IT-Sicherheit und Datenschutz
Mit Adrian Schneider, Joerg Heidrich, Achim Barczok
1 Stunde 13 Minuten
Podcast
Podcaster
Beschreibung
vor 2 Jahren
Logfiles und Datenbanken enthalten fast immer auch personenbezogene
Daten. Um sie ausreichend zu schützen, müssen Unternehmen und
Privatpersonen „geeignete technische und organisatorische Maßnahmen
treffen“. Das reicht von regelmäßigen Software-Updates und
Infrastruktur auf „dem Stand der Technik“ über Verschlüsselung und
Pseudonymisierung bis hin zu regelmäßigen Backups. Über das
Zusammenspiel zwischen IT-Sicherheit und Datenschutz sprechen Joerg
Heidrich und Achim Barczok in der c't-Auslegungssache mit Adrian
Schneider. Er ist Anwalt bei Osborne Clarke und Mitgründer des
IT-Recht-Blogs Telemedicus. Seiner Erfahrung nach werden beide
Begriffe häufig in einen Topf geworfen, doch ihre Zielsetzung ist
unterschiedlich: Datenschutz schützt personenbezogene Daten,
IT-Sicherheit schaut vor allem auf die Systeme und Infrastrukturen.
Deshalb können sie sich auch in die Quere kommen: etwa wenn
Security-Maßnahmen ein möglichst langes Aufbewahren von IP-Adressen
erfordern oder der Virenscanner Dateien zum Check in die Cloud
lädt. Auf was man bei der IT-Sicherheit für den Datenschutz achten
muss, regelt die Datenschutzgrundverordnung (DSGVO) im Artikel 32.
Doch der ist an vielen Stellen vage. Da heißt es etwa, man müsse
den „Stand der Technik“ berücksichtigen. Doch wer definiert diesen
Stand eigentlich? Und reicht es, wenn ich zur „regelmäßigen
Überprüfung“ alle paar Monate eine Checkliste durchgehe, oder muss
ich meine Technik zertifizieren lassen? Wann muss ich einen
Hackerangriff melden? Bei solchen Detailfragen kommt es auch darauf
an, in welchem Bundesland man sitzt – denn die deutschen
Datenschutzbehörden haben mitunter verschiedene Ansichten zum
Umgang mit technischen Fragen. Adrian Schneider Tipp an
Unternehmen: Sie sollten sich schon im Vorfeld darüber klar werden,
was die Risiken sind und was Sie tun müssen, um sie vernünftig zu
adressieren. Welche Folgen Murks bei der IT-Sicherheit haben kann,
zeigt unser Bußgeld der Woche, das die italienische
Datenschutzbehörde an ein Gesundheitsamt verhängt hat. Über eine
App konnten Corona-Getestete ihre Daten per Einlesen eines QR-Codes
abrufen. Da diese QR-Codes aber fortlaufende Nummern als IDs
enthielten, konnten Nutzer auch die Gesundheitsdaten anderer
Getesteten abrufen. Das fand die dortige Datenschutzbehörde nicht
komisch und sprach ein Bußgeld für dieses Versäumnis.
Daten. Um sie ausreichend zu schützen, müssen Unternehmen und
Privatpersonen „geeignete technische und organisatorische Maßnahmen
treffen“. Das reicht von regelmäßigen Software-Updates und
Infrastruktur auf „dem Stand der Technik“ über Verschlüsselung und
Pseudonymisierung bis hin zu regelmäßigen Backups. Über das
Zusammenspiel zwischen IT-Sicherheit und Datenschutz sprechen Joerg
Heidrich und Achim Barczok in der c't-Auslegungssache mit Adrian
Schneider. Er ist Anwalt bei Osborne Clarke und Mitgründer des
IT-Recht-Blogs Telemedicus. Seiner Erfahrung nach werden beide
Begriffe häufig in einen Topf geworfen, doch ihre Zielsetzung ist
unterschiedlich: Datenschutz schützt personenbezogene Daten,
IT-Sicherheit schaut vor allem auf die Systeme und Infrastrukturen.
Deshalb können sie sich auch in die Quere kommen: etwa wenn
Security-Maßnahmen ein möglichst langes Aufbewahren von IP-Adressen
erfordern oder der Virenscanner Dateien zum Check in die Cloud
lädt. Auf was man bei der IT-Sicherheit für den Datenschutz achten
muss, regelt die Datenschutzgrundverordnung (DSGVO) im Artikel 32.
Doch der ist an vielen Stellen vage. Da heißt es etwa, man müsse
den „Stand der Technik“ berücksichtigen. Doch wer definiert diesen
Stand eigentlich? Und reicht es, wenn ich zur „regelmäßigen
Überprüfung“ alle paar Monate eine Checkliste durchgehe, oder muss
ich meine Technik zertifizieren lassen? Wann muss ich einen
Hackerangriff melden? Bei solchen Detailfragen kommt es auch darauf
an, in welchem Bundesland man sitzt – denn die deutschen
Datenschutzbehörden haben mitunter verschiedene Ansichten zum
Umgang mit technischen Fragen. Adrian Schneider Tipp an
Unternehmen: Sie sollten sich schon im Vorfeld darüber klar werden,
was die Risiken sind und was Sie tun müssen, um sie vernünftig zu
adressieren. Welche Folgen Murks bei der IT-Sicherheit haben kann,
zeigt unser Bußgeld der Woche, das die italienische
Datenschutzbehörde an ein Gesundheitsamt verhängt hat. Über eine
App konnten Corona-Getestete ihre Daten per Einlesen eines QR-Codes
abrufen. Da diese QR-Codes aber fortlaufende Nummern als IDs
enthielten, konnten Nutzer auch die Gesundheitsdaten anderer
Getesteten abrufen. Das fand die dortige Datenschutzbehörde nicht
komisch und sprach ein Bußgeld für dieses Versäumnis.
Weitere Episoden
1 Stunde 8 Minuten
vor 1 Woche
58 Minuten
vor 3 Wochen
1 Stunde 10 Minuten
vor 1 Monat
1 Stunde 6 Minuten
vor 1 Monat
1 Stunde 5 Minuten
vor 2 Monaten
In Podcasts werben
Abonnenten
Bielefeld
Kommentare (0)