Blog Artikel 17/05/2023

Anforderungen der DSGVO und ISO 27001 Norm

Autorin: Alexandra Balykina. SIM-Networks' Autorin

Inhalt

Der Schutz personenbezogener Daten ist durch die steigende Anzahl von Datenschutzverletzungen in der heutigen digitalen Welt unerlässlich geworden. In Europa sind 2018 neue Vorschriften in Kraft getreten, die alle Unternehmen weltweit betreffen, die mit Einwohnern der Europäischen Union (EU) zusammenarbeiten. Diese Gesetze setzen neue Standards für die Datensicherheit und sehen hohe Strafen für Verstöße vor.

Was ist die Datenschutz-Grundverordnung (DSGVO)?

Eines der wichtigsten Gesetze in diesem Bereich ist die Datenschutzgrundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR). Sie wurde 2016 in der Europäischen Union verabschiedet und ist am 25. Mai 2018 in Kraft getreten. Die DSGVO legt die Regeln für die Verarbeitung und den Schutz personenbezogener Daten von EU-Bürgern fest.

Unternehmen, die personenbezogene Daten von Personen mit Wohnsitz in der EU erheben, speichern, verarbeiten oder übermitteln, müssen nach der Datenschutz-Grundverordnung strenge Anforderungen an die Verarbeitung dieser Daten erfüllen. Darüber hinaus müssen sie eine klare, verständliche und zugängliche Datenschutzerklärung zur Verfügung stellen, aus der hervorgeht, welche Daten erhoben werden, für welche Zwecke und aus welchen Gründen sie verarbeitet werden und wie lange sie gespeichert werden.

Die Datenschutz-Grundverordnung verpflichtet Unternehmen außerdem, die ausdrückliche Zustimmung der Nutzer zur Verarbeitung ihrer personenbezogenen Daten einzuholen. Die DSGVO legt zudem die Rechte der Nutzer auf Auskunft, Berichtigung und Löschung ihrer personenbezogenen Daten fest. Die Nutzer haben das Recht, ihre Einwilligung jederzeit zu widerrufen, und die Unternehmen müssen in diesem Fall alle Daten löschen. Unternehmen müssen außerdem die Sicherheit personenbezogener Daten gewährleisten und Verstöße innerhalb von 72 Stunden nach deren Feststellung melden.

Von der Datenschutz-Grundverordnung betroffene Personen und Unternehmen

Beim Datenschutz im Rahmen der Datenschutz-Grundverordnung kann zwischen zwei Arten von Akteuren unterschieden werden: der kontrollierenden und der verarbeitenden Gruppe. Die kontrollierende Gruppe sind die Organisationen, die Nutzerdaten sammeln und verarbeiten, während die verarbeitende Gruppe die IT-Unternehmen umfasst, die die technischen Ressourcen und die Infrastruktur für die Verarbeitung dieser Daten bereitstellen.

Die Datenschutz-Grundverordnung betrifft alle Parteien, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, wo sie sich befinden. Daher betrifft dieses Gesetz auch Online-Unternehmen und Plattformen, die internationale Kunden oder Mitglieder akzeptieren.

Seit der Einführung der Datenschutz-Grundverordnung sind die Verantwortlichen verpflichtet, die Daten von EU-Bürgern auf transparente Weise zu verarbeiten. Sobald der Zweck erfüllt ist und kein legitimer Bedarf mehr an den Daten eines bestimmten Nutzers besteht, müssen diese gelöscht werden, damit personenbezogene Daten nicht unbegrenzt auf Servern gespeichert werden, die jederzeit gehackt werden können.

Personenbezogene Daten unter der DSGVO

Der Begriff der personenbezogenen Daten wurde in der Europäischen Union mit der Verabschiedung der Datenschutz-Grundverordnung erweitert. Seitdem gelten auch Informationen über den Computer und den Standort des Nutzers, wie z. B. die IP-Adresse, als personenbezogene Daten. Finanzielle, psychologische oder ethnische Daten sowie alle Informationen, die zur Identifizierung einer Person verwendet werden können, fallen ebenfalls in diese Kategorie. Anonyme Daten oder Pseudonyme, die leicht mit einer bestimmten Person in Verbindung gebracht werden können, gelten auch als personenbezogene Daten. Darüber hinaus zählen alle Informationen, die bereits unter das Datenschutzgesetz fallen, auch nach der Datenschutz-Grundverordnung dazu.

Gemäß der Datenschutz-Grundverordnung haben Personen das Recht auf Zugang zu ihren personenbezogenen Daten. Die für die Verarbeitung Verantwortlichen müssen Anfragen von Nutzern innerhalb von 30 Tagen beantworten. Die beteiligten Parteien müssen für Klarheit darüber sorgen, wie die Daten erhoben, verwendet und verarbeitet werden. Die Sprache der Dokumente, die diese Prozesse erklären, sollte einfach und verständlich sein.

Die DSGVO und Unternehmen

Am 25. Mai 2018 traten in der Europäischen Union Änderungen bei den Regeln für die Datenverarbeitung in Kraft. Viele Unternehmen mussten die Art und Weise überprüfen, wie sie Informationen über ihre Kunden und Nutzer sammeln, verwenden und speichern.

Die Aktualisierung der Systemprozesse zur Einhaltung der Datenschutzgrundverordnung kann für manche Unternehmen schwierig sein. Oft ist schlicht die Infrastruktur nicht ausreichend, um alle Anforderungen zu erfüllen. In diesem Fall ist es am besten, sich an ein Beratungs- oder Sicherheitsunternehmen zu wenden, das den gesamten Prozess unterstützt.

Die Hauptfolgen für Unternehmen, die die Vorschriften nicht einhalten, sind hohe Geldstrafen. Eine Datenschutzverletzung kann von einem externen Hacker, einem Insider oder einer unbekannten Quelle verursacht worden sein - dies spielt im Rahmen der DSGVO keine Rolle. Die Verantwortung wird vollständig auf die Organisation selbst übertragen.

Wirtschaftliche Vorteile der DSGVO-Konformität

  • Verringerung des Risikos von Datenschutzverletzungen und der damit verbundenen Bußgelder
  • Verbesserung der Datensicherheit und Verhinderung von Cyberangriffen
  • Positive Wirkung auf die Reputation. Unternehmen demonstrieren ihre Verantwortung und ihr Engagement für den Datenschutz, was sich vorteilhaft auf ihren Ruf auswirken und mehr Kunden anziehen kann.
  • Erleichterung internationaler Handelsbeziehungen. Es ist einfacher, Geschäfte mit anderen Unternehmen zu tätigen, die sich an dieselben Regeln halten, wodurch das Risiko eines Verstoßes gegen internationale Datenschutzbestimmungen verringert wird.

ISO 27001-Norm

Bei der Zertifizierung nach ISO 27001 wird geprüft, ob ein Unternehmen die Anforderungen des internationalen Standards für Informationssicherheitsmanagement erfüllt. Ziel der Zertifizierung ist es, die Wirksamkeit des Informationssicherheitssystems zu bestätigen und das Risiko von Datenverlusten zu minimieren.

Um eine Zertifizierung zu erhalten, muss ein Auditverfahren durchlaufen werden, in dem die Einhaltung der Anforderungen von ISO 27001 verifiziert wird. Ein unabhängiger Dritter - die Zertifizierungsstelle - führt das Audit durch.

Die Zertifizierung nach ISO 27001 kann Unternehmen helfen, die Informationssicherheit zu verbessern, das Vertrauen von Kunden und Stakeholdern zu stärken und die Einhaltung einer Reihe von Vorschriften, einschließlich der Datenschutz-Grundverordnung, nachzuweisen.

Kann eine ISO 27001-Zertifizierung die Einhaltung der DSGVO garantieren?

Obwohl ISO 27001 einige der in der DSGVO geregelten Bereiche nicht abdeckt, wie z. B. das Recht einer betroffenen Person, ihre personenbezogenen Daten zu übertragen oder zu löschen, deckt dieser Standard die meisten Anforderungen der DSGVO ab. Denn personenbezogene Daten werden im Rahmen von ISO 27001 als Informationssicherheitsgut anerkannt. Die Zertifizierung nach ISO 27001 kann die vollständige Einhaltung der DSGVO nicht garantieren, ist aber ein wichtiger Schritt in diese Richtung.

Jedes Unternehmen, das mit in der EU ansässigen Personen zu tun hat, muss die DSGVO einhalten. Um eine vollständige Konformität mit der Datenschutz-Grundverordnung zu erreichen, müssen ISO 27001-zertifizierte Unternehmen die Unterschiede zur DSGVO analysieren, um zusätzliche Anforderungen zu ermitteln und diese in ihr Informationssicherheits-Managementsystem zu integrieren. Dennoch ist es einfacher, die Anforderungen zu erfüllen, wenn man mit der ISO 27001-Norm bereits einen wichtigen Schritt in Richtung größtmöglicher Konformität getan hat.

Private Cloud

Private Cloud

Lernen Sie die individuellen Cloud-Lösungen von SIM-Networks kennen

Mehr erfahren

Zusammenfassung

Die Datenschutz-Grundverordnung hat erhebliche Auswirkungen auf Unternehmen weltweit, insbesondere auf solche, die mit EU-Bürgern interagieren. Alle Unternehmen, die personenbezogene Daten von EU-Bürgern erheben, verarbeiten oder speichern, müssen die Bestimmungen der DSGVO einhalten. Andernfalls drohen Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes des Unternehmens, was die finanzielle Lage des Unternehmens ernsthaft beeinträchtigen kann. Daher müssen Organisationen weltweit, die mit der EU zusammenarbeiten, sicherstellen, dass sie über angemessene Sicherheitsrichtlinien, Prozesse und Verfahren zum Schutz personenbezogener Daten verfügen.

Es ist wichtig zu wissen, dass eine Zertifizierung nach ISO 27001 erhebliche Vorteile mit sich bringt: Risikominderung, verbesserte Sicherheit und Reputation. Darüber hinaus kann die Einhaltung der DSGVO Unternehmen dabei helfen, die Daten ihrer Kunden besser zu schützen, was für das Vertrauen der Kunden und die Wettbewerbsfähigkeit eines Unternehmens auf dem Markt entscheidend ist.

Generell sollten die Einhaltung der DSGVO und die Zertifizierung nach ISO 27001 oberste Priorität für Unternehmen haben, die Informationssicherheit effektiv managen und die personenbezogenen Daten ihrer Kunden schützen wollen.

IN
Autorin
Alexandra Balykina

Alexandra Balykina verfügt über umfangreiches Fachwissen im IT-Bereich, u. a. durch ihren Master-Abschluss in Information Systems and Technology Management. In ihren Artikeln teilt sie Einblicke und Erfahrungen zu relevanten Themen im Bereich Cloud Computing. Neben ihrer beruflichen Tätigkeit gilt Alexandras Leidenschaft dem Meer und allem, was mit Wasser zu tun hat, wo sie Freude und Erholung findet. Als begeisterte Schwimmerin fühlt sie sich am lebendigsten, wenn sie in die Wellen eintaucht. Außerdem macht sie Kundalini Yoga, womit sie Harmonie und Ausgeglichenheit in ihrer Arbeit und in sich selbst findet.

Weitere Artikel der Autorin >
War dieser Artikel hilfreich?

Hat dir der Artikel gefallen?

Cookie-Zustimmung

Indem Sie auf «Ich stimme zu» klicken, stimmen Sie der Verwendung von Cookies auf unserer Website zu. Die Verwendung dieser Cookies dient der Optimierung Ihrer Nutzererfahrung, indem u. a. Präferenzen für kommende Besuche auf unserer Website gespeichert werden. Sie können unter «Cookies verwalten» detaillierte Einstellungen vornehmen und Ihre Cookie-Auswahl anpassen. Mehr dazu

Cookie-Einstellungen

funktional

Funktionale bzw. notwendige Cookies sind für die Grundfunktionen der Website von entscheidender Bedeutung und die Website funktioniert ohne sie nicht wie vorgesehen.

  Notwendige Cookies aktivieren Diese Cookies speichern keine personenbezogenen Daten.
analyse

Analytische Cookies werden verwendet, um zu verstehen, wie Besucher mit der Website interagieren.

  Analytische Cookies aktivieren Diese Cookies ermöglichen die Bereitstellung von Informationen zu Metriken wie z. B. Anzahl der Besucher, Absprungrate, Verkehrsquelle, sodass wir die Leistung unserer Website messen und verbessern können.
werbung

Werbe-Cookies werden verwendet, um Besuchern relevante Anzeigen und Angebote bereitzustellen.

  Werbe-Cookies aktivieren Diese Cookies sammeln Informationen über mehrere Websites hinweg, um maßgeschneiderte Anzeigen zu platzieren.