Die Ransomeware-Wette
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
Um das Thema Datenschutz kommt spätestens seit der DSGVO keiner mehr herum. Unternehmen müssen sich mit den Anforderungen auseinandersetzen und sind mit der Umsetzung nicht selten maßlos überfordert. Mit diesem Ratgeber wollen wir etwas Licht ins Dunkel bringen und Ihnen nicht nur die Datenschutz Definition, sondern auch einen ersten Überblick zum Datenschutz allgemein liefern.
Datenschutz bezeichnet den Schutz personenbezogener Daten natürlicher Personen vor missbräuchlicher Verwendung.
Bei personenbezogenen Daten handelt es sich um Daten wie
Der Datenschutz stützt somit das Recht auf informationelle Selbstbestimmung, also die Freiheit des Einzelnen, selbst über die Verarbeitung seiner Daten zu bestimmen. Gesetzliche Grundlage für den Datenschutz in Deutschland ist zum einen die Datenschutzgrundverordnung (DSGVO), eine Verordnung der EU, sowie das Bundesdatenschutzgesetz (BDSG).
Die Verarbeitung personenbezogener Daten muss nach bestimmten Grundsätzen erfolgen (vgl. Art. 5 (1) DSGVO):
Grundsätzlich dürfen personenbezogene Daten nur verarbeitet werden, wenn es dazu eine Grundlage gibt. In Artikel 6 der Datenschutzgrundverordnung werden diese Bedingungen festgelegt. Beispiele für solche Grundlagen sind die Anbahnung und Erfüllung von Verträgen, die Einwilligung der betroffenen Person oder die Verarbeitung auf Basis der „berechtigten Interessen“. Ein Beispiel für ein berechtigtes Interesse ist ein Betreiber eines Web-Servers, der zur Analyse von Fehlern auf der Website Log-Dateien anlegt, die unter anderem die IP-Adresse der Besucher enthalten.
Die oben dargestellten Grundsätze der Verarbeitung personenbezogener Daten werden durch verschiedene Pflichten des Verarbeiters der Daten bzw. Rechte der betroffenen Person ergänzt (Kap. 3 DSGVO):
Der Schutz der personenbezogenen Daten der einzelnen Person ist von enormer Bedeutung, da der unbefugte Zugriff auf personenbezogene Daten drastische Konsequenzen nach sich ziehen kann. So können beispielsweise der Name und die Kreditkarteninformation einer Person ausreichen, um in betrügerischer Absicht Waren auf den Namen (und auf Kosten) dieser Person zu bestellen. Bei Zugriff weiterer Daten wie dem Geburtsdatum oder sogar Kopien von Ausweisdokumenten sind auch deutlich weitergehende Betrugsszenarien möglich.
Um sich hier zu schützen, sind nicht nur Maßnahmen des Einzelnen notwendig (wie zum Beispiel beim Schutz vor Phishing), sondern auch Schutzmaßnahmen der Stellen, die die personenbezogenen Daten verarbeiten.
Unsere Welt wird seit Jahrzehnten immer digitaler. Technische Errungenschaften wie das Internet, Mobiltelefonie und bargeldlose elektronische Zahlungsmethoden machen unser Leben leichter – stellen aber auch eine steigende Gefahr für die personenbezogenen Daten dar. Die Bedeutung des Datenschutzes für den Einzelnen ist in den letzten Jahren daher deutlich gewachsen, da immer mehr Tätigkeiten des Alltags in unmittelbarem Zusammenhang mit der Erhebung von personenbezogenen Daten stehen. Beispiele für solche Tätigkeiten sind
Sie sehen: Diese Beispiele bewegen sich sehr nah an unserem Alltag und beschreiben nicht mal außergewöhnliche Situationen. Der Großteil der Menschen macht sich dabei kaum Gedanken über die Verarbeitung ihrer persönlichen Daten. Selten wird wirklich hinterfragt, wo im Netz welche Daten eingegeben werden. Zu verlockend erscheint beispielsweise der Preis bei diesem spannenden Gewinnspiel.
Das Bewusstsein für den Datenschutz ist häufig noch immer auf beiden Seiten längst nicht so ausgeprägt, wie es sein sollte. Auf Seiten der Daten verarbeitenden Instanz kann dieses fehlende Bewusstsein mittlerweile zu hohen Bußgeldern führen, dies wird in Kapitel 8 der DSGVO umschrieben. Als Unternehmen kommen Sie also nicht mehr um das Thema Datenschutz herum. Betroffene Personen, die mit ihren Daten nicht allzu umsichtig gehen, werden durch den Datenschutz immerhin mit dem Recht auf Löschung geschützt – was natürlich nicht bedeutet, dass Sie mit Ihren Daten freizügig umgehen sollten.
Datenschutz bezieht sich ausschließlich auf den Schutz personenbezogener Daten und deckt sowohl rechtliche Aspekte wie zum Beispiel die Rechtmäßigkeit einer Datenverarbeitung oder die Rechte der betroffenen Personen ab, als auch die sicherzustellenden Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität.
Die Informationssicherheit bezieht sich allgemein auf die Erreichung definierter Schutzziele, häufig sind das die schon genannten Ziele Verfügbarkeit, Vertraulichkeit und Integrität, für alle Daten einer Organisation oder eines Unternehmens. Die Sensibilität der zu schützenden Informationen und die Anforderungen an die Schutzmaßnahmen werden dabei von der jeweiligen Organisation anhand der jeweils eigenen Schutzbedarfe festgelegt.
Beim Datenschutz geht es um die Umsetzung strenger gesetzlicher Vorgaben zum Schutz personenbezogener Daten. Bei der Informationssicherheit definiert das Unternehmen die Schutzmaßnahmen zur Erreichung der Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität von Daten selbst.
In der Umsetzung gibt es zwischen Datenschutz und Informationssicherheit häufig starke Überschneidungen, da zum einen die Schutzziele meist identisch sind und zum anderen die jeweils zu ergreifenden technischen und organisatorischen Maßnahmen aus dem Bereich des Datenschutzes sowie der Informationssicherheit sehr ähnlich sind. Ein Unternehmen profitiert daher davon, die Schutzmaßnahmen aus beiden Bereichen abgestimmt und koordiniert umzusetzen.
Hier geht’s zu unserem umfassenden Ratgeber zur Informationssicherheit >>
Die Begriffe Datenschutz und Datensicherheit werden fälschlicherweise häufig synonym verwendet. Zwar gehen sie miteinander Hand in Hand und hängen voneinander ab, doch gibt es Unterschiede in der Bedeutung beider Begrifflichkeiten.
Im Gegensatz zum Datenschutz, der sich auf den Schutz personenbezogener Daten fokussiert, umfasst die Datensicherheit Daten jeglicher Art, also auch solche ohne Personenbezug.
Der Begriff Datensicherheit bezeichnet also im Allgemeinen die Sicherung von Daten jeglicher Art vor unberechtigtem Zugriff durch jeweils geeignete technische oder organisatorische Maßnahmen. Es geht also mehr um das „wie“ als um das „ob“: „Wie (mit welchen Maßnahmen) können die Daten geschützt werden?“ statt „Dürfen diese Daten erhoben und verarbeitet werden?“
Hier geht’s zu unserem umfassenden Ratgeber zur Datensicherheit >>
Die Unterscheidung der beiden Begrifflichkeiten Datenschutz und Datensicherung ist schon deutlich einfacher: Datensicherung bezeichnet die Erstellung von Backups, also dem Kopieren von Daten auf ein anderes Speichermedium, um diese im Falle des Datenverlusts wiederherzustellen zu können. Die Datensicherung ist also eine wichtige Maßnahme der Datensicherheit und somit auch Teil der Informationssicherheit.
Hier geht’s zu unserem umfassenden Ratgeber zur Datensicherung >>
Um Ihnen den Zusammenhang der Begrifflichkeiten möglichst nachvollziehbar zu veranschaulichen, möchten wir Ihnen diese Grafik zur Verfügung stellen:
Die Vorgaben der Datenschutzgrundverordnung gelten grundsätzlich für die Verarbeitung von Daten durch Privatpersonen und Unternehmen. Privatpersonen sind jedoch für persönliche oder familäre Verarbeitungstätigkeiten von den Vorgaben ausgenommen, während es für Unternehmen keine im Alltag relevanten Ausschlüsse gibt, so dass die Vorgaben von Unternehmen im Wesentlichen immer umgesetzt werden müssen.
Beim Gang in die Teeküche kurz den Laptop aufgeklappt im Büro stehen lassen – was soll in den fünf Minuten schon passieren? Der Feierabend naht, die Akten müssten eigentlich noch einsortiert werden, dann kommt aber ein wichtiger Anruf dazwischen – ach, dann werden die Akten eben morgen früh einsortiert. Doch schon anhand dieser zwei simplen Beispiele aus dem Arbeitsalltag zeigt sich, wie schnell der Datenschutz nicht mehr gewährleistet ist. Umso wichtiger ist es also, dass Sie neben den technischen Maßnahmen zur Gewährleistung des Datenschutzes auch Ihre gesamte Belegschaft für das Thema sensibilisieren. Seien Sie aufmerksam und vermeiden Sie mit der Umsetzung der richtigen Maßnahmen hohe Bußgelder, die bei Verstößen gegen den Datenschutz auf Sie warten.
Der durch die DSGVO vorgesehene Bußgeldrahmen für Verstöße ist an den Umsatz des Unternehmens gekoppelt (vgl. Art. 83 DSGVO), so dass unabhängig von der Größe des Unternehmens beträchtliche Bußgelder verhängt werden können.
Für Unternehmen ist es absolute Pflicht, relevante Datenschutz-Vorgaben in den eigenen Abläufen zu berücksichtigen und geeignete technische und organisatorische Maßnahmen zum Schutz der erhobenen Daten umzusetzen.
Die Ransomware-Wette Sie denken, Ihre IT ist sicher? Wir wetten dagegen! Ransomware gehört aktuell zu den stärksten Bedrohungen der Cybersicherheit
NIS2-Checkliste Kennen Sie eigentlich Ihren NIS2-Reifegrad? Obwohl das Inkrafttreten der EU-Richtlinie spätestens für den Anfang 2025 geplant ist, haben sich
NIS2 – Warum sich Outsourcing lohnt Um Cybersicherheit in einem Betrieb herzustellen, reicht es heute nicht mehr aus, eine gute
Die NIS2-Richtlinie soll die Widerstandsfähigkeit von Netz- und Informationssystemen gegen Cyberangriffe verbessern und wichtige Grundlagen dafür schaffen, dass Organisationen angemessene
Vielen Dank für Ihre Anfrage.