Digitale Sicherheit und Datenschutz
Digitalisierung sicher gestalten
Der digitale Wandel ist in vollem Gange: Tag für Tag werden zunehmend mehr personenbezogene Daten erhoben, gespeichert und somit verarbeitet. Die Einhaltung des Datenschutzes wird daher umso notwendiger. Es gilt unter anderem zu klären, unter welchen Bedingungen personenbezogene Daten rechtskonform in digitalen Systemen verarbeitet werden dürfen, wie eine Einwilligung auszugestalten sowie vorzuhalten ist und wie vollständig Auskunft an betroffene Personen erteilt werden kann.
Hinzukommt, dass die Komplexität aus Artikeln und Paragrafen durch die DSGVO (Datenschutz-Grundverordnung), dem BDSG (Bundesdatenschutzgesetz), aber auch durch DSG-EKD (Datenschutzgesetz der Evangelischen Kirche Deutschland) und KDG (Katholisches Datenschutzgesetz) zugenommen haben. Digitale Sicherheit und Datenschutz sind dennoch essenziell - wir nehmen Sie an die Hand und führen Sie pragmatisch durch die Komplexität. Wir sind Ihr kompetenter Ansprechpartner für den Datenschutz, die Informationssicherheit, Cloud- & Cyber-Security-Themen sowie die Compliance.
Das Thema Datenschutz geht jeden Bereich eines Unternehmens etwas an, denn Datenpannen können überall passieren: Ein Serverraum wurde nicht abgeschlossen, eine Excel-Datei an einen falschen Verteiler geschickt und schon ist ein Verstoß gegen rechtliche Verordnungen passiert. Was früher noch unter „kann ja mal passieren“ verbucht wurde, ist spätestens seit Einführung der DSGVO keine Lappalie mehr. Allein bei verspäteter Meldung einer Datenpanne können empfindliche Bußgelder verhängt werden.
Die Digitalisierung bringt hierbei viele Vorteile mit sich. Dateien liegen in strukturierten Dateiablagen vor, das Einwilligungsmanagement kann genau gesteuert werden und die Verfügbarkeit, Vertraulichkeit und Integrität der Daten kann technisch sichergestellt werden. Allerdings macht die Digitalisierung auch angreifbar. Cyber-Angriffe auf Organisationen nehmen im Eiltempo zu. Oftmals reicht Angreifenden eine E-Mail aus, um elementare Systeme zu kompromittieren und aus geschützten Daten öffentliche zu machen. Neben massiven Ausfällen können die Schutzziele der Informationssicherheit verletzt werden.
IT-Systeme müssen daher technisch und organisatorisch abgesichert werden. Die Gewährleistung der Cybersicherheit stellt eine zentrale Maßnahme gegen die digitalen Herausforderungen dar. Die eigenen Mitarbeitenden bilden hierbei die erste Verteidigungslinie und müssen entsprechend geschult sein, um digitalen Cyber-Angriffen gegenüber gewappnet zu sein. Oder zusammengefasst in einem Satz: Digital will gelernt sein.
Aktuelle News & Termine
Kriterienkatalog C5: Was Sie wissen müssen
Das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG) vom 22. März 2024 ebnet den Weg für eine digitale Transformation und ein modernes, patientenzentriertes Gesundheitssystem.
Die ISO/IEC 27001: Änderungen und Anpassungsbedarf für Unternehmen
Die ISO/IEC 27001 wurde aktualisiert – Unternehmen müssen ihr ISMS an die neuen Anforderungen anpassen. Erfahren Sie, welche Änderungen die Norm bringt und wie unsere ISMS-Beratung Sie dabei unterstützen kann.
Webinar: Bring Your Own Device
Zur ganzheitlichen Sicherstellung rechtlicher Anforderungen sind eine Reihe von Maßnahmen zu berücksichtigen bei der Einführung von "BYOD". In unserem Webinar zeigen wir Ihnen, welche Vorbereitungen erforderlich sind und was Sie in der Anwendung beachten sollten.
Vom Potenzial zur Praxis: Wie KI die Sozialwirtschaft verändert
Das Webinar bietet einen kompakten Überblick über den aktuellen Einsatz von KI in der Sozialwirtschaft und die Einstellungen von Führungskräften dazu.
Online-Seminar: Verarbeitungsverzeichnis DSGVO/DSG-EKD/KDG
In diesem Workshop erarbeiten Sie praxisorientiert die rechtlichen Grundlagen zum Führen des Verarbeitungsverzeichnisses.
Was bedeutet Datenschutz?
Datenschutz ist ein Grundrecht und lässt sich aus der Grundrechte-Charta der EU ableiten. Der Datenschutz bietet den Menschen Schutz vor missbräuchlicher Verarbeitung ihrer personenbezogenen Daten und die Wahrung ihrer informationellen Selbstbestimmung. Jeder Mensch soll grundsätzlich selbst darüber entscheiden können, wem welche persönlichen Daten zugänglich gemacht werden.
Als datenschutzrechtliche Grundlage gilt seit 2018 die DSGVO in Deutschland, wie auch in der gesamten EU. Grob gesagt, wird durch die europäische Regelung die Verarbeitung personenbezogener Daten reguliert. Sie dient dem Schutz der Privatsphäre von betroffenen Personen ebenso wie dem Schutz der Aufgaben und Prozesse in Unternehmen und Organisationen: „Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen“ (Erwägungsgrund 4, DSGVO). Die DGSVO legt in dieser Funktion die Grundsätze für die Verarbeitung personenbezogener Daten fest: „Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)“ (Art. 5 Abs. 1 a) DSGVO).
Für Unternehmen und Organisationen ist das Thema Datenschutz daher elementarer Bestandteil ihres Schaffens. Die Digitalisierung unterstützt einerseits, um die Vorgaben der Datenschutz-Grundverordnung und weiterer Datenschutz-Gesetze und -Regelungen einzuhalten. Zudem sorgen digitale Anwendungen und Prozesse für mehr Flexibilität. Die Digitalisierung schafft andererseits aber auch Angriffspunkte, denen professionell begegnet werden muss.
Obwohl die datenschutzrechtliche Verordnung und das Gesetz des Bundes sowie der Kirchen (wie das BDSG, das DSG-EKD oder das KDG) in erster Linie auf die Interessen der betroffenen Personen abzielen, profitieren auch Unternehmen und Organisationen von Datenschutzkonformität. Durch Vorschriften wie diese werden sensible Unternehmensdaten gleichermaßen geschützt.
Unternehmen im digitalen Wandel
Bestimmte Prozesse finden in jedem Unternehmen und in Organisationen statt – egal ob in der Wirtschaft oder im Sozialwesen, bzw. in der Kirche. Sei es Angebote schreiben, Bestellungen abwickeln oder Rechnungen erstellen – standardisierte Vorgänge, die sich nur selten voneinander unterscheiden. Im Zuge der Digitalisierung in Unternehmen und Organisationen können jene Prozesse effizienter und transparenter gestaltet werden. Beispielsweise können Waren automatisch nachbestellt werden, sobald nur noch eine gewisse Anzahl vorhanden ist. So spart man Zeit und Arbeitskraft und somit am Ende: Geld.
Beispiele für erfolgreiche Umsetzung von Digitalisierungs-Konzepten gibt es viele, von Dokumentenmanagementsystemen über Buchhaltungssoftware können vor allem in der Verwaltung meist Prozesse digitalisiert werden. Aber es lohnt sich, kreativ zu sein und über den Tellerrand zu schauen. So entwickelte ein Unternehmen beispielsweise eine Software, die Optikerinnen und Optiker bei ihrer Arbeit unterstützt. Augenoptische Messungen, die garantieren, dass eine Brille passt, mussten so nicht länger mit teuren, stationären Systemen durchgeführt werden, sondern bequem mit dem Tablet. So konnte bei der Messung einiges an Geld gespart und der Prozess optimiert werden, da die neue Software schneller und genauer arbeitet.
Ein anderes Beispiel bezieht sich auf ein Kleinunternehmen aus Bremen. Es vermittelt Aufträge für Spezialdrucke zwischen Kundinnen und Kunden und Druckereien, bspw. ungewöhnliche Formate oder besondere Papiere. Das Kleinunternehmen macht die Spezialdruckereien ausfindig und vermittelt zwischen Kund/innen und Auftraggebendem. Das Bearbeiten einer Anfrage? Komplex, da viele Parameter bei der Recherche mit reinspielen. Die Idee? Eine KI (künstliche Intelligenz) mit vorherigen Aufträgen füttern, damit diese selbstständig lernt, welche Anfrage zu welchem Druckprodukt passt. Was jetzt noch in der Testphase ist, soll zeitnah in den Einsatz gehen und jede Menge Zeit und Aufwand sparen.
Dies sind nur zwei Beispiele von vielen, die zeigen, dass digitaler Wandel für mehr Effizienz sorgen kann, solange man demgegenüber aufgeschlossen ist.
Korrekte Verschlüsselung gemäß DSGVO
Die DSGVO gibt außerdem das Umsetzen von Verschlüsselungskonzepten vor, die die Datensicherheit gewährleisten sollen. Durch die Nutzung von Cloud-Diensten werden beispielsweise Daten im Ruhezustand beim Anbietenden abgelegt und während der Verarbeitung über das Internet übertragen. Beide Formen der Verarbeitung, also die bloße Speicherung und die Übertragung, müssen mittels einer wirksamen Verschlüsselung abgesichert werden, um eine unbefugte Offenlegung der Daten zu verhindern. Hierzu existieren verschiedene Verfahren. Grob gesagt werden bei einer Verschlüsselung Daten in eine für unbefugte Personen nicht mehr lesbare Form verwandelt. Die verschlüsselten Daten können erst mithilfe des „richtigen“ Schlüssels in ein lesbares Format entschlüsselt werden.
Darauf sollten Sie achten:
- Mitarbeitende regelmäßig schulen
- IT-Infrastrukturen auf Lücken untersuchen
- Wirksame Verschlüsselungskonzepte entwickeln
- Aufmerksam sein und bleiben. Sobald neue Lücken in Systemen öffentlich oder Hacking-Angriffe populär werden, sollten Sie davon wissen
So werden gleich zwei Zwecke erfüllt, einerseits die Datenschutzkonformität hinsichtlich des europäischen Rechts sowie gesetzliche Interessen und andererseits die Sicherheit Ihrer Systeme.
Das Verhältnis von Digitalisierung und Datenschutz
Die Vereinbarung von Datenschutz und Digitalisierung wirkt auf den ersten Blick meist schwierig. Datenschutz wird meist als das unbequeme Bürokratiemonster angesehen, das digitale Innovationen hemmt und alles verkompliziert. Dass dieser jedoch dem Schutz von Personen und Organisationen dient, haben wir bereits festgestellt.
Unternehmen und Organisationen sind angehalten, Risiken wie Hacking-Angriffe und den dadurch resultierenden unerlaubten Zugriff auf Daten durch sichere Präventivmaßnahmen zu bekämpfen. Solche und andere Aspekte der Datenschutz-Grundverordnung umzusetzen, kostet nicht nur Zeit, sondern auch Geld. Nur das Nicht-Umsetzen und der Verlust von Daten oder die damit verbundenen Bußgelder sind noch teurer. Die Digitalisierung leistet hier einen erheblichen Beitrag, um dem Schutzbedürfnis der eigenen Organisation auf die Gefahren von außen nachkommen zu können.
Datenschutz kann außerdem auch als Wettbewerbsvorteil dienen. Da vielen Privatpersonen inzwischen der gewissenhafte Umgang mit ihren Daten und der Schutz ihrer Privatsphäre ein persönliches Anliegen sind, kann eine offene Kommunikation von Datenschutzkonformität die Reputation der eigenen Organisation stärken.
Schlussendlich will die DSGVO die Datenverarbeitung (und damit zusammenhängende Innovationen) nicht verbieten, sondern setzt lediglich einen klaren Rahmen. Verarbeitungen personenbezogener Daten sind zulässig, wenn sie einen Zweck erfüllen, erforderlich sind, oder die betroffenen Personen ihr Einverständnis gegeben haben. Dabei spielt es keine Rolle, ob die Verarbeitung mit Stift und Papier geschieht oder ob digitale Prozesse genutzt werden. Somit ist auch dem Grundrecht auf informationelle Selbstbestimmung Rechnung getragen, welches im Grundgesetz verankert ist und welches sich aus den Artikeln 1 und 2 GG ergibt.
Datenverarbeitung und Datensicherheit
Die Verarbeitung von personenbezogenen Daten ist einer der zentralen Punkte innerhalb der Datenschutz-Grundverordnung. Zunächst muss hierbei festgehalten werden, was alles als Verarbeitung gilt. Laut der Datenschutz-Grundverordnung gehören zu Verarbeitungsvorgängen:
- erheben
- erfassen
- organisieren
- ordnen
- speichern
- anpassen oder verändern
- auslesen
- abfragen
- verwenden
- offenlegeng durch Übermittlung, Verbreitung oder einer anderen Form des bereitstellen
- abgleichen oder verknüpfen
- einschränken, löschen oder vernichten personenbezogener Daten.
Unüberlegte Handlungen mit Daten sind hierdurch ausgeschlossen, denn es soll eine Verarbeitung im Dienste der Menschheit stattfinden und auch nur dann, wenn die Betroffenen damit einverstanden, oder die Verarbeitung notwendig ist.
Auf Grund des benötigten Schutzes der Daten, der in den Verordnungen der europäischen Regelungen festgehalten ist, müssen Unternehmen viel Verantwortung übernehmen. Rechtswidrige Verarbeitung kann eine Nachlässigkeit sein, wenn beispielsweise eine Liste mit personenbezogenen Daten an einen falschen Verteiler geschickt wird – sie kann allerdings auch mit voller Absicht passieren, durch einen Hacking-Angriff. Zunächst sollte in regelmäßigen Abständen die IT-Infrastruktur hinsichtlich Mängel und Lücken untersucht werden, um diese zu beheben.
Obwohl Systeme immer sicherer werden, sind solche Angriffe nach wie vor allgegenwärtig. Wie kann das sein? Hackerinnen und Hacker nutzen häufig den Weg über die Mitarbeitenden, um in ein System einzudringen – eine trügerische E-Mail nicht erkannt, auf einen Link geklickt und schon sind die Daten verloren. Wie kann man sich davor schützen? Geschulte Mitarbeitende erkennen trügerische Mails und leiten sie an die IT weiter, ohne darauf zu antworten. Regelmäßige Security-Awareness Trainings sind hierfür unerlässlich, so wird das Einfallstor zum Schutzwall.
Experten für Ihre Daten:
Sicher digital mit Althammer & Kill
Sie haben Fragen zur digitalen Sicherheit und Datenschutz in Ihrer Organisation oder möchten mehr zu unseren weiteren Leistungen in den Bereichen Datenschutzberatung, Cloud- & Cyber-Security-Beratung und Compliance-Beratung erfahren? Wir stehen Ihnen gerne zur Verfügung. Weiterhin bieten wir Ihnen auch die Beratung zur Informationssicherheit an. Mit uns können Sie digitale Sicherheit und Datenschutz in Ihrem Unternehmen gestalten, sowohl durch eine konkrete Bestandsaufnahme mit anschließender zielgerichteter Beratung als auch durch effiziente Datenschutz-Folgenabschätzung und fundierte Schulungen.
Sie erreichen uns telefonisch, über unser Kontaktformular oder per E-Mail an info@althammer-kill.de. Wir sind bundesweit tätig und freuen uns auf Ihre Anfrage!