[datensicherheit.de, 25.05.2021] Die Einführung der Datenschutzgrundverordnung (DSGVO) jährt sich am 25. Mai 2021 bereits zum dritten Mal. Diese soll die Daten jedes einzelnen EU-Bürgers nach einer strengen, einheitlichen Gesetzgebung schützen – ein Verstoß gegen deren Richtlinien kann für Unternehmen weitreichende Konsequenzen haben. Dennoch stellt die Verordnung offensichtlich auch nach drei Jahren für viele Unternehmen weiterhin eine große Herausforderung dar, denn im Kontext der zunehmenden Cloud-Nutzung gibt es zahlreiche „Stolpersteine“ – die meisten Anwendungen und Daten in der Cloud werden nämlich auf Servern außerhalb der EU gespeichert, wodurch sich oft DSGVO-Fallstricke für europäische Unternehmen ergeben. Julian Totzek-Hallhuber, „Solution Architect“ bei Veracode, kommentiert in seiner aktuellen Stellungnahme das Jubiläum der DSGVO und erklärt, worauf es bei der DSGVO-Konformität ankommt.

Foto: Veracode

Julian Totzek-Hallhuber: Beschleunigten Cloud-Adoption hat insbesondere neue Herausforderung der Datenspeicherung ans Licht gebracht

Regulatorische und organisatorische Anforderungen im Rahmen der DSGVO erfüllen

„Seit der Einführung der DSGVO vor drei Jahren hat sich die IT-Sicherheitslandschaft im Rahmen einiger technologischer Fortschritte weiterentwickelt. Die rasche Einführung dieser Innovationen kombiniert mit der beschleunigten Cloud-Adoption hat insbesondere eine neue Herausforderung ans Licht gebracht: Datenspeicherung“, so Totzek-Hallhuber.
Die meisten Anwendungen in der Cloud würden in der Regel außerhalb der EU gehostet und hierdurch ergäben sich oftmals DSGVO-Fallstricke für europäische Unternehmen. „Durch die Bereitstellung von cloud-nativen Software-Sicherheitstests mit Datenspeicherung innerhalb der EU, ermöglichen wir es EU-Kunden, regulatorische und organisatorische Anforderungen im Rahmen der DSGVO zu erfüllen und gleichzeitig weiterhin schnell und einfach sichere Software zu liefern.“

Anzahl an Möglichkeiten der Verletzung von DSGVO-Richtlinien vervielfacht

Anlässlich des diesjährigen Jubiläums der DSGVO sei es unerlässlich, auf die sich verändernde Landschaft für Entwickler zu reagieren, denn diese müssten weiterhin innovativ arbeiten, um Anwendungen bereitstellen zu können. „Um den Schutz der Daten zu gewährleisten, ist die Zusammenarbeit zwischen Sicherheitsteams, Entwicklern und Sicherheitsverantwortlichen ein wesentlicher Faktor für den Erfolg eines jeden Anwendungssicherheits-Programmes.“
Da sich die schiere Anzahl an Möglichkeiten zur Verletzung der DSGVO-Richtlinien kontinuierlich vervielfache, erhöhe sich auch das Risiko von entsprechenden Strafzahlungen. Totzek-Hallhuber fordert: „Daher sollte der Einsatz von ,Best Practices‘ beim Schreiben sicheren Codes von Anfang an höchste Priorität haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

datensicherheit.de, 20.01.2021
DSGVO: Schadensersatztabelle gibt Überblick über aktuelle Urteile und Schadenssummen / Latham DSGVO-Schadensersatztabelle online verfügbar

[datensicherheit.de, 09.10.2018] Vom 9. bis 11. Oktober 2018 tauschen sich auf der it-sa – der größten Europäischen Messe für IT-Sicherheit – Experten und Unternehmen aus aller Welt zu neuen Lösungen und Fragestellungen rund um die Themen IT- und Internetsicherheit aus. eco – Verband der Internetwirtschaft e.V. und die Allianz zur Stärkung digitaler Infrastrukturen weisen in diesem Kontext darauf hin, dass Internetsicherheit bereits an der Basis, nämlich den Rechenzentren und anderen Betreibern digitaler Infrastrukturen – anfängt.

„Leistungsfähige und vor allem sichere digitale Infrastrukturen sind das Rückgrat einer gelingenden digitalen Transformation in Deutschland und ein wichtiger Standortfaktor“, sagt Béla Waldhauser, Sprecher der Allianz zur Stärkung digitaler Infrastrukturen. Die Frage, ob sich ein Rechenzentrum und mit ihm die dort gehosteten Daten in Deutschland befinde, sei für die digitale Souveränität von großer Bedeutung. So müsse etwa in Krisenfällen auch ein physischer Zugriff auf Rechenzentren möglich sein.

Civey-Umfrage: Mehrheit der Nutzer vertraut auf Rechenzentren im Inland

Auch eine Mehrheit der Internetnutzer sieht Rechenzentren in Deutschland als essentiell für die digitale Souveränität in Deutschland an. Über die Hälfte der Bevölkerung (54,7%) vertraut ihre Daten Unternehmen lieber an, wenn diese auf inländischen Servern speichern, so das Ergebnis einer aktuellen repräsentativen Bevölkerungsumfrage, die das Meinungsforschungsinstitut Civey im Auftrag der Allianz zur Stärkung digitaler Infrastrukturen durchgeführt hat.

• Rund 65 % der Deutschen halten es demnach für einen sehr wichtigen Wirtschaftsfaktor, digitale Infrastruktur (z.B. Rechenzentren) im Inland zu erhalten.
• Rund 70 % der Befragten sind außerdem der Meinung, dass der Staat den Betrieb digitaler Infrastrukturen wie bspw. Rechenzentren stärker als bisher fördern sollte. Über 40 % sagen sogar, dass es hier „deutlich stärkere“ Förderung braucht.

Neue borderstep Studie belegt: Rechenzentren in Deutschland brauchen bessere politische Rahmenbedingungen

Angesichts ihrer volkswirtschaftlichen Bedeutung für den Standort Deutschland erfahren Betreiber digitaler Infrastrukturen hierzulande aktuell keine angemessene politische Unterstützung und Förderung. Gerade im internationalen Vergleich sind die politischen Rahmenbedingungen für Betreiber digitaler Infrastrukturen suboptimal. Zu diesem Ergebnis kommt auch eine neue Studie über die sozioökonomischen Chancen und Herausforderungen von Rechenzentren und anderer Betreiber digitaler Infrastrukturen im internationalen Vergleich, die vom Borderstep Institut im Auftrag der Allianz zur Stärkung digitaler Infrastrukturen in Deutschland und eco – Verband der Internetwirtschaft e.V. erstellt wurde.

„Deutschland droht hier im internationalen Vergleich den Anschluss zu verlieren“, sagt Béla Waldhauser. „Andere Länder haben bereits die Bedeutung der Branche erkannt und schaffen aktiv die notwendigen Rahmenbedingungen um auch zukünftig als Standort im Wettbewerb attraktiv zu sein. In Deutschland wird das Thema Rechenzentren politisch praktisch nicht adressiert“, so Waldhauser weiter. Ein wichtiger Wettbewerbsfaktor sei beispielsweise die Stromkosten, die für Rechenzentren in Deutschland aufgrund der EEG-Umlage teilweise fünfmal so hoch seien, wie beispielsweise in skandinavischen Ländern.

Der Standortwettbewerb um die Ansiedlung von Rechenzentren – gerade auch von Hyperscale-Rechenzentren – wird zukünftig zunehmen. Während öffentliche Verwaltungen auf Grund rechtlicher Vorgaben auf einen Rechenzentrumsbetrieb in Deutschland angewiesen sind, können private Rechenzentren ins Ausland ausweichen, um den hohen Stromkosten zu entgehen. „Dies wird auf Dauer auf Kosten des Digitalstandorts Deutschland und auf Kosten der Sicherheit für alle Internetnutzer gehen“, warnt Waldhauser.

Bundesregierung muss Strategie für die Sicherung und den Ausbau der digitalen Infrastruktur hierzulande entwickeln

Die Allianz zur Stärkung digitaler Infrastrukturen fordert daher, dass die Bundesregierung digitale Infrastrukturen in Deutschland endlich als Standortfaktor anerkennt und dringend eine Strategie für die Sicherung und den Ausbau der digitalen Infrastruktur hierzulande entwickelt. Dazu zählen ein zügiger Ausbau der Netzinfrastruktur genauso wie Maßnahmen zur Ressourcen- und Energieeffizienz und zur Bekämpfung des Fachkräftemangels.

Weitere Informationen zum Thema:

Allianz zur Stärkung digitaler Infrastrukturen
Zehn politischen Kernforderungen sowie weitere Informationen

datensicherheit.de, 28.09.2018
Veranstaltungshinweis: Die Zukunft des mobilen Breitbands am 14.11.2018 in Köln

datensicherheit.de, 26.06.2018
Internet-Breitbandausbau: In Südkorea deutlich weiter als in Deutschland

[datensicherheit.de, 27.04.2017] Anlässlich der am 27. April 2017 im Bundestag stattfindenden abschließenden Beratungen des neuen BKA-Gesetzes begrüßt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, nach eigenen Angaben die datenschutzrechtliche Verbesserung im Vergleich zu vorherigen Gesetzesentwürfen.

Wesentlicher Kritikpunkt der BfDI aufgegriffen

„Ein wesentlicher Kritikpunkt der BfDI wurde aufgegriffen. So wird nun auf die geplante Neuregelung der Löschfristen verzichtet. Diese Änderung hätte zu ausufernden und dauerhaften Speicherungen geführt. Betroffen gewesen wären auch Personen, die lediglich wegen eines Verdachts gespeichert wurden, denen eine Straftat aber nicht nachgewiesen werden konnte“, so Voßhoff.

Fehlende Regeln für Datenabgleiche und Nutzung von „Big Data“

Weiterhin kritisch gesehen werden müsse aber der geplante Informationsverbund der Polizeibehörden. Dort gespeicherte Daten könnten künftig umfassender verknüpft werden, weil sie nicht mehr an einen bestimmten Zweck gebunden seien. Gleichzeitig fehlten Regeln für Datenabgleiche und zur Nutzung von „Big Data“-Methoden durch die Sicherheitsbehörden.
Voßhoff: „Und auch in Zukunft werden gespeicherte Daten nach einem Freispruch nicht automatisch gelöscht.“

Zweckbindung personenbezogener Daten in Gefahr

Der Grundsatz der Zweckbindung personenbezogener Daten sei indes gefährdet. Im geplanten Informationsverbund sollten alle polizeilichen Daten zur Gefahrenabwehr und Strafverfolgung gespeichert werden. Anders als bisher werde dann für die gespeicherten Daten kein spezifischer Verwendungszweck mehr festgelegt.
Damit sei die Zweckbindung, ein Grundpfeiler des deutschen Datenschutzrechts, gefährdet. Informationen zu Drogendelikten, bisher zum Beispiel in der „Falldatei Rauschgift“ gespeichert, könnten künftig mit anderen Daten verknüpft und ausgewertet werden, etwa im Zusammenhang mit Steuerstraftaten oder bei Polizeikontrollen im Umfeld von Demonstrationen.

Schwerwiegender Eingriff in Grundrechte Betroffener

„Angesichts der technischen Entwicklung ist das problematisch“, betont Voßhoff. In modernen Datenbanken könnten Daten umfassend verknüpft und weitergehend analysiert werden. Der Eingriff in die Grundrechte der Betroffenen wiege dadurch schwerer.
Auch seien nicht nur verurteilte Straftäter betroffen, sondern alle gespeicherten Verdächtigen, Kontakt- und Begleitpersonen, Zeugen oder gar die Opfer von Straftaten.

Weitere Informationen zum Thema:

datensicherheit.de, 27.07.2016
Bundeslagebild Cybercrime 2015 des BKA vorgestellt