Das Thema Datenschutz & IT-Sicherheit gewinnt seit Eintreten der EU-Datenschutz-Grundverordnung im Mai 2016 immer mehr an Relevanz und wird häufig thematisiert. In einem exklusiven Gespräch mit dem Experten Dietmar Thüringer, haben wir ein paar Fragen zu diesem Thema gestellt.
1. Frage: Was steht im Österreichischen Datenschutzgesetz und was regelt es?
"Die DSGVO regelt den Umgang mit personenbezogenen Daten, dabei wird in sensible (Gesundheitsdaten, politische Einstellungen, Glauben etc.) und nicht-sensible (Adressen, Geburtsdatum etc.) unterschieden. Zu den wichtigsten Inhalten zählt die Festlegung der Datensicherheitsmaßnahmen. Daten müssen vor Zerstörung und Verlust, sowie vor ordnungswidriger und unrechtmäßiger Verwendung geschützt werden."
2. Frage: Bevor die Planung der IT-Sicherheit gestartet werden kann, müssen zunächst die möglichen Bedrohungen erfasst werden. Welche können das sein?
"Das können zu einem technische Probleme sein, wie Hardwarefehler, Netzwerkausfälle etc. oder auch organisatorische Mängel, also fehlende Dokumentation, fehlende Schulungen etc., das kann fahrlässiges Benutzerverhalten sein, wie Bedienungs- und Wartungsmängel, die Nichtbeachtung von Sicherheitsmaßnahmen etc. oder auch vorsätzliche Handlungen, also Computermissbrauch, Datendiebstahl etc. und zu guter Letzt zählte die höhere Gewalt, wie Brand, Blitzschlag etc. auch zu den möglichen Bedrohungen."
3. Frage: Sie haben bereits erwähnt, dass das Datenschutz-gesetz bestimmte Sicherheitsmaßnahmen festlegt. Welche sind das?
"Die Maßnahmen definieren sich aus der Klassifikation der Unternehmenswerte und den identifizierten Bedrohungen. Einer Bedrohung sollte im Regelfall durch ein Mix aus verschiedenen Maßnahmen entgegengewirkt werden. Es gibt drei verschiedene Maßnahmen aus allen Bereichen. Zu einem wäre das die bauliche und infrastrukturelle Sicherheit, das sind zum Beispiel Zutrittskontrollen, Brand- und Wasserschutz Maßnahmen und ein Einbruchsschutz. Zum anderem die organisatorische Sicherheit, wie zum Beispiel Schulung und Sensibilisierung der Mitarbeiter, Sicherheitsrichtlinien, eine Notfalldokumentation etc. Zuletzt gibt es noch die technischen Maßnahmen, diese umfassen Themen wie Zugangs- und Zugriffsberechtigungen, Datensicherung, Virenschutz etc.. Die umgesetzten Maßnahmen müssen kontinuierlich auf ihre Wirksamkeit, Zweckmäßigkeit und Aktualität geprüft werden."
4. Frage: Welche personellen Maßnahmen sollte es in einem Unternehmen geben, damit die Ansprüche des Datenschutzes gewährleistet werden können?
"Die besten technischen Maßnahmen sind nur so gut, wie die Mitarbeiter, die sie ausführen. Aus diesem Grund sind Schulung zum Thema IT-Sicherheit und Datenschutz unbedingt notwendig. Jedes Unternehmen sollte zudem auch Regelungen für folgenden Bereiche treffen. Das sind die Einhaltung der PC-Benutzerregeln, die Einhaltung der Regeln für die Benutzung von Internet und E-Mail und die Einhaltung der Verpflichtungserklärung auf das Datengeheimnis. Es gilt als dringend notwendig, neue Mitarbeiter und Mitarbeiterinnen auf die internen Regelungen hinzuweisen."
5. Frage: Warum sind die Punkte 1 bis 4 für das Thema Versicherung relevant?
"Mit der Umsetzung der oben erwähnten Punkte betreiben wir Risikomanagement. Jede Versicherung hat als Basis ein Bedingungswerk, indem unter anderem festgelegt ist, "was versichert" ist, "welche Ausschlüsse" es gibt usw. Wir zielen hier klar auf das Thema der Cyber-Versicherung ab. Werden die obigen Punkte nicht beachtet oder vernachlässigt, so kann es im Schadensfall leicht zu einer Ablehnung kommen."
Mehr zum Thema Informationssicherheit erfahren sie hier.
Comments