende Unternehmen und Behörden. Ab Mai 2018 wird dieses Gesetz durch Art. 32 DSGVO ersetzt.
Auch wenn sich die neue Regelung auf den ersten Blick ziemlich abstrakt liest, gehen aus dem Artikel konkrete Vorgaben hervor. So wird unter anderem die „Pseudonymisierung und Verschlüsselung personenbezogener Daten“, sowie die Verwendung eines Verfahrens „zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ gefordert.
Gleichgeblieben ist, dass je nach Art und Kategorie der zu schützenden Daten, Schutzmaßnahmen zu treffen sind. Des Weiteren ist von „[…] Vertraulichkeit, […] Verfügbarkeit und Belastbarkeit“ der Systeme die Rede. Auch wenn dieser Absatz (b) des Art. 32 DSGVO keine konkreten Maßnahmen vorschreibt, liefert er doch einen moderneren Ansatz als die bisherige Erwähnung von u.a. „Zugangs- und Zugriffskontrolle“ (vgl. Anlage zu §9 Bundesdatenschutzgesetz). Außerdem ist die Wiederherstellbarkeit von Daten ein weiterer Punkt der ab nächstem Jahr für viele Unternehmen als Anforderung gestellt wird.
Wen betrifft das neue Datenschutz-Gesetz?
Im Grunde betreffen die neuen Regelungen jegliche Unternehmen und Behörden, welche mit personenbezogenen Daten arbeiten. Sobald mit dieser Art von Datensätzen gearbeitet wird, muss ab 2018 eine verstärkte Sorgfalt an den Tag gelegt werden. Dies bedeutet, dass neben der Sicherstellung der reinen Daten, zukünftig auch die Systeme dahinter auf ihre Belastbarkeit hin überprüft werden müssen.
Umsetzung der Verordnung zur Erhöhung der Datensicherheit
Da die neuen Regelungen relativ vage formuliert sind, ist es schwierig, geeignete technische und organisatorische Maßnahmen zu ergreifen. Um diesem Problem Abhilfe zu schaffen, ist die ISO 27002, eine international anerkannte Anleitung zur Informationssicherheit, ein wirksames Hilfsmittel. Diese stellt eine Norm da, die alle wesentlichen Bereiche abdeckt und dabei hilft die durch § 9 BDSG vorgegebenen Verfahren korrekt zu implementieren. Durch die übersichtliche Auflistung, können alle erforderlichen Bereiche nacheinander abgearbeitet werden.
Strafen bei nichteinhalten der neuen Datenschutz-Regelungen
Bei unzureichender Realisierung der geforderten Maßnahmen können hohe Bußgelder eingefordert werden. Die Datenschutz-Aufsichtsbehörden können demnach Bußgelder bis zu 10 Millionen Euro oder bis 2% des weltweit erzielten Jahresumsatz eines Unternehmens verhängen.
Fazit
Mit der Einführung der neuen Datenschutzverordnung sehen sich alle Unternehmen und Behörde, welche personenbezogene Daten erheben und/oder verarbeiten, in der Pflicht, ihre Systeme entsprechend zu verschlüsseln und zu überwachen. Mögliche Sicherheitslücken sollten durch eine permanentes Monitoring schnellstmöglich erkannt und geschlossen werden. Ohne eine professionelle Überwachung ist die Einhaltung der Datenschutzverordnung kaum mehr möglich.
Weiterführender Beitrag: Vertraulichkeit, Integrität, Verfügbarkeit – Einfach erklärt!