20-3-2017 Gedruckt am 25-03-2017 aus www.monitor.co.at/index.cfm/storyid/17176

Datenschutz-Problemzonen - Jürgen Kolb, iQSol

Der alte 14er (DSG) und der neue 32er (EU-DSGVO)

Bereits der Paragraph 14 im österreichischen Datenschutz-Gesetz lässt an Deutlichkeit wenig zu wünschen übrig. Jeder Administrator, IT-Mitarbeiter und Geschäftsführer sollte diesen zumindest gelesen und zur Kenntnis genommen haben, darum wird er hier auch nicht weiter ausgeführt. Auf das Thema Protokollierung – Wer hat wann worauf zugegriffen bzw. wurde etwas geändert, gespeichert, gelöscht, etc. – im Absatz 2 Satz 7 sei jedoch ausdrücklich hingewiesen.

Bild: CC0 Public Domain - pixabay.com

Der neue Art. 32 in der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist bald das neue Maß für die IT-Branche. Nicht zu vergessen sind jedoch umfangreiche Erwägungs-Gründe und Erläuterungen zur Rechtsmaterie sowie auch viele verfügbare Rechtsmeinungen in Buchform oder in einschlägigen Blogs.
 
Beispielhaft führt der Erwägungs-Grund 083 der EU-DSGVO ganz locker, aber sehr konkret, im ersten Satz bereits aus, dass Risiken einzuschätzen sind und zu deren Abwehr das Instrument der Verschlüsselung anzuwenden ist. Der zweite Satz behandelt den Stand der Technik, somit das Marktangebot wie auch die Verpflichtung zum Einspielen von Patches, aber auch die Verhältnismäßigkeit der Kosten und das Prinzip der Vertraulichkeit. Der letzte längere Satz hat es wieder in sich:
 
"Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte."
Man sieht exemplarisch, dass sehr viele Tatbestände abgedeckt werden sollen, die bereits im IT-Alltag durchgängig behandelt werden sollten: Passwort-Management, Endgeräte-Sicherheit und Network-Access-Control erhalten so eine zusätzliche unternehmenskritische Komponente. Weiters werden auch neue Aspekte aus dem rechtlichen Raum eingeführt, die bisher in der IT wenig Bedeutung hatten: aktive Löschkonzepte und die Anwendung des Prinzips der Datenminimierung.
 
Jürgen Kolb, Managing Director des IT-Security-Anbieters iQSol, geht dieses Jahr in der Serie "Datenschutz-Problemzonen" regelmäßig kurz und prägnant auf einzelne Aspekte des Themas Datenschutz ein, die als Denkanstoß dienen sollen.
 
Bisher veröffentlicht: