IT-Sicherheit für den Mittelstand 2017

Datenschutzgrundverordnung im Mittelstand

| Autor / Redakteur: Stefan Mutschler / Peter Schmitz

Die DSGVO formuliert nicht nur rechtliche Vorgaben, sondern zielt ganz konkret auch auf den Einsatz von IT-Produkten und die Dokumentation von IT-Sicherheitsmaßnahmen.
Die DSGVO formuliert nicht nur rechtliche Vorgaben, sondern zielt ganz konkret auch auf den Einsatz von IT-Produkten und die Dokumentation von IT-Sicherheitsmaßnahmen. (© momius - stock.adobe.com)

Mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) erwartet europäische Unternehmen die größte Reform des europäischen Datenschutzrechtes seit 1995. Bis zur Geltung ab 25. Mai 2018 bleibt nicht mehr viel Zeit, besonders für mittelständische Unternehmen ist das Umsetzen der neuen oder erweiterten Vorgaben eine große Herausforderung.

Seit Ende 2015 liegt der Basistext eines der größten Gesetzesvorhaben im Datenschutz in Europa vor. Die Inhalte sind damit klar definiert, auch wenn dieser Text derzeit noch redaktionell überarbeitet (ohne inhaltliche Änderungen) und in die verschiedenen Sprachen der europäischen Gemeinschaft übersetzt wird. Keine Organisation ist von der Geltung ausgeschlossen, sie betrifft neben Unternehmen aller Größen und Branchen auch Vereine, Verbände und die öffentliche Verwaltung.

Eine Missachtung kann also auch für mittelständische Unternehmen sehr teuer werden. Der Sanktionsrahmen sieht je nach Verstoß bis zu zehn, beziehungsweise bis zu 20 Millionen Euro oder bis zu zwei beziehungsweise bis zu vier Prozent des weltweiten Vorjahresumsatzes vor, wobei jeweils der höhere Wert maßgeblich ist. Selbst die geringere Summe würde den meisten mittelständischen Unternehmen das Genick brechen. Das Gesetz sieht zwar mögliche Reduktionen von der jeweiligen Höchststrafe vor, über die genauen Kriterien dafür ist allerdings bislang kaum etwas bekannt. Und auch eine Reduktion um 90 Prozent bedeutet immer noch eine Strafzahlung von ein oder 2 Millionen Euro - immer noch Beträge, die ein mittelständisches Unternehmen empfindlich treffen können.

DSGVO mit Hilfe von Services und Dienstleistern umsetzen

Vorbereitung auf die Datenschutz-Grundverordnung

DSGVO mit Hilfe von Services und Dienstleistern umsetzen

01.09.17 - Am 25. Mai 2018 ist Stichtag für die DSGVO. Die für die Umsetzung der Datenschutz-Grundverordnung verbleibende Zeit ist knapp. Unternehmen, die jetzt noch Lücken in der Vorbereitung haben, sollten sich mit den Services befassen, die Dienstleister und Hersteller speziell zur DSGVO anbieten. lesen

Der Gesetzgeber erwartet voraussichtlich ab dem 25. Mai 2018 ohne weitere Übergangsfrist überall das Funktionieren des Datenschutzmanagements nach der DSGVO. Wie etwa die Gesellschaft für Datenschutz und Datensicherheit (GDD) betont, setzt die DSGVO dabei auf ein Datenschutzmanagementsystem, das unabhängig von der Bestellung eines Datenschutzbeauftragten in der eigenen Verantwortung des Unternehmens wirksam sein muss. Die GDD ist wie etwa der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. und weiteren eine der Organisationen, die Unternehmen sehr umfangreich bei der Vorbereitung auf das neue Gesetz unterstützen, in diesem Fall beispielsweise in Form von detaillierten To-do-Listen und Musterverträgen.

Umfassender Charakter

Das neue Datenschutzgesetz formuliert nicht nur rechtliche Vorgaben, sondern zielt ganz konkret auch auf den Einsatz von IT-Produkten und die Dokumentation von IT-Sicherheitsmaßnahmen. Damit ist sie nicht nur ein Fall für die Rechtsabteilung, sondern betrifft auch die IT – speziell die Bereiche IT-Sicherheit und Dokumentation, Human Ressources, Kunden- und Lieferantenbeziehungen-Management und einige mehr. Dieser umfassende Charakter macht den Abstimmungs- und Organisationsbedarf quer durch das ganze Unternehmen deutlich. Die zwei Jahre, die der Gesetzgeber insgesamt von der Veröffentlichung des Textes bis zur Einsetzung der Gültigkeit eingeräumt hat, sind deswegen nicht zu üppig bemessen. Und wer es noch nicht getan hat, der sollte spätestens jetzt beginnen, einen Plan für die Umsetzung der neuen Gesetze aufzusetzen.

Umsetzungsgesetz für EU-DSGVO verschärft Haftung

Auch Geschäftsführern und Mitarbeitern drohen Bußgelder

Umsetzungsgesetz für EU-DSGVO verschärft Haftung

13.07.17 - Mit Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Bei Verstößen drohen bis zu 20 Millionen Euro Bußgeld und sogar Freiheitsstrafen. lesen

Old-School-Mentalität als Fallstrick

Die DSGVO beinhaltet keine speziellen Fallstricke für den Mittelstand. Der Zeitrahmen ist auf jeden Fall für alle sportlich, umso mehr, wenn man nicht unmittelbar nach Veröffentlichung des Textes eingestiegen ist. Die Strafen können besonders mittelständischen Unternehmen sehr hart zusetzen. Eine große Gefahr liegt unter anderem darin, dass diese harten Strafen für Vergehen verhängt werden können, die in den Köpfen so mancher IT-Verantwortlichen noch unter „Lappalie“ laufen, zum Beispiel Nachlässigkeiten in der Dokumentation, oder der Einsatz von Betriebssystemversionen, die nicht mehr als „Stand der Technik“ gelten.

Das im Gesetz formulierte Gebot, die IT immer auf dem aktuellen Stand der Technik zu halten, hat schon viele kontroverse Diskussionen ausgelöst, da es schlicht nicht möglich ist, eine saubere Grenze zwischen „up-to-date“ und „veraltet“ zu ziehen. Es empfiehlt sich, die Fortschritte in dieser Diskussion bis zur Gültigkeit des Gesetzes genau zu verfolgen, um hier nicht in eine mögliche Falle zu tappen. Weitere „Kleinigkeiten“, welche die genannten Strafen nach sich ziehen können, sind etwa die Überschreitung der Meldefrist bei einem Sicherheitsvorfall, oder Nachlässigkeiten bei der Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen, um nur zwei Beispiele zu nennen. Zu einer soliden Vorbereitung auf das neue Gesetz gehört sicherlich, in Form von Schulungen das Bewusstsein für die künftig geltenden „neuen Regeln der IT“ gründlich zu schärfen.

Dieser Beitrag stammt aus dem neuen Kompendium IT-Sicherheit für den Mittelstand 2017.

Cyberbedrohungen und der Mittelstand

IT-Sicherheit für den Mittelstand 2017

Cyberbedrohungen und der Mittelstand

08.09.17 - Mittelständische Unternehmen stehen mit dem Thema IT Security nicht selten auf Kriegsfuß. Manche kapitulieren ob immer neuer Angriffsvektoren, andere stecken schlicht den Kopf in den Sand. Ein bewährter Ansatz kombiniert eigene Expertise mit externen Security Services. lesen

IoT und Industrie 4.0 torpedieren die IT-Sicherheit

IT-Sicherheit für den Mittelstand 2017

IoT und Industrie 4.0 torpedieren die IT-Sicherheit

29.09.17 - Mit dem Internet der Dinge (IoT) und der vielbeschworenen Industrie 4.0 drängen Geräte ins Firmennetz, bei denen Security Fehlanzeige ist. Entweder, weil bei deren Entwicklung noch niemand an eine ständige Internetverbindung gedacht hat, oder — im Falle von IoT-Devices — weil deren Implementierung dem Hersteller schlicht zu teuer war. Damit ist auch der Mittelstand gezwungen, vorhandene Security-Architekturen zu überdenken. lesen

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44927709 / Compliance)