Lesezeit: 3 Min
Was bedeuten zunehmende Krisen für den Datenschutz?
Die Krisen auf der Welt nehmen gefühlt immer weiter zu. Immer öfter spüren auch die Unternehmen in NRW deren Auswirkungen. Dazu gehören auch zunehmende Angriffe auf die Cybersicherheit in Unternehmen, Schulen, Praxen, Kanzleien, Vereinen und allen weiteren Organisationen.
Cyberangriffe werden immer auch für den Datenschutz problematisch, da bei allen Angriffen auch immer personenbezogene Daten betroffen sein können.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Vor allem bei zunehmender Verarbeitung von personenbezogenen Daten von Betroffenen im Homeoffice und auf mobilen Endgeräten, werden diese besonderen Gefahren ausgesetzt.
Rechtliche und technische Ansprüche verknüpfen
Grundsätzlich muss man zwischen Datenschutz und Datensicherheit unterscheiden. Die Datensicherheit stellt vor allem für das Unternehmen einen wichtigen Baustein dar – hierbei geht es in erster Linie darum, Risiken und finanziellen Schaden vom Unternehmen abzuwenden. Dabei handelt es sich in der Regel eher um die technischen Aspekte.
Die rechtliche Seite stellt der Datenschutz dar, bei dem es um den Schutz der Betroffenen und die Wahrung Ihrer Rechte geht. Daher gehen Datenschutz und Datensicherheit zwar miteinander einher, sind aber nicht gleich zu setzen und verfolgen auch erst einmal nicht die gleichen Ziele.
BLOG-TIPP: DATENSICHERHEIT BEDEUTET NICHT DATENSCHUTZ
Technische Voraussetzung wichtig für den Datenschutz
Auch wenn Datenschutz und Datensicherheit nicht gleich zu setzen sind, so spielt gerade die technische Umsetzung und somit der Schutz in Form der technischen und organisatorischen Maßnahmen (TOM) in der Datenschutzgrundverordnung (DS-GVO) eine große Rolle.
Mobile Geräte und der Datenschutz
Gerade bei der Nutzung von mobilen Endgeräten, die mehr oder weniger losgelöst von der klassischen IT-Infrastruktur in Büroräumen fungieren, und in Anbetracht zunehmender Cyberangriffe, stellt sich die Frage: Welches Risiko stellen mobile Endgeräte für den Datenschutz dar? Wie beeinflussen die stetig wachsenden Krisen den Datenschutz?
Ziele der DS-GVO – Schutz durch Datensicherheit
Die DS-GVO definiert Schutzziele der Datensicherheit und der technischen und organisatorischen Maßnahmen (TOM), welche in regelmäßigen Abständen auch geprüft und angepasst werden sollten.
Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit von Daten bzw. der Systeme, sollen sicherstellen, dass die Datensicherheit durch den ausreichenden Einsatz von TOMs, personenbezogene Daten, deren Verarbeitung und den Betroffenen schützen.
Das bedeutet bei der Arbeit mit mobilen Endgeräten, dass auch der Datenschutz und die Datensicherheit, die in den Systemen und bei den Geräten im Büro umgesetzt werden, auch auf die mobilen Geräte übertragen werden müssen.
Dazu erfordert es eine weitgehende Prüfung der Abläufe und der Verarbeitung von personenbezogenen Daten auf den entsprechenden Geräten. Smartphones und Tablets, aber auch Notebooks und andere technische Geräte, die unterwegs genutzt werden können, stellen potenzielle Schwachstellen in Datenschutz und Datensicherheit dar.
Meldungen von Verletzungen im Datenschutz
Wie bei allen möglichen Datenpannen bzw. Datenschutzverletzungen, so müssen auch jene gemeldet werden, die auf oder durch mobile Endgeräte hervorgerufen werden. Erst im Februar warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht vor vermehrten Angriffen durch Cyberkriminelle und sprach von „Alarmstufe Rot“ bei der Cybersicherheit.
Es zeigt, dass hier noch dringend Nachholbedarf besteht.
Warnungen vor wachsender Gefahr von Cyberangriffen durch Krieg
Neben Coronakrise und wachsender Homeofficenutzung, stellt auch der Konflikt in der Ukraine und die angespannte Lage zu Russland eine nicht zu unterschätzende Gefahr dar. Bereits im März warnten Landeskriminalamt (LKA) und Landesdatenschutzbeauftragter in Mecklenburg-Vorpommern vor einer wachsenden Gefahr von Cyberangriffen.
Sie riefen dazu auf, dass Unternehmen und Organisationen Ihre IT-Sicherheit erhöhen. Dabei geht es um Datensicherungen, regelmäßige Sicherheits-Updates, aber auch um den Umgang beziehungsweise das Erkennen von Phishing-Mails.
BLOG-TIPP: PHISHING ANGRIFFE – EINE GEFAHR AUCH IM DATENSCHUTZ
Nutzungsvereinbarungen und Einschränkungen
Um mobile Endgeräte sicher zu nutzen, sollten entsprechende Geräte möglichst zentral von der IT-Abteilung betreut und herausgegeben werden. Darüber hinaus sollte die Verarbeitung von personenbezogenen Daten möglichst eingeschränkt und so weit wie möglich anonymisiert werden.
Auch die Übermittlung von Daten sollte entsprechend über verschlüsselte Wege (z.B. über einen VPN-Tunnel) erfolgen. Virenscanner, Firewall und Co sollten regelmäßig aktualisiert und geprüft werden. Eine Nutzungsvereinbarung, die die Nutzung der Geräte und Vorgaben dazu reguliert und festlegt, sollte in jedem Fall abgeschlossen werden.
Alle technischen und organisatorischen Maßnahmen, sowie die entsprechende Dokumentation im Verzeichnis von Verarbeitungstätigkeiten müssen schriftlich festgehalten werden. Zudem sollte auch die Rückgabe der Geräte zentral geregelt sein.
BLOG-TIPP: SCHUTZ PERSONENBEZOGENER DATEN NACH DS-GVO
Von weiteren Cyberangriffen kann ausgegangen werden
Der LKA-Direktor warnte bereits im März 2022 davor, dass von weiteren Cyberangriffen auszugehen ist. Dabei kann es sich zum Beispiel um falsche Spendenaufrufe o.ä. handeln. Gerade im Umgang mit personenbezogenen Daten und deren Sicherheit, sollte in jedem Fall der (externe) Datenschutzbeauftragte hinzugezogen werden.
Dieser sollte regelmäßig die Verarbeitung von personenbezogenen Daten auf mobilen Geräten beurteilen und Empfehlungen für die Einhaltung des Datenschutzes geben. Außerdem sollte die Umsetzung der IT-Sicherheit durch einen entsprechenden Fachmann betreut werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.