2023-04-21

Datenschutz im Lichte eines angemessenen Schutzniveaus

Sowohl in den Erwägungsgründen (75-79 und 83-84) als auch im Art. 32 DSGVO wird von den Schöpfern der Datenschutzgrundverordnung festgehalten, dass das angemessene Schutzniveau und die damit verbundenen geeigneten technischen und organisatorischen Maßnahmen durch interne Strategien eigenverantwortlich vom Verantwortlichen umzusetzen sind!
Die DSGVO unterstützt den Verantwortlichen insofern, als dass sie beispielhaft Faktoren aufzählt, an welchen das angemessene Schutzniveau zu messen ist – beispielsweise Stand der Technik, Implementierungskosten, Umstände und Zwecke der Verarbeitung etc.

Die vorausgesetzte Eigenverantwortung ist Fluch und Segen zugleich!

Wird das angemessene Schutzniveau stiefmütterlich behandelt, drohen bei einem sogenannten „databreach“ neben dem Kontrollverlust über die verarbeiteten personenbezogenen Daten und dem Verlust der Vertrauenswürdigkeit des eigenen Unternehmens auch empfindlich hohe Geldbußen.
Wird das angemessene Schutzniveau falsch eingeschätzt und überstrapaziert, drohen zwar keine Geldbußen (hängt von der Einzelfallprüfung ab), aber die Attraktivität der Zusammenarbeit im Außenverhältnis und die Leistungsfähigkeit des Unternehmens können darunter leiden.

Im Idealfall trifft der Unternehmer gemessen an den vorgegebenen Faktoren der DSGVO das ideale Maß bei der Umsetzung der geeigneten technischen und organisatorischen Maßnahmen in seinem Betrieb und erreicht ein adäquates angemessenes Schutzniveau, welches beide Seiten – die DSGVO und den Unternehmer – zufrieden stellt.

Die Sicherheit der Daten stellt grundsätzlich keinen unnötigen Kostenblock dar, sondern dient in der heutigen digitalen Welt dem Schutz von Vermögenswerten und bringt einen Mehrwert für wichtige Geschäftsprozesse.

Ein paar unverbindliche Gedanken und Umsetzungsvorschläge meinerseits:

Wie in der Natur gilt auch beim Thema Sicherheit – Der Aktive ist dem Passiven überlegen! Daher sollte das Thema Datensicherheit immer aktiv betrachtet werden.

Das Thema Sicherheit steht in einem engen Zusammenhang mit dem Begriff „Routine“ – die Routine ist ein zweischneidiges Schwert – Je mehr Informationen der Angreifer über die Routine hat, desto leichter kann er den Schutzwall der technischen und organisatorischen Maßnahmen durchbrechen. Andererseits bietet die Routine die Gewähr, erprobten und als sicher bewerteten Verfahren zu folgen.

Das Thema Sicherheit betrifft nicht nur den Unternehmer! Wichtig ist eine Sensibilisierung der Mitarbeiter, dass auch sie für die Sicherheit des Unternehmens verantwortlich sind! Zu berücksichtigen ist nämlich: Die Schwachstelle bei Cyberangriffen ist im Regelfall der Mensch!

Bei der Entwicklung der Schutzstrategien sollte immer vom „Worst-Case-Szenario“ ausgegangen werden. Wenn die entwickelte Sicherheitsstrategie sich auf den größtmöglichen Schaden ausrichtet und konzentriert, sind kleinere Angriffe von der Strategie ebenfalls abgedeckt.

Ein wichtiger Aspekt ist weiters, dass man Denkt wie ein Angreifer – simulierte Angriffe zeigen dem Unternehmen die Schwachstellen in der Strategie auf und lenken den Fokus auf wichtige Vorbereitungspunkte für den Ernstfall!

Einen 100%igen Schutz vor Cyberangriffen wird man auch bei Berücksichtigung aller Sicherheitsaspekte nicht erreichen, aber vorbereitet zu sein und im Falle schnell und gezielt handeln zu können, kann die Folgekosten für Datenrettung, Betriebsunterbrechung und Schadenersatzansprüche reduzieren und ein Bußgeld verhindern.