Blog, News

Wie gewährleiste ich Datenschutz in der IT?

Cloud Datenschutzexperte Rainer Schneemayer

Rainer Schneemayer gibt Tipps zum Datenschutz in der Cloud

Datenschutz ist derzeit das vorherrschende Thema im Bereich IT Security. Unternehmen stehen vor der Frage, wie sie ihre Daten speichern, damit sie die Bedingungen der DSGVO (Datenschutzgrundverordnung) erfüllen können. Dabei sind nicht nur die Speicherung relevant, sondern auch die Art der Übertragung und Verarbeitung und selbstverständlich auch die rasche und lückenlose Wiederherstellung nach einem Datenverlust.

Sinnvoll ist also nicht nur sich einzelne Bereiche der IT im Hinblick auf Datenschutz anzusehen, sondern das ganze IT Konzept des Unternehmens zu durchleuchten und alle Phasen von der Datengenerierung z.B. über die Website über die Speicherung bis hin zur Verwendung mit einzubeziehen.

Welche Daten sind betroffen?

In der DSGVO wird der Umgang mit allen personenbezogenen Daten geregelt, deren Speicherung bzw. Archivierung nicht aufgrund einer gesetzlichen Regelung erfolgen muss. Wenn Sie also z.B. Namen und E-Mailadressen von Personen über Ihre Website sammeln, Mitarbeiter- oder Kundendaten speichern oder ein Verzeichnis über ihre ehemaligen Kunden angelegt haben, dann sind Sie zur Erfüllung der Regelungen in der DSGVO verpflichtet. Wichtig ist außerdem, dass wenn sich die Speicherung der Daten nicht aufgrund eines Vertragsverhältnisses als zwingend erweist, Sie als Unternehmer den Zweck der Speicherung angeben müssen. Jede einzelne Person muss dafür nachweisbar ihr Einverständnis gegeben haben.

 

Welche Bereiche sind betroffen?

Wie schon kurz erwähnt, betrifft die DSGVO alle Bereich der elektronischen Datenverarbeitung.

  • Erstens muss die physische Sicherheit der Server sichergestellt sein. Das bedeutet im weitesten Sinne, dass Server so untergebracht sein müssen, dass sie nicht durch Feuer, Stromausfall usw. gefährdet sein und dass keine unberechtigten Personen Zugang zu ihnen haben dürfen.
  • Zweitens muss die Übertragung der Daten verschlüsselt sein. Dadurch kann niemand die Daten auslesen.
  • Drittens sollte die Speicherung in einer hochsicheren Storage stattfinden, damit Daten nicht gestohlen werden können.
  • Viertens muss ein Backup der Daten gemacht werden, dass bei Datenverlust diese garantiert wieder hergestellt werden können.

 

IT (Cloud)-Anbieter hat Schlüsselposition

Der erste Schritt in Richtung Datensicherheit ist daher vor allem bei Hybrid und Public Cloud Szenarien sich von der Compliance des Cloud Anbieters zu überzeugen. Diese ist dann gegeben, wenn der Anbieter sich selbst gemäß den DSGVO Bestimmungen verhält und über entsprechende Zertifikate verfügt. Ein kompetenter Cloud Provider wird auch immer ein Konzept zu allen, der obigen vier Punkten mitliefern. Wir von Timewarp beginnen immer mit einer gründlichen Analyse der momentanen Situation und dem Aufzeigen möglicher Schwachstellen oder Sicherheitslücken. Danach entwerfen wir gemeinsam mit dem Kunden Ziele für die einzelnen Bereiche und einen Maßnahmenplan zur Umsetzung. Dieser Maßnahmenkatalog bildet die Basis für eine umfassende Dokumentation im Sinne der DSGVO.

 

Hohes Strafausmaß

Die in der DSGVO vorgesehenen Strafen sind sehr hoch (bis zu 20 Mio € oder 4% vom Konzernumsatz, je nachdem was höher ist) und können durchaus existenzgefährdende Ausmaße annehmen. Ein weiterer aus Sicht der Unternehmen prekärer Punkt ist die Beweislastumkehr. Dabei müssen Unternehmen im Falle einer gerichtlichen Auseinandersetzung, nachweisen, dass sie alle nötigen Maßnahmen zum Schutz der Daten unternommen haben. Nicht zuletzt deshalb sind die Compliance des Cloud Providers von zentraler Bedeutung und die Dokumentation der einzelnen Schritte zur Umsetzung der Datenschutzmaßnahmen.

 

Weitere Informationen finden Sie unter https://timewarp.at/dsgvo-fitnesscheck

 

 

 

Diesen Artikel teilen:
Veronika Pambalk