Seit nunmehr drei Jahre müssen Unternehmen und Behörden die DSGVO bereits anwenden. Doch Sicherheitsvorfälle und Datenpannen scheint es noch häufiger und gravierender zu geben als früher. Kommt die Datensicherheit nicht vom Fleck? Und kann es Datensicherheit überhaupt geben?

Ausdrückliche DSGVO-Forderung: eine sichere Verarbeitung personenbezogener Daten

Die Datenschutz-Grundverordnung lässt keinen Freiraum für Zweifel. Ausdrücklich wird gefordert: Die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten und die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung der Daten müssen auf Dauer sichergestellt sein.

Nun könnte man die Vermutung anstellen, dass drei Jahre DSGVO dazu geführt hätten, dass IT-Sicherheitsvorfälle und Verletzungen der genannten Schutzziele für personenbezogene Daten inzwischen seltener auftreten. Doch augenscheinlich ist das nicht der Fall. Die Schlagzeilen der Tagespresse verkünden es regelmäßig: Datenverluste, Datenmissbrauch und Spionageangriffe auf Unternehmen und Behörden …

Vielleicht ist die Forderung der DSGVO, eine umfassende Sicherheit der personenbezogenen Daten zu gewährleisten, unrealistisch? Kann wirkliche Datensicherheit überhaupt gelingen?

Eine hundertprozentige Sicherheit gibt es nicht. Aber …

Kein Sicherheitsexperte würde behaupten, dass es eine hundertprozentige Sicherheit möglich ist. Daran kann auch die DSGVO nichts rütteln. Dennoch ist die Forderung nach Datensicherheit ein dringlicher Bestandteil des Datenschutzes. Nur weil die Meldungen über Millionen von Datensätzen, die ungeschützt im Internet gefunden wurden, nicht abreißen, kann auf die Maßnahmen des technischen Datenschutzes nicht verzichtet werden.

In der Tat ist es so, dass die Datensicherheit-Maßnahmen durchaus Datenpannen und Sicherheitsvorfälle vermeiden. Ohne diese Maßnahmen würde es also viel mehr Schaden für die Betroffenen von Datenverlust -missbrauch geben. Sicherheitsexperten sagen ferner, dass selbst Basisschutzmaßnahmen dabei helfen können, die Großzahl möglicher Angriffe zu unterbinden.

Für besonders raffinierte Angriffe und komplexe Vorfälle braucht es hingegen besondere Schutzmaßnahmen. Doch auch diese können keine Garantie bieten.

Dauerhafte Überwachung zur Wirksamkeit der Schutzmaßnahmen

Die DSGVO fordert neben den Sicherheitsmaßnahmen auch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung – aus gutem Grund. So kann es schließlich sein, dass eine ergriffene Maßnahme nicht das erfüllt, was man für die Sicherheit erwartet hatte. Möglich ist aber auch, dass eine Schutzmaßnahme für einen gewissen Zeitraum greift, danach aber keine zuverlässige Datensicherheit mehr bieten kann. Dies soll durch die Kontrolle der Wirksamkeit erkannt werden, um die Schutzmaßnahmen dann zu optimieren.

Maßgeblich für die Datensicherheit ist laut DSGVO dabei der Stand der Technik. So kann zum Beispiel eine Verschlüsselung in der Zukunft nicht mehr stark genug sein, weil die Angreifer dann Mittel haben, um sie zu brechen.

Nicht nur neue Angriffsmethoden fordern die Datensicherheit immer weiter heraus, auch die neuen Technologien verlangen ihr Einiges ab. Neue Technik führt zu neuen Schwachstellen, die Angreifer zu ihrem Vorteil nutzen könnten. Aber auch bestehende Technik kann Sicherheitslücken offenbaren, die erst später – oder zu spät – bekannt werden.

Datensicherheit heute und in Zukunft

Sieht man also genauer hin, wundert es nicht, dass auch drei Jahre nach Einführung der DSGVO Sicherheitsvorfälle auftreten und der Datenschutz verletzt wird, weil die Datensicherheit unzureichend war. Der Grund dafür können falsch getroffenen Maßnahmen sein, fehlender Schutz oder Vorfälle, die technisch unvermeidbar waren, aber auch die hohe Dynamik der IT und der Bedrohungslage.

Die Sicherheit der Verarbeitung personenbezogener Daten ist also nicht etwa schlechter geworden, weil immer noch viele Datenpannen auftreten. Vielmehr lässt sich annehmen, dass die Zahl der gemeldeten und entdeckten Vorfälle zugenommen hat. Das ist also ein gutes Zeichen für den Datenschutz, wenn man Datenschutzverletzungen nicht übersieht, sondern meldet und abstellt – was durchaus als Erfolg der DSGVO zu bewerten ist, die die Meldepflichten stärker in den Fokus der Unternehmen gerückt hat.

Gleichzeitig gilt es natürlich, auch weiterhin die Sicherheit der Daten auf ihre Wirksamkeit hin zu untersuchen. Dazu zählt auch, Sicherheitsfunktionen nicht zu umgehen oder zu deaktivieren, nur weil sie den Komfort einschränken. Das würde dann tatsächlich den Datenschutz verschlechtern – jetzt und in Zukunft

Klicken Sie um den Beitrag zu Bewerten
[Total: 0 Average: 0]
Über uns

Persönlich, pragmatisch, professionell: Die 3 P Datenschutz GmbH ist seit vielen Jahren als externer Dienstleister für Datenschutz und IT-Sicherheit tätig.

Rechtliches
Kontakt

3 P Datenschutz GmbH
Sanderstraße 47
86161 Augsburg

  • info@3-p-datenschutz.de
  • +49 821 65088580
© 3 P Datenschutz GmbH 2024
Nach oben scrollen