Alles über Daten­schutz, Datensicherheit und IT-Sicherheit.

Fragen und Antworten zu Daten­schutz, Datensicherheit und IT-Sicherheit.

Herzlich Willkommen im Wiki von ProtectUrData. Hier werden Fragen rund um die Bereiche Daten­schutz, Datensicherheit und IT-Sicherheit beantwortet. Ihre Frage ist nicht dabei? Kontaktieren Sie uns und teilen Sie uns mit, was Sie interessiert! Wir nehmen Ihre Fragen und Anliegen auf und helfen sehr gerne weiter. Für mehr Transparenz und für die Sicherheit personenbezogener Daten.

Die häufigsten Fragen zur DSGVO (FAQ)

Unter Daten­schutz wird in er­ster Linie der Schutz perso­nenbe­zogener Da­ten vor miss­bräuch­licher Ver­wen­dung und Da­ten­verar­bei­tung ver­stan­den. Zudem sind der Schutz des Per­sön­lich­keits­rechts und der Privats­phäre weitere wichtige Be­reiche des Daten­schutzes. Das Recht auf infor­matio­nelle Selbst­bestimmung ist im deutschen Grund­gesetz als Grund­recht veran­kert und bein­haltet, dass jeder selbst ent­scheiden kann, was mit seinen per­sonen­bezo­genen Da­ten passiert.

Fast täglich wird davon berichtet, dass in Unter­nehmen Daten geklaut wurden, sie Hacker­angriffen aus­gesetzt sind oder Viren, Tro­janer und Phishing-Mails im Um­lauf sind. Für die be­troffenen Un­ter­nehmen bedeutet das immer, dass sie neben einem fi­nanziellen Verlust auch einen erheb­lichen Image­schaden erleiden. Dieser Daten­diebstahl, der von unseriösen Dritten begangen wird, zieht nur selten straf­recht­liche Konsequenzen nach sich, da die Nach­verfol­gung im Internet oft sehr schwierig ist. Umso wich­tiger ist es, dass jedes Unter­nehmen die Daten seiner Kunden, Lie­feranten und Mit­arbeiter maxi­mal schützt.

Personen­bezogene Daten sind all je­ne Infor­mationen, die sich auf eine na­türliche Per­son beziehen oder Rück­schlüsse auf diese Person geben können. Personal­daten von Arbeit­nehmern ge­hören ebenso zu den per­sonen­bezogenen Daten wie Kunden­daten (Name, E-Mail, Telefon­nummer oder Ansprech­partner).

Unter Ver­arbei­tung versteht man das Er­heben, Er­fassen, die Organi­sation, das Ordnen, die Speicherung, die An­passung oder Ver­änderung, das Aus­lesen, das Ab­fragen, die Ver­wendung, die Offen­legung durch Über­mittlung oder jede andere Form der Bereit­stellung, der Abgleich oder die Ver­knüpfung, das Löschen oder die Ver­nichtung von personen­bezogenen Daten. Auch Akten oder Akten­sammlungen fallen in den Anwendungs­bereich, wenn eine Ordnung nach bestimmten Kriterien erfolgt.

Zur Umsetzung und Wahrung des betrieb­lichen Daten­schutzes gehören drei sich über­schneidende und zusammen­gehörige Bereiche: Daten­schutz (Privacy), IT-Sicher­heit (Security) und Daten­sicherheit (Safety). Die Da­tenschutz­grund­verordnung schützt den Einzelnen vor Beein­trächtigung der Persön­lichkeits­rechte durch den Umgang mit seinen per­sonen­bezogenen Daten. Die IT-Sicherheit dient dem Schutz vor ge­wollten An­griffen auf die Ver­traulich­keit, Inte­grität und Ver­fügbar­keit von Daten. Die Daten­sicher­heit (Safety) beinhaltet den Schutz vor un­beabsichtig­tem und/oder fahr­lässigem Daten­verlust.

Eine Auftrags­verarbeitung, kurz AV, liegt vor, wenn ein Auftrag­geber einen Dienst­leister beauftragt, Daten­verarbei­tungen durchzu­führen. Der Auftrag­geber ist die verant­wortliche Stelle. Das bedeutet konkret, dass ihm die Daten "gehören" und er für sie verant­wortlich ist. Bei Daten­schutz­verstößen haftet seit Inkraft­treten der Daten­schutz­grundver­ordnung (EU-DSGVO) allerdings auch der Dienst­leister, der den Auftrags­verarbeiter darstellt.

Betroffenen­rechte sind die Rechte von Personen, denen personen­bezogene Daten zugeordnet werden können. Betrof­fene Per­sonen haben unter anderem das Auskunfts-, Widerspruchs- und Berich­tigungs­recht sowie das Recht auf "Vergessen werden", das Recht auf Daten­übertragung und das Recht auf Be­schwerden bei einer Aufsichts­behörde.

Jedes Unternehmen, das personen­bezogene Daten verarbeitet, erhebt oder nutzt, ist ver­pflichtet, technische und organi­satorische Maß­nahmen zu treffen. Die so­genannten TOM dienen der Gewähr­leistung eines an­gemessenen Schutzes der Daten in Bezug auf "Verfüg­barkeit", "Vertrau­lichkeit" und "Integrität". Zu den tech­nischen Maßnahmen gehören Schutz­vorkehrungen, die im weitesten Sinne physisch umsetzbar sind. Das kann zum Beispiel die Sicherung von Türen und Fenstern, die Installation von Alarm­anlagen oder der Passwort­zwang sein. Organisato­rische Maßnahmen sind Schutz­vorkehrungen durch Handlungs­anweisungen oder Verfahrens- und Vorgehens­weisen wie zum Beispiel Richtlinien zum Umgang mit Daten und Arbeitsablaufpläne.

Die Daten­schutz­grundverordnung, kurz DSGVO, ist eine europa­rechtliche Ver­ordnung, die seit dem 25. Mai 2018 gültig ist und die bisherige Daten­schutz­richtlinie ablöst. Die Verordnung ist im Englischen als General Data Pro­tection Regu­lation (GDPR) bekannt und beinhaltet Regelungen zum Umgang mit personen­bezogenen Daten. Ziele der DSGVO sind die Harmo­nisierung des Daten­schutzrechts in Europa und der Schutz der betroffenen Personen. Mit der EU-DSGVO wurde eine ein­heitliche Rechts­ordnung im Daten­schutz geschaffen, wodurch die Vielfalt der nationalen Gesetze, Richt­linien und Ver­ordnungen abnimmt.

Die regelmäßige und umfassende Bestandsaufnahme der gesamten IT-Umgebung ist die Basis jedes IT-Managements und wird als IT-Inventarisierung bezeichnet. Eine IT-Inventarisierung ist wichtig, da eine ungenügende IT-Dokumentation schnell zu Problemen führt. Schließlich besteht ein Netzwerk aus zahlreichen Komponenten.

Weil Sie nur so jederzeit einen vollständigen Überblick über die Wartungs- und Lizenzverträge haben.
Weil die manuelle Inventarisierung zeitintensiv, fehleranfällig, teuer und bei heutiger Komplexität fast unmöglich ist.
Weil sie Transparenz schafft, unnötige Kosten verhindert und die Reaktionszeiten beschleunigt.
Weil Sie durch die Inventardaten jederzeit einen aktuellen Überblick haben, was sehr wichtig für IT-Sicherheit ist.
Weil Sie durch die Übersicht Einsparpotenzial erkennen können.
Weil die Inventarisierung gesetzlich verankert und nicht vom Daten­schutz zu trennen ist.

Seit dem 25. Mai 2018 ist die IT-Dokumentation in der EU-Daten­schutzgrundverordnung verankert. Nach Artikel 5 EU-DSGVO ist ein Unternehmen zur Dokumentation des Daten­schutzes und der Informationstechnologie verpflichtet. Damit wachsen Daten­schutz und IT-Sicherheit zusammen. Nach Artikel 32 der EU-DSGVO beginnt die Dokumentation bei der Netzwerkstruktur und beinhaltet die Dokumentation der vorhandenen Systeme in den Netzwerken mit Hardware- und jeweiligem Softwarezustand (IT-Inventarisierung).

Ein regelmäßiger IT-Sicherheitscheck dient der Überprüfung der IT-Risiken in einem Unternehmen und zeigt diese in Abhängigkeit der eigenen Präferenzen im Hinblick auf Kosten und Schutznivau auf. Eine funktionierende und zuverlässige IT-Infrastruktur ist für den reibungslosen Ablauf des Geschäftsalltags notwendig. Zudem ist die Datensicherheit mit Blick auf die Daten­schutzgrundverordnung gesetzlich verankert und erforderlich für eine effiziente Absicherung der IT. Ein wichtiger Bestandteil der IT-Sicherheit eines Unternehmens ist daher die regelmäßige Kontrolle der IT-Infrastruktur und der Sicherheitsmaßnahmen.

Es vergeht selten ein Tag, an dem nicht von Cyber-Angriffen berichtet wird. Für die betroffenen Unternehmen entstehen dabei Imageverluste und hohe wirtschaftliche Schäden. Um sich vor Angriffen ausreichend zu schützen, müssen Unternehmen IT-Sicherheitsmaßnahmen treffen. Gründe für die Einführung einer IT-Sicherheitsanalyse sind unter anderem:

  • Aktuelle Gefahren - Immer komplexer werdende IT-Systeme erfordern immer höhere Sicherheitsvorkehrungen.
  • Schutz von Daten - Im Rahmen der IT-Sicherheitsanalyse werden Schwachstellen der IT aufgedeckt. So werden sensible Daten geschützt.
  • Gesetzliche Pflichten - Sensible Daten benötigen einen besonderen Schutz. Daher gibt es zahlreiche rechtliche Anforderungen, die die Einführung eines Informationssicherheitsmanagementsystems erforderlich machen.
  • Reporting - Wer regelmäßig eine IT-Sicherheitsanalyse durchführen lässt, erhält einen ausführlichen Bericht, der der Geschäftsführung und den IT-Fachkräften wichtige Informationen über den Status der IT-Infrastruktur geben kann.
  • Qualitätsmanagement - Eine fundierte IT-Sicherheitsanalyse gehört zum Qualitätsmanagement eines Unternehmens dazu. Die IT-Infrastruktur ist Kern des Geschäftsalltages vieler Unternehmen.
  • Wettbewerb - Eine gut aufgestellte IT kann ein Wettbewerbsvorteil sein. Einem Unternehmen wird schließlich mehr Vertrauen geschenkt, wenn der IT-Sicherheit sowie der Verarbeitung personenbezogener Daten eine entsprechende Ernsthaftigkeit entgegengebracht wird.
  • Schutz vor Imageverlust - Die Folge erfolgreicher Cyber-Angriffe sind häufig Veröffentlichungen von Informationen, die dem Image eines Unternehmens schaden.

Nach dem jüngsten und in den Medien präsenten Datendiebstahl raten Daten­schutzorganisationen wieder einmal, Passwörter sicherer zu gestalten. Datendiebstähle zeigen, wie wichtig sichere Passwörter sind. Besonders für sensiblere Anwendungen sollten sichere Passwörter verwendet werden. Dabei gilt insbesonderem: Für jede Anwendung muss ein anderes Passwort genutzt werden.

Nein! Die DSGVO steht nicht alleine da. Es gibt viele Gesetze, Verordnungen und Richtlinien zum Daten­schutz. Daten­schutz hat national und international eine große Bedeutung. Es gibt zum Beipiel Europäische Gesetze wie

  • die Europäische Daten­schutzgrundverordnung (EU-DSGVO)
  • die ePrivacy-Verordnung (ePV) und
  • die Daten­schutzrichtlinie für Polizei und Justiz (JI-Richtlinie)

und nationale Gesetze wie 

  • das neue Bundesdatenschutzgesetz (BDSG-neu) und
  • die Landesdatenschutzgesetze.

Die ePrivacy-Verordnung soll die DSGVO als EU-Verordnung ergänzen und befasst sich mit dem Bereich der elektronischen Kommunikation. Sie soll elektronische Kommunikation schützen. Geschützt werden sollen zum Beispiel Instant-Messaging-Dienste, webgestützte E-Mail-Dienste oder Soziale Medien.

Die Daten­schutzrichtlinie regelt den Daten­schutz EU-einheitlich im Bereich Polizei und Justiz und ist im Mai 2018 zusammen mit der DSGVO gültig geworden.

Bis zur Einführung der EU-DSGVO am 25. Mai 2018 galt in Deutschland das Bundesdatenschutzgesetz. Seit dem 25. Mai 2018 ist neben der DSGVO das neue Bundesdatenschutzgesetz gültig. Generell hat die EU-DSGVO Vorrang vor nationalem Recht. Daher ist das BDSG-neu eine Konkretisierung und eine Ergänzung zur DSGVO.

In der Übergangszeit von zwei Jahren bis zur Einführung der DSGVO hat jedes deutsche Bundesland seine eigenen Regelungen an die neue Grundverordnung angepasst. Bei widersprüchlichen Regelungen zwischen nationalem und europäischem Recht wird die DSGVO angewendet.