Schlagwort-Archiv: DSGVO

Bitkom Umfrage: Nur ein Viertel der Unternehmen auf EU-DSGVO vorbereitet

Die zweijährige Übergangsfrist für die Umsetzung der EU-Datenschutz-Grundverordnung (DS-GVO) ist fast abgelaufen – doch nur ein Viertel (24 Prozent) der Unternehmen in Deutschland ist bis zum 25. Mai 2018 aus eigener Perspektive vollständig konform mit den neuen Regeln. Jedes dritte Unternehmen (32 Prozent) wird sie größtenteils umgesetzt haben, ebenso viele (33 Prozent) zumindest teilweise. Ganz am Anfang stehen auch am Stichtag noch 4 Prozent der Unternehmen. 2 Prozent sagen, sie werden bis dahin nicht einmal mit ersten Schritten beginnen. Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen aus Deutschland des IT-Branchenverbands Bitkom.

  • Nur ein Viertel wird die Umsetzung rechtzeitig abschließen
  • 58 Prozent erwarten dauerhaft mehr Aufwand
  • Fast jedes zehnte Unternehmen sieht sein Geschäftsmodell gefährdet

Weitere Informationen zur Bitkom Umfrage finden Sie unter: www.bitkom.org/Presse/Presseinformation/3-von-4-Unternehmen-verfehlen-die-Frist-der-Datenschutz-Grundverordnung.html

Quelle: www.bitkom.org

Halbzeit auf dem Weg zum europäischen Datenschutzrecht

Am 25. Mai 2016 ist die Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Wirksam wird sie aber erst am 25. Mai 2018. Dies bedeutet, dass am 25. Mai 2017  die  Hälfte  der  Vorbereitungszeit  auf  das  neue  Recht  abgelaufen  ist. Das Bayerische  Landesamt es für  Datenschutzaufsicht  (BayLDA) nimmt  diesen  Tag zum Anlass, ca. 150 bayerischen Unternehmen unter Zugrundelegung des künftigen  Rechts  einen  Prüffragebogen  zuzuschicken, damit  diese  Unternehmen feststellen können, wie weit sie mit der Vorbereitung auf das neue Recht schon gekommen sind.

Damit  alle  anderen,  die diesen  Prüffragebogen  nicht  unmittelbar  erhalten  haben,  sich  ebenfalls  darüber  informieren  können,  wie  manche  Prüfungen  des  BayLDA  in  Zukunft  ablaufen könnten,  ist  dieser  Prüffragebogen  und  auch  das  entsprechende  Anschreiben  an  die  Unternehmen auf der Homepage des BayLDA unter folgendem Link erreichbar: www.lda.bayern.de/media/dsgvo_fragebogen.pdf

Quelle: www.lda.bayern.de

So können sich Unternehmen vorbereiten

Vom 25. Mai 2018 an ist die voriges Jahr verabschiedete neue EU-Datenschutzverordnung in allen Mitgliedsstaaten zu beachten. Zur „Halbzeit“ der Umstellungsfrist haben die Aufsichtsbehörden für den nicht-öffentlichen Bereich am Mittwoch einen Leitfaden herausgegeben, mit denen die Verantwortlichen in Unternehmen prüfen können, inwieweit sie auf die umfangreich überarbeiteten Regeln für den Umgang mit personenbezogenen Daten vorbereitet sind und was es möglicherweise noch zu tun gilt. Sie betonen dabei, dass vom Stichtag an andernfalls hohe Bußgelder und Schadensersatzforderungen drohen.

Die Orientierungshilfe umfasst zehn Punkte. Die Kontrolleure ermuntern Firmenmitarbeiter darin dazu, auch die Geschäftsführung für das Thema zu sensibilisieren, eine Bestandsaufnahme durchzuführen und die Rechtsgrundlagen zur Verarbeitung personenbezogener Informationen zu prüfen. Folgeabschätzungen müssten implementiert, Melde- und Konsultationspflichten organisiert, Betroffenen- und Informationsrechte umgesetzt werden. Datenschutz sei möglichst durch die Technik und Voreinstellungen (Privacy by Design und Default) zu gewährleisten, eine gegebenenfalls nötig Dokumentation zu organisieren.

Quelle: www.heise.de

Der Mittelstand braucht neue Mobile Security-Konzepte

Kleine und mittlere Unternehmen müssen ihre mobilen Endgeräte besser schützen, um der Datenschutz-Grundverordnung (DSGVO / GDPR) zu entsprechen.

Mobile Sicherheitsvorfälle führen in jedem vierten Unternehmen zu Schäden in sechsstelliger Höhe, so die Marktforscher von IDC bei der Vorstellung der Studie „Mobile Security in Deutschland 2017“. 65 Prozent der befragten Unternehmen berichten von Angriffen auf mobile Endgeräte, ein Anstieg um acht Prozentpunkte gegenüber 2015. Um den mobilen Bedrohungen besser zu begegnen, halten 38 Prozent der Unternehmen das Verbot von Zugriffen auf nicht autorisierte WLAN-HotSpots für entscheidend, 34 Prozent wollen ihre Sicherheitsrichtlinien überarbeiten, 28 Prozent denken an die Einführung einer EMM (Enterprise Mobility Management) & Security-Lösung.

Betrachtet man speziell die kleinen und mittleren Unternehmen (KMU) in Deutschland, verschärft sich die Lage sogar noch: Laut IDC denken 52 Prozent der IT-Verantwortlichen, dass von Anwendern eine größere Gefahr als von Cyber-Kriminellen ausgeht. Doch gerade in KMU herrscht großes Vertrauen in die Sicherheit der mobilen Endgeräte. Europaweit gaben laut einer HID Global-Umfrage 75 Prozent der KMU-Mitarbeiter an, keine Sicherheitsbedenken zu haben, wenn sie Smartphones oder Tablets nutzen. Betrachtet man die steigende Zahl der mobilen Sicherheitsvorfälle, lassen sich viele KMUs von einer Scheinsicherheit täuschen.

Mobility- Konzepte werden für KMU wichtiger, doch die Kontrolle fehlt

Trotz der Sicherheitsrisiken steigt die Hälfte der KMU auf mobile Arbeitsmodelle um: 30 Prozent investieren in Technologie, um die Unterstützung ihrer mobilen Arbeitskräfte zu optimieren. Weitere 20 Prozent planen Investitionen mit ähnlicher Zielrichtung, wie eine Aruba-Studie zeigte. Damit nicht genug: Wie die Ovum-Studie „The European Mobility Management Gap“ ergab, setzen nur 50 Prozent der Unternehmen in Europa Lösungen für MDM (Mobile Device Management) bzw. EMM (Enterprise Mobility Management) ein. Die andere Hälfte verzichtet insbesondere aus Datenschutz- und Kostengründen darauf.

Das ist besorgniserregend, gerade für KMU: Zum einen spielen die Kostenargumente bei den KMU eine noch größere Rolle, die MDM-/EMM-Verbreitung ist dort deshalb noch wesentlich geringer. Zum anderen erfordert der Datenschutz geradezu eine Kontrolle der mobilen Endgeräte, Apps und Daten. Ein Verzicht auf solche Lösungen ist ein echtes Problem. Keine Frage: Es besteht Handlungsbedarf im mobilen Datenschutz, gerade bei KMU.

Datenschutz-Grundverordnung erfordert mehr Durchblick und Kontrolle bei Mobility

Bereits heute bestehen große Schwierigkeiten für KMU, den mobilen Datenschutz umzusetzen. Mit der Datenschutz-Grundverordnung (DSGVO / GDPR), die ab Mai 2018 ohne Verzögerung anzuwenden ist, werden die Aufgaben im mobilen Datenschutz noch größer. Viele KMU in Deutschland müssen deshalb umgehend an ihren Konzepten für Mobile Security arbeiten und die notwendigen Lösungen umsetzen, um die DSGVO fristgerecht einzuhalten. Was insbesondere zu tun ist, zeigen diese Beispiele für verschärfte Anforderungen an den Datenschutz und die Probleme, die bei mobilen Endgeräten bestehen:

  • Lokalisierbarkeit der Daten: Die notwendigen Sicherheitsmaßnahmen und die Rechte der Betroffenen zum Beispiel auf Auskunft zu den über sie gespeicherten Daten lassen sich nur umsetzen, wenn die Unternehmen einen genauen Überblick über ihre Datenbestände haben und über die Zugriffe auf die Daten. Bei den Daten, die auf mobilen Endgeräten gespeichert sind oder die mit mobilen Endgeräten verarbeitet werden, ist diese Transparenz kaum zu erzielen, wenn man kein umfassendes Device und Data Management betreibt.
  • Recht auf Datenübertragbarkeit: Ohne die zuvor genannte Transparenz zu den Daten können auch die Rechte der Betroffenen auf die Übertragung ihrer Daten an ein anderes Unternehmen kaum sinnvoll umgesetzt werden.
  • Recht auf Vergessenwerden / Löschpflichten: Ohne die Transparenz zu den Daten auf mobilen Endgeräten lassen sich auch die Löschpflichten, die der Datenschutz vorsieht, nicht zuverlässig umsetzen.
  • Meldepflichten bei Datenschutz-Verletzungen: Gerade mobile Endgeräte gehen häufig verloren oder werden gestohlen. Sind die Daten auf den Smartphones und Tablets der KMU unzureichend geschützt und besteht keine Übersicht über die Daten und Geräte, können die Fristen für die Meldung einer Datenschutz-Verletzung nicht eingehalten werden. Schon heute werden Datenpannen viel zu spät entdeckt, die neue 72-Stunden-Frist zur Meldung verschärft diese Lage noch.
  • Dokumentation der Sicherheitsmaßnahmen und Stand der Technik: Die Maßnahmen für die Sicherheit der Verarbeitung müssen auch bei mobilen Endgeräten sichergestellt und dokumentiert werden. Dabei müssen die Maßnahmen dem Stand der Technik entsprechen. Das ist ein deutliches Problem, denn zum einen ist der Sicherheitsstatus ohne entsprechende Management-Tools nur sehr schwierig regelmäßig zu überprüfen und zu dokumentieren. Zum anderen stellt sich die Frage, ob die entsprechenden Management-Tools nicht als Sicherheit nach dem Stand der Technik gewertet werden müssen, sprich, ob man heute noch auf ein Mobile Management verzichten kann, ohne die Forderung nach dem Stand der Technik zu missachten.
  • Belastbarkeit der IT: Auch die mobile IT muss die Forderung nach Belastbarkeit erfüllen, wie sie die DSGVO für die Sicherheit der Verarbeitung (Artikel 32) aufstellt. Wenn der Sicherheitsstatus der mobilen Geräte aber nicht ohne weiteres überwacht werden kann, stellt sich die Frage, wie die Belastbarkeit gewährleistet werden soll.
  • Privacy by Design und by Default: Mobile Apps, Betriebssysteme und Geräte müssen datenschutzfreundlich entwickelt sein, ebenso müssen die Voreinstellungen datenschutzfreundlich sein. Die entsprechende Datenschutzkontrolle der Einstellungen und Funktionen kann bei der Vielzahl der Geräte und Apps aber kaum per Hand durchgeführt werden. Auch hier fehlen die Mobile Management-Tools bei vielen KMU.
KMU brauchen Mobile Management für Daten, Apps, Geräte und Risiken

Die Datenschutz-Grundverordnung ist ein wichtiges Beispiel für die Bedeutung verbesserter Mobile Security-Konzepte. An der DSGVO zeigt sich, dass KMU mehr Möglichkeiten brauchen, um für Übersicht und Kontrolle bei mobilen Daten, Apps, Geräten und auch Risiken sorgen zu können.

Wenn entsprechende Lösungen aus dem Bereich MDM oder EMM zu kostspielig sind, sollte die Option entsprechender Mobile Management-Lösungen aus der Cloud geprüft werden. Es versteht sich, dass dabei der Cloud-Datenschutz zu beachten ist, da bei der Verwaltung der mobilen Geräte, Apps und Daten in aller Regel Nutzerdaten mit Personenbezug anfallen können.

Quelle: www.zdnet.de