Lesezeit ca. 6 Minuten

IT-Datenschutz

Darauf sollten Unternehmen besonders achten!

Für die meisten Unternehmen sind Datenschutz und Betriebssicherheit besonders kritische Aspekte. Im Interview mit Datenschutzbeauftragter Rüdiger Gropp und IoT-Berater Günter Piro, haben wir über die rechtlichen Rahmenbedingungen, Sicherheitsvorkehrungen, Bedenken der Unternehmen und Schutzmaßnahmen im Hinblick auf den Datenschutz geredet. 

Herr Piro, was sind aus Ihrer Sicht die Bedenken bzw. Hürden der Unternehmen bei diesem Thema?

Piro: Ich bin der Meinung, dass die Bedenken aus einem Sammelsurium von verschiedenen Faktoren bestehen. Bei den Verantwortlichen bzw. Entscheidern, in den jeweiligen Unternehmen ist es zum einen die Unsicherheit und zum anderen die Unwissenheit/Unkenntnis der möglichen Techniken.

Können Sie das ganze etwas näher beschreiben?

Piro: Die meisten Entscheider in Unternehmen haben heutzutage – von meinem Standpunkt aus – kein technisch fundiertes Hintergrundwissen. Das macht sie bezüglich der Datensicherheit oder den potenziellen Schwachstellen sehr empfänglich. Das ist mit Sicherheit ein wesentlicher Grund für die Zurückhaltung. Ein zweiter Grund, der genauso wichtig ist, besteht darin, dass viele IoT-Technik-Hersteller bei dem Aufkommen, bei der Entstehung eines Datenlecks oder bei einer Datenpanne, sehr restriktiv mit ihren Informationen umgehen. Um das zu belegen, hat zum Beispiel die IoT SF – das ist die IoT Security Foundation – im Jahr 2018 eine repräsentative Umfrage durchgeführt, in der festgestellt wurde, dass nur zehn Prozent aller befragten Firmen überhaupt ein Datenproblem meldeten und von diesen wiederum nur ein Prozent in der Lage war, innerhalb der gesetzlich vorgeschriebenen 90 Tage diese Datenschwachstelle zu beheben. Das heißt also: Insgesamt kann man feststellen, dass die Firmen sehr zurückhaltend mit Informationen sind. Das sind für mich eigentlich die Hauptgründe für die Zurückhaltung und die Bedenken.

Von der Konzeptionsphase/Planungsphase bis über die Realisierung ist Datensicherheit und Datenschutz ein prinzipieller Bestandteil unserer ganzen Unternehmung!  

Günter Piro

Jetzt stellt sich die Frage, wie man Daten sinnvoll schützt und dafür sind gesetzliche Rahmenbedingungen gesetzt. Herr Gropp, wie sieht die rechtliche Lage zum Thema Datenschutz aus?

Gropp: Die EU-Datenschutz-Grundverordnung ist eigentlich das Schwerpunktthema, wenn es um den Schutz von Daten geht. Die haben wir seit dem 25.05.2018. Und insbesondere bedeutet das für Unternehmen, dass sie sich Gedanken um ihre technischen und organisatorischen Maßnahmen für den Datenschutz machen müssen. Das ist das, worauf es letztendlich ankommt. Genau diese technischen und organisatorischen Maßnahmen bedingen den Datenschutz und ermöglichen den Unternehmen bei entsprechender Umsetzung dafür zu sorgen, dass man halbwegs sicher ist. Denn hundertprozentige Sicherheit gibt es nicht.

Was sind die wesentlichen Inhalte der EU-Datenschutz-Grundverordnung? Können Sie kurz auf die Gesetze eingehen?

Gropp: Wir haben in der EU-Datenschutz-Grundverordnung den Artikel 32 und in dem neuen Bundesdatenschutzgesetz den Paragraph 64. Darin ist geregelt, wie die Dinge zu handhaben sind und worauf man achten sollte. Darin sind verschiedene Punkte genannt, z.B. wenn es um Zugangskontrolle geht: Wie man damit umgehen kann, um den Zugang zu seinen Systemen zu schützen. Das fängt schon damit an, dass man im Gebäude/Umfeld entsprechende Maßnahmen vornehmen kann, um es entsprechend sicher zu gestalten. Das ganze geht dann weiter über die Zutrittskontrolle und Zugriffskontrolle: Das man sicherstellen kann, dass auch nur diejenigen an das System herankommen, die auch die Berechtigung dafür haben. Man muss darüber hinaus auch verschiedene andere Dinge in den Griff bekommen: z.B. das Thema Datenträgerkontrolle. Das man eben auch schaut, wie man Datenträger sicher machen kann. Da gibt es verschiedene Möglichkeiten, die in der Grundschutzverordnung und auch im Bundesdatenschutzgesetz genannt sind, was man dort entsprechend beachten muss. Wenn man das dann tut und diese ganzen Punkte entsprechend berücksichtigt und umsetzt, hat man eigentlich schon den „Grundschutz“ in den Griff bekommen.

Jedes Unternehmen sollte sich, im Hinblick auf Datenschutz, Gedanken um technische und organisatorischen Maßnahmen machen!  

Rüdiger Gropp

Das heißt zusammengefasst?

Gropp: Angefangen von Firewalls über entsprechende Berechtigungskonzepte, Backup-Konzepte für Wiederherstellung von Daten, wenn mal was abhanden kommt oder gelöscht wird oder verschlüsselt wird, hat man mit diesen oben genannten Aspekten die Möglichkeit, seine Daten relativ gut in den Griff zu bekommen und sie jederzeit verfügbar zu haben. Andererseits auch vor Zugriffen von Dritten zu schützen. Deswegen lege ich jedem nur ans Herz sich diese Dinge mal anzuschauen. Das sind nicht viele Punkte. Der Artikel 32 der EU-Datenschutz-Grundverordnung oder auch der Paragraph 64 des Bundesdatenschutzgesetzes sind also maßgeblich wichtig, wenn man Daten schützen und vorbeugen will.

Thema: Datenpanne. Herr Gropp, Sie bieten auch Risikomanagement und Compliance Beratung an. Können Sie das ganze erst einmal erläutern/definieren, bevor wir mit dem Thema einsteigen? 

Gropp: Compliance bedeutet „die Einhaltung aller gesetzlichen und internen Regelungen“. Und das Risikomanagement ist der planvolle Umgang mit solchen Risiken in einem Unternehmen. Es umfasst alle Aktivitäten, die darauf ausgerichtet sind, die Eintrittswahrscheinlichkeit des Risikos oder das Schadensausmaß zu verringern. Angriffe, zum Beispiel, sind auch Datenpannen. Das heißt, dass im Grunde Daten abhanden kommen. Entweder dadurch, dass Mitarbeiter einen Fehler gemacht haben. Oder auch, von externer Seite, z. B. durch Hacker oder durch sonstige kompromittierende Angriffe. Genau an dieser Stelle müssen Maßnahmen ergriffen werden, die in das Gebiet des Risikomanagements fallen.

Wie wird im Falle einer Datenpanne vorgegangen?

Gropp: Jedes Unternehmen muss im Grunde prüfen, was es tun kann, um Risiken einzudämmen. Und dazu gehört eben, dass man eine entsprechende Risiko-Strategie überlegt. Das heißt erstmal die Risiken zu „erfassen“. Dann zu „überlegen“, wie relevant diese Risiken für das Unternehmen sind. Gefährden sie vielleicht sogar die Existenz des Unternehmens? Anschließend sollte eine „Bewertung“ durchgeführt und letztendlich überlegt werden, wie man dann mit diesen Risiken umgeht. Und wenn wir diese schon nicht verhindern können, können wir irgendwas dagegen unternehmen, indem wir sie zum Beispiel versichern oder  wir andere Maßnahmen ergreifen, die diese Risiken minimieren. Und, wenn das alles nicht funktioniert, bleibt einem Unternehmen unter Umständen die letzte Möglichkeit, nämlich ein Risiko zu akzeptieren und alles zu tun, damit das möglichst nicht eintritt. Das sind Themen, die auch ganz besonders den Datenschutz betreffen und in diesem Kontext sprechen wir nicht von Risikomanagement, sondern von Datenschutz-Folgenabschätzung….

Können Sie da noch ein konkretes Beispiel nennen?

Gropp:…Ein Beispiel für eine Datenpanne ist z.B., wenn ein Mitarbeiter aus Versehen irgendwelche personenbezogenen Daten, Kundendaten oder Lieferantendaten durch eine fehlgeleitete E-Mail an die Partner des Unternehmens, die die gar nicht bekommen sollten, rausgeschickt hat. Solch eine Datenpanne in den Griff zu bekommen, ist in der Tat schwierig und da sollte man dann schon wissen, was kann man alles tun und im Vorfeld überlegen, was heißt das für den Datenschutz. Da muss man eben wissen, dass der Datenschutz bedingt, dass dann verschiedene Maßnahmen zu treffen sind. Einerseits den Verantwortlichen des Unternehmens: Das wird in der Regel der Geschäftsführer sein, zu informieren und, wenn vorhanden, dann natürlich auch den Datenschutzbeauftragten. Wenn solch eine Datenpanne passiert ist und im besonders schwierigen Fall, wenn zum Beispiel Mitarbeiterdaten aus Versehen verschickt wurden, idealerweise noch unverschlüsselt, dann haben wir eine Datenpanne, die sogar eine extreme Gefährdung der betroffenen Personen bedeuten kann, je nachdem was alles an Daten verschickt wurde.

Dann haben wir eine meldepflichtige Datenpanne, die der Datenschutzbehörde nach Bekanntwerden, innerhalb von 72 Stunden sogar zu melden ist. Das sind Dinge, woran deutlich wird, dass jedes Unternehmen sich Gedanken machen muss, wie man mit solchen Situationen umgeht. Am besten sollte ein entsprechendes Verfahren überlegt werden, damit es im Falle einer solchen Datenpanne dann auch richtig reagiert und die richtigen Leute dann informiert werden. Diese wären dann die Verantwortlichen und der Datenschutzbeauftragte. Damit können auch die entsprechenden Dinge in Gang gesetzt werden, um möglichst ein entsprechendes Risiko/ein Ausweiten des Risikos zu vermeiden.

Der Artikel 32 in der EU-Datenschutz-Grundverordnung und Paragraph 64 des Bundesdatenschutzgesetzes sind maßgeblich wichtig, wenn man Daten schützen und vorbeugen will  

Rüdiger Gropp

Herr Piro, Sie sind auch IoT-Berater der mdk GmbH. Wie geht denn die mdk GmbH mit dem Thema IT-Datenschuz um?

Piro: Zuerst möchte ich feststellen, dass wir bei der mdk den großen Punkt der Datensicherheit oder Datenschutz nicht etwa „nachrüsten“ in unsere Projekte. Sondern, er ist von Anfang an: von der Konzeptionsphase, Planungsphase etc. bis über die Realisierung prinzipieller Bestandteil unserer ganzen Unternehmung. Das heißt also: Wir bieten unseren Kunden Sicherheitstechniken und Sicherheitsmechanismen an. Beginnend auf Feldbus-Ebene, bei den wir vorschlagen zum Beispiel Sensordaten zu verschlüsseln über die Möglichkeit, die Kommunikation zu übergeordneten Server. Zum Beispiel in die Cloud hinein mit leistungsfähigen 256 bit AES Schlüssel zu chiffrieren und tun also im Grunde genommen alles dafür, um die technischen Probleme, die entstehen könnten, auszuräumen.

Gropp: Eine Ergänzung dazu wäre vielleicht noch zu erwähnen dass, die mdk hier insgesamt ein Risikomanagement aufgebaut hat, um genau all diese oben erwähnten Themen in den Griff zu bekommen, die für den Datenschutz relevant sind. Unterstützt wird das ganze durch entsprechende technische und organisatorische Maßnahmen, die immer wieder auf den Prüfstand kommen, damit eben sichergestellt ist, dass alle Kunden und Interessenten, die mit der mdk GmbH Kontakt haben, sicher sein können, dass ihre Daten geschützt und sicher sind und das eben in aller Regel nicht passieren sollte, was hier zu beanstanden führt.

Sie würden sich das Ganze gerne als Podcast anhören?

Jetzt als Podcast anhören!

„Kaffee mit Experten“

interaktives Webinar zum Nutzen von Augmented Reality im industriellen Service

JETZT ANSEHEN