[datensicherheit.de, 19.09.2019] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, meldet, dass ihn am 18. September 2019 der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), Adrian Lobsiger, in seinem Bonner Dienstsitz besucht hat. Laut Kelber wurden bei dem gut zweistündigen Treffen verschiedene nationale und internationale Themen des Datenschutzes erörtert.

Datenschutzrechtliche Aufsicht über Libra-Association u.a.

Die Berner Gäste hätten z.B. über den Stand des Gesetzgebungsverfahrens zum neuen schweizerischen Datenschutzgesetz und über die Erfahrungen aus der datenschutzrechtlichen Aufsicht über die Libra-Association (eine nach eigenen Angaben „unabhängige, gemeinnützige Organisation mit Hauptsitz in Genf“) berichtet. Diese, dem facebook-Konzern zugehörig, betreibe die für 2020 geplante Komplementärwährung „Libra“.

Verbesserung der internationalen Zusammenarbeit

Ein weiteres Thema sei die Verbesserung der internationalen Zusammenarbeit gewesen. Hierzu hätten die Behördenleiter Möglichkeiten und Wege diskutiert, „wie der Austausch mit dem Europäischen Datenschutzausschuss sowie zwischen europäischen und schweizerischen Institutionen verbessert werden kann“.

Regelmäßiger Austausch wird angestrebt

Gerade mit Blick auf die aktuellen Herausforderungen für die Aufsichtsbehörden durch die Digitalisierung und Internationalisierung des Datenschutzes kündigten Lobsiger und Kelber demnach an, sich zu wichtigen Fragestellungen regelmäßig auszutauschen.

Weitere Informationen zum Thema:

datensicherheit.de, 28.08.2019
Christine Lambrecht im regelmäßigen Austausch mit Ulrich Kelber

datensicherheit.de, 16.07.2019
BfDI fordert datenschutzgerechte Kommunikation mit der Krankenkasse

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

datensicherheit.de, 08.05.2019
Datenschutz: BfDI übergibt den 27. Tätigkeitsbericht

datensicherheit.de, 29.04.2019
BfDI: Multilaterale Verwaltungsvereinbarung zum Datentransfer zwischen Finanzaufsichtsbehörden genehmigt

datensicherheit.de, 22.02.2019
BfDI beantwortet Fragen der Bundestagsabgeordneten zum EU-US Privacy Shield

datensicherheit.de, 31.01.2019
BfDI: Festakt zum Amtswechsel in Bonn

datensicherheit.de, 23.01.2019
BfDI Ulrich Kelber zum EDSA-Auftakttreffen 2019

[datensicherheit.de, 21.08.2019] Mehr als ein Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) gibt es eine wesentliche Neuerung: Der Bundestag hat vor wenigen Wochen den Schwellenwert für die Ernennung eines betrieblichen Datenschutzbeauftragten verdoppelt. Die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) hängt indes nach wie vor von der Anzahl der Mitarbeiter ab, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Ursprünglich hatte es geheißen, wenn sich zehn Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, ist ein DSB notwendig – mit dem neuen Gesetzentwurf wurde dieser Schwellenwert auf 20 Mitarbeiter heraufgesetzt.

Bundesdatenschutzbeauftragter warnt vor falscher Maßnahme

Was als Entlastung für Kleinbetriebe und Vereine gedacht sein sollte – die Befürworter des neuen Schwellenwerts argumentieren, dass 90 Prozent der Handwerksbetriebe davon profitieren würden und ein massiver Bürokratieabbau möglich sei – sehen Kritiker wie der Bundesdatenschutzbeauftragter Ulrich Kelber darin eine „falsche Maßnahme, die die Wahrung des hohen Datenschutzniveaus in Deutschland ernsthaft gefährden könnte”.
„Wünschenswert wäre es, wenn die Regierung die aktuelle Evaluierung der Datenschutz-Grundverordnung dafür nutzt, den Datenschutz möglichst praxisnah und risikogerecht zu gestalten“, sagt hierzu Patrycja Tulinska, IT-Sicherheitsexpertin und Geschäftsführerin der PSW GROUP Consulting.

Foto: PSW GROUP

Patrycja Tulinska: Datenschutz möglichst praxisnah und risikogerecht gestalten!

Automatisierte Datenverarbeitung mittels Computer, Smartphone, Server oder auch Kopierer

Tulinska zu den Auswirkungen die Gesetzesänderung auf Betriebe in der Praxis: „Als ständig beschäftigt gilt für den Gesetzgeber derjenige, der permanent für die Kunden- oder Personalverwaltung zuständig ist. Personen, die beispielsweise als Handwerker oder Mitarbeiter in der Produktion lediglich mit Namen und Adressen von Kunden umgehen, beschäftigen sich nicht ständig damit.“
Die automatisierte Verarbeitung von Daten meine das Erheben, Verarbeiten sowie Nutzen personenbezogener Daten mithilfe von Datenverarbeitungsanlagen. Das könnten also Computer, Smartphones oder Server, aber auch ein mit einem Speichermedium arbeitender Kopierer sein.

Kleinbetriebe wie Hörgeräteakustiker oder Orthopädiemechaniker als Sonderfälle

Allerdings gelte der neue Schwellenwert nicht für Unternehmen, „die personenbezogene Daten verarbeiten, die zur Bewertung der Persönlichkeit des Betroffenen, seiner Leistungen oder seines Verhaltens beitragen“. Das beträfe beispielsweise einen Hörgeräteakustiker oder auch einen Orthopädiemechaniker.
„Personenbezogene Daten werden von ihnen verarbeitet und zur Bewertung des Betroffenen genutzt. Dementsprechend müssen sie auch dann einen Datenschutzbeauftragten ernennen, wenn sie unter dem Schwellenwert liegen“, erläutert Tulinska. Dasselbe gelte für Betriebe, die hoheitliche Aufgaben verfolgen, etwa für den Schornsteinfeger.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 16.07.2019
Datenschutzbeauftragter: Keine Pflicht mehr für Kleinbetriebe

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen

datensicherheit.de, 25.06.2019
PSW GROUP warnt vor versteckter Malware

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

[datensicherheit.de, 11.03.2019] Mit Rainer Rehm hat sich der Cloud Security Anbieter Zscaler einen erfahrenen Chief Information Security Officer (CISO) an Bord geholt, der gleichzeitig die Rolle des Datenschutzbeauftragten für EMEA übernimmt. In dieser Funktion tritt er in der Vertriebsphase für den Kunden als Berater auf, um die Anliegen von Sicherheitsexperten mit den Aufgaben der Betriebsräte in Einklang zu bringen. Im Gespräch mit Carsten J. Pinnow für datensicherheit.de (ds) erläutert Rehm warum diese Aufgabe als Vermittler der digitalen Transformation zunehmend gefragter wird.

Foto: Zscaler

Rainer Rehm, Data Privacy Officer EMEA, Zscaler

ds: Warum brauchen wir heute eine Funktion, die den Kunden das Zusammenwirken von Datenschutz und Informationssicherheit erklärt?

Rehm: Wenn es um Datenschutz und Datensicherheit geht prallen in einem Unternehmen zwei Lager aufeinander, die nicht die gleiche Sprache sprechen. Die Betriebsräte (BR) leiten ihre Aufgabe aus dem Betriebsverfassungsgesetz ab. Der Sinn dieses Gesetzes ist der Schutz der Mitarbeiter vor allmächtiger Überwachung und Ausnutzung der schwächeren Position der Mitarbeiter. Die BR befassen sich mit abstrakten Themen und deren juristischen Definitionen und mit dieser Begrifflichkeit tut sich die IT-Abteilung schwer. Darüber hinaus sind auch die tatsächlichen Bestimmungen im täglichen Miteinander von Belang im Sinne dessen, was durchgeführt werden darf und was nicht.

Die Sicherheitsverantwortlichen brauchen für die technische Umsetzung von Datensicherheit klare Anweisungen und entsprechende Prüfverfahren, wie Hardening-Guides, welche die Systemkonfigurationen und Services definieren oder Checklisten, die belegen, dass alle notwendigen Maßnahmen für das Sicherstellen der Datensicherheit ergriffen wurden. Mit ihren Checklisten liefern sie Nachweise, die den Datenschützern und Auditoren den Beleg für die Sicherheit bieten. Was in dieser Gleichung der Security-Compliance fehlt, ist der Bogen zum Geschäftsrisiko eines Unternehmens. Zieht man das Business Risk in die Überlegungen von Datenschutz und Datensicherheit mit ein, bekommt man es mit entgegengesetzten Polen der gleichen Diskussion zu tun.

ds: Wie kann man diese entgegengesetzten Lager vereinen? Denn letztlich geht die Sicherheit des Unternehmens ja alle Parteien etwas an.

Die Datenschützer müssen mit den Security-Verantwortlichen ins Gespräch kommen. Dazu ist oftmals eine vermittelnde Funktion erforderlich, welche die Sprachen beider Pole spricht – eine Art Übersetzer. Jedes Lager hat seine eigene Fachterminologie und oftmals fehlendes Verständnis für die Gegenseite. Die IT-Abteilung kommuniziert mit der Sprache der Techniker und deren spezifischen Komponenten, dagegen die BR und Juristen reden in Begrifflichkeiten, die der IT Security-Spezialist nicht versteht.

Ein Beispiel: Privacy by Design trifft im Unternehmensalltag auf AES 265 Verschlüsselung. Genau an dieser Stelle kommt ein externer Vermittler ins Spiel, der als CISO in Personalunion mit dem Datenschutzbeauftragten beide Lager versteht. Als Mittelsmann springt er in die Bresche und sorgt dafür, dass Technik-, Juristenterminologie und auch die darunter liegenden Ansätze in Einklang gebracht werden können. Er sorgt zudem dafür, dass die Nachweise vorhanden sind, sei es als Betriebsvereinbarung oder als technischer Nachweis.

ds: Ist es die Cloudifizierung oder die DSGVO, die beide Pole zur Kooperation zwingt?

Beide Strömungen geben hier die entscheidenden Impulse. Ursprünglich war die IT-Abteilung in der Pflicht, inhouse die geforderte Sicherheitsinfrastruktur bereitzustellen und durch die getroffenen Maßnahmen die Compliance mit den Datenschutzanforderungen zu gewährleisten. Durch die Verlagerung der Sicherheitsfunktion aus dem Rechenzentrum in die Cloud – also den Bezug von Security as a Service – muss die IT-Abteilung den Cloud-Anbieter mit den Fragenstellungen der Sicherheit konfrontieren. Auch hier spielt der Compliance-Beauftragte/Auditor eine wichtige Rolle, denn er muss wiederrum überprüfen, ob alle rechtlichen Anforderungen durch den Service-Provider abgedeckt werden. Die Verantwortung wird in einem solchen Szenario an den Service-Anbieter delegiert, wobei sichergestellt werden muss, dass die nötige Sicherheitsfunktion bereitgestellt wird.

ds: Oft will in Puncto Sicherheit auch der Betriebsrat mit in die Diskussion einbezogen werden, wobei dieser dann wiederum andere Interessen vertritt. Wie kann ein CISO hier vermitteln?

Im Gespräch mit dem Betriebsrat kommt tatsächlich das Abwägen zwischen den Interessen des Unternehmens hinsichtlich Cybersecurity-Maßnahmen und den Interessen der BR auf den Tisch. Eine der Kernaufgaben des Betriebsrats besteht im Schutz der Mitarbeiter vor Leistungsüberwachung. Abgeleitet aus dem Betriebsverfassungsgesetz fordert der Betriebsrat ein Mitspracherecht und thematisiert Ängste der Mitarbeiterüberwachung durch den Einsatz technischer Lösungsansätze. Ein solcher Lösungsansatz ist beispielsweise das Aufbrechen von SSL-verschlüsseltem Datenverkehr zur Untersuchung auf Malware. Das Unternehmen rechtfertigt diese Maßnahme durch die Zunahme von Schadcode, der hinter der Verschlüsselung verborgen in Unternehmensnetzwerke eingeschleust wird, wie der jüngste Cloud Security Insights Report von Zscaler belegt.

Das Aufbrechen der verschlüsselten Datenströme zum Malware-Scan ist aus Sicht der Unternehmer erforderlich, um langfristig einen sicheren Betrieb zu garantieren. Denn wird durch eingeschleuste Malware die Kernkompetenz des Unternehmens ausgespäht, Baupläne oder Prozessbeschreibungen abgezogen, kann der Fortbestand eines Unternehmens gefährdet sein. Eine solche Kompromittierung muss die Unternehmensführung aus wirtschaftlichen Gründen verhindern um Arbeitsplätze zu erhalten. Auch der Betriebsrat möchte die Sicherheit des Arbeitsplatzes für den Mitarbeiter gewährleisten. So gesehen verfolgen der Unternehmer und der Betriebsrat den gleichen Zweck. Um beide Pole zusammenzubringen ist wiederum ein (externer) Berater hilfreich, der die Anliegen beider Seiten kennt und vermitteln kann. Ein CISO und Datenschutzbeauftragter kann dem Betriebsrat verdeutlichen, welche Maßnahmen, wie beispielsweise ein Vier-Augen-Prinzip in Bezug auf das SSL-Scanning, getroffen wurden, um die Funktion der Datensicherheit zu gewährleisten und zeitgleich den gläsernen Mitarbeiter zu verhindern.

ds: Und durch die DSGVO wird die Aufgabe zusätzlich um weitere Komponenten angereichert?

Durch die Grundverordnung sind Unternehmen in der Pflicht, zusätzlich zu Datensicherheit und Datenschutz noch eine weitere Ebene der Compliance abzudecken. Sie betrifft die Datenerhebung und -verarbeitung. Privacy by Design trifft also auf Privacy by Default! Aufbauend auf dem Datenschutzgesetz gilt es bei ersterem zu überlegen, welche Maßnahmen ergriffen werden müssen, dass nichts Unerwünschtes mit den Daten passieren kann – also die Absicherung des Datenverkehrs und der Datenverarbeitung gegen unbeabsichtigte Zugriffe. Andererseits muss bei Privacy by Default ein Kontakt im ersten Schritt explizit einwilligen, dass seine Daten überhaupt erhoben werden dürfen. In der Praxis bereitet dieser Teil der Umsetzung den Unternehmen das größere Kopfzerbrechen. Um nur ein Beispiel zu nennen befinden sich Cookies in aller Regel bereits auf der ersten Webseite eines Unternehmens und werden dort abgegriffen, bevor die Anfrage eingeblendet wird zum Einholen der Erlaubnis. Es gibt also durch die DSGVO zusätzlichen Aufklärungsbedarf, der die Datenschützer und CISOs weiterhin beschäftigen wird.

Weitere Informationen zum Thema:

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019

[datensicherheit.de, 24.05.2018] Laut einer Meldung des Bayerischen IT-Sicherheitsclusters wurde die Meldefrist für die Nennung des betrieblichen Datenschutzbeauftragten in Bayern bis zum 31. August 2018 verlängert.

Empfehlung von Informationsquellen zum Thema DSGVO

Verwiesen wird auf weitere Umsetzungsempfehlungen und Informationen u.a. auf den Websites der übrigen Landesbehörden der Bundesländer sowie den Industrie- und Handelskammern.

Bei Umsetzung der DSGVO „Augenmaß“ gefordert

Der Bundesverband IT-Mittelstand e.V. ruft dazu auf, bei der Umsetzung der DSGVO mit „Augenmaß“ vorzugehen, um für alle die Vorteile der Regelungen nutzbar zu machen.

Weitere Informationen zum Thema:

BayLDA
Willkommen beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA)

bitkom, 30.05.2017
Leitfaden: Das Verarbeitungsverzeichnis

IT SECURITY – Bavarian IT Security & Safety Cluster, 24.05.2018
BITMi zur DSGVO: Zukunft gestalten und Maß halten

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

Von unserem Gastautor Sven Janssen, Regional Director Central Europe bei SonicWall

[datensicherheit.de, 13.02.2017] Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz der EU-Bürger, droht Unternehmen aber gleichzeitig mit drakonischen Strafen, falls sie die Richtlinien nicht oder nur unzureichend umsetzen. Um den Anforderungen gerecht zu werden, sollten sie einen Datenschutzbeauftragten bestellen, der Zugriffsrechte penibel verwaltet und die Sicherheit ihres Netzwerks sicherstellt.

Die EU-Datenschutz-Grundverordnung (GDPR) gilt ab 25. Mai 2018 und schafft in Europa einheitliche Datenschutz-Regelungen. Datenschutzverletzungen müssen ab diesem Zeitpunkt innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Außerdem sind die von der Verletzung betroffenen Personen über den Vorfall zu informieren. Die neue Richtlinie ist einerseits für alle Unternehmen bindend, die einen Sitz in der EU haben, und erstreckt sich andererseits auch auf Firmen weltweit, sofern sie personenbezogene Daten über in der EU ansässige Bürger erheben, verarbeiten und nutzen. Wer sich nicht an die neuen Vorschriften hält, muss mit beträchtlichen Geldstrafen rechnen. Die maximale Geldbuße bei einem schweren Datenschutzvergehen beträgt bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Die strikte Einhaltung der GDPR ist daher für Unternehmen aller Branchen überlebenswichtig.

Doch welche Strategien sollten sie verfolgen, um den Anforderungen gerecht zu werden? Drei grundsätzliche Maßnahmen sind bei der Umsetzung der Richtlinien von zentraler Bedeutung: Bestellung eines Datenschutzbeauftragten, die strikte Verwaltung der Zugriffsrechte sowie die wirksame Absicherung des Netzwerkverkehrs. Das sind die wichtigsten ersten Schritte, um die persönlichen Daten der Kunden wirksam zu schützen, Datenlecks zu verhindern und damit hohe Geldstrafen sowie Image-Verluste zu vermeiden.

Ein Datenschutzbeauftragter gehört zum Pflichtprogramm

Die Bestellung eines Datenschutzbeauftragten ist eine der Voraussetzungen in der GDPR und gilt europaweit. Grundsätzlich steht es dem Unternehmen frei, die Position des betrieblichen Datenschutzbeauftragten intern oder extern zu besetzen. Viele bedienen sich bereits der Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen, um ihre eigenen internen Ressourcen besser zu nutzen und von den Vorteilen des spezifischen Fachwissens eines externen Datenschutzbeauftragten zu profitieren. Grund: Technologische Neuentwicklungen fordern den Datenschutzbeauftragten zusehends, so dass für ihn eine permanente Weiterbildung in der IT und im juristischen Bereich unerlässlich ist, um den immer komplexeren Fragestellungen gerecht zu werden. Externe Dienstleister wie Systemintegratoren, Systemhäuser oder Reseller haben den wachsenden Bedarf erkannt und bieten mittlerweile die Übernahme dieser Aufgabe als Dienstleistung an. Aber Achtung: Es ist nicht zu empfehlen, aus Sparsamkeit auf einen Datenschutzbeauftragten zu verzichten, da er der zuständigen Aufsichtsbehörde gemeldet werden muss. Eine Unterlassung bleibt daher mit hoher Wahrscheinlichkeit nicht lange unentdeckt.

Laxe Zugriffsrechte sind brandgefährlich

Unternehmen müssen laut GDPR sicherstellen, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten – andernfalls ist mit Strafen zu rechnen. Ferner sind die Daten vor unbeabsichtigtem Verlust, versehentlicher Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen. Die Möglichkeit, Anwendungen zu steuern, die Zugriff auf persönliche Daten von EU-Bürgern haben, ist ein wichtiger Punkt bei der Datensicherheit. Access-Governance erfordert deshalb eine regelmäßige Überprüfung der Zugriffsrechte von Abteilungsleitern, Mitarbeitern und Vertragspartnern. Dabei geht es nicht nur um den Schutz vor unerlaubten Zugriffen, sondern auch um den revisionssicheren Nachweis, dass ein Zugriff nicht möglich war. Es ist also sicherzustellen, dass die Berechtigungen mit den Job-Beschreibungen übereinstimmen und nicht die Datensicherheit gefährden. Identitäts- und Zugriffsmanagementlösungen, die dieses Maß an Steuerung zulassen, enthalten beispielsweise Multi-Faktor-Authentifizierung (MFA), sicheren Remote-Zugriff, risikobasierte, adaptive Zugangssicherheit, granulares Passwort-Management und die volle Kontrolle über privilegierte Benutzer-Credentials und deren Aktivität.

Schutz der Daten betrifft alle Bereiche des Unternehmens

Die Vorgaben der GDPR lassen sich jedoch nicht nur auf den Datenschutzbeauftragen und Zugriffskontrollen reduzieren, sondern gehen weit darüber hinaus. Unternehmen sind aufgefordert, sowohl technische als auch organisatorische Vorkehrungen zu treffen, die ein angemessenes Schutzniveau für die Daten in allen Bereichen des Unternehmens sicherstellen. Dazu gehören beispielsweise Produkte und Lösungen wie Virenscanner, Appliances für E-Mail-Sicherheit, Data Loss Prevention (DLP), Unified Thread Management (UTM), Firewalls, Zutrittskontrollen sowie ein Information Security Management System (ISMS), aber auch organisatorische Maßnahmen wie die Einrichtung eines Chief Information Security Officers (CISO).

Welche Maßnahmen im Detail umgesetzt werden müssen, ist natürlich von Fall zu Fall verschieden – sie lassen sich erst durch ein Audit konkret benennen.

Netzwerkschutz verhindert Datendiebstahl

Externe Cyber-Attacken sind meist die Ursache für Datenlecks und somit Datenschutzverletzungen. Einen möglichen Baustein zur Abwehr solcher Bedrohungen stellen beispielsweise Next Generation Firewalls (NGFWs) dar, da sie – im Gegensatz zu normalen Firewalls – das Risiko solcher Datenlecks durch verschiedene integrierte Sicherheitstechnologien senken. So verfügen NGFWs üblicherweise über Deep Packet Inspection, Echtzeit-Entschlüsselung und Prüfung von SSL-Sitzungen sowie adaptives Multi-Engine-Sandboxing und gestatten die volle Kontrolle von Anwendungen. Außerdem liefern sie umfassende forensische Einsichten in den Netzwerkverkehr. Unternehmen sind dadurch in der Lage nachzuweisen, dass sie die Compliance einhalten. Außerdem helfen ihnen die Kenntnisse dabei, bei potentiellen Verletzungen wirksame Nachbesserungen durchzuführen.

Die Absicherung des Netzwerkes ist umso wichtiger, da Mitarbeiter zunehmend mobil auf Unternehmensressourcen zugreifen. Sie benötigen dafür einen stets sicheren Zugang von beliebigen Geräten aus. Auch hier bringen NGFWs einen entscheidenden Vorteil, da sie eine sichere, verschlüsselte Verbindung etwa via SSL-VPN erlauben. Die Datensicherheit lässt aber noch weiter verbessern, indem Identitäten mit Gerätevariablen und veränderlichen Faktoren wie Zeit oder Ort kombiniert werden. Dieser adaptive, risikobasierte Ansatz gewährleistet zu jeder Zeit den sicheren Zugriff auf das Unternehmensnetz und verbessert gleichzeitig den Datenschutz und die Compliance.

E-Mails sind für den Informationsaustausch immer noch die am weitesten verbreitete Methode. Gleichzeitig stellt die Kommunikation per E-Mail aber ein großes Sicherheitsrisiko dar. Grund: Cyber-Kriminelle versuchen durch Phishing oder infizierte E-Mails in Unternehmen einzudringen und Daten zu stehlen. Um potenzielle Datenschutzverletzungen zu vermeiden, benötigen Unternehmen die volle Kontrolle und Transparenz über alle E-Mail-Aktivitäten. Nur so lässt sich verhindern, dass Phishing- und E-Mail-Attacken auf geschützte Daten erfolgreich sind. Auch unter diesem Gesichtspunkt unterstützen NGFWs Unternehmen mit integrierten Anti-Spam-Technologien, Verschlüsselung oder einem Reputationssystem. Die Sicherheitsfunktionen wehren gefährliche Mails ab, stellen aber gleichzeitig den sicheren und konformen Austausch von sensiblen und vertraulichen Daten sicher.

Weitere Informationen zum Thema:

datensicherheit.de, 02.09.2016
NIS-Richtlinie und GDPR: Neuer Leitfaden zur Begegnung der Herausforderungen für Unternehmen

[datensicherheit.de, 16.09.2009] Die Mitgliederversammlung des „Berufsverbandes der Datenschutzbeauftragten Deutschlands“ (BvD) hat am 11. September 2009 mit großer Mehrheit ein umfassendes Positionspapier zum Beruf des Datenschutzbeauftragten angenommen:
Der BvD übernimmt damit nach eigenen Angaben nicht nur die federführende Rolle bei der Diskussion um die beruflichen Regeln des Datenschutzbeauftragten, er gebe dadurch seinen Mitgliedern, aber auch datenverarbeitenden Unternehmen Antworten auf die Fragen zu diesem Beruf und biete Datenschutzbeauftragten eine Orientierung für den beruflichen Alltag an, so Thomas Spaeing, der Vorsitzender des BvD.
Die Ziele des Leitbildes deckten sich mit den Anforderungen renommierter Ausbildungseinrichtungen für Datenschutzbeauftragte wie udis und GDD.
Der Verband sehe es als seine Verpflichtung, das Leitbild regelmäßig anzupassen und weiterzuentwickeln. Mit technischen und rechtlichen Neuerungen, aber auch mit der vermehrten Aufmerksamkeit für den Datenschutz änderten sich Erwartungen und Anforderungen an Datenschutzbeauftragte. Das Konzept sehe zukünftig eine regelmäßige Berufsbildkonferenz vor.

Weitere Informationen zum Thema:

Berufsverband der Datenschutzbeauftragten Deutschlands e.V., 15.09.2009
Geschichte geschrieben: BvD beschließt berufliches Leitbild des Datenschutzbeauftragten

Bernhard-von-Lindenau-Platz 1
01067 Dresden
http://www.saechsdsb.de/