Unternehmen in der Pflicht: Besonderes Schutzbedürfnis personenbezogener Daten gemäß DSGVO


Unternehmen in der Pflicht: Besonderes Schutzbedürfnis personenbezogener Daten gemäß DSGVO

Moderne Schutztechnologien gewährleisten Rechtssicherheit durch Verhinderung ungewollt ausgehender Datenströme


Grundsätzlich müssen sich Unternehmen in diesem Zusammenhang nicht nur vor Angriffen durch Hacker, die Daten stehlen, schützen, sondern auch davor, dass personenbezogene Daten innerhalb des Unternehmens nur autorisierten Personen zugänglich sind und Daten nicht unbeabsichtigt in die falschen Hände geraten.

Artikel 4 Nr. 12 DSGVO definiert dieses Daten-Leck ganz allgemein:
Der Ausdruck „Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Laut Artikel 32, DSGVO müssen Unternehmen „geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau" für „die Rechte und Freiheiten natürlicher Personen“ zu gewährleisten. Unternehmen müssen also Maßnahmen umsetzen, damit „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung […] oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt“ verhindert werden kann. Dabei ist es unerheblich, ob dies „unbeabsichtigt oder unrechtmäßig“ geschieht, ob also Daten durch einen aktiven Hackerangriff von außen, durch einen illegitimen Datenabfluss eines Insiders oder durch unabsichtlichen Datenverlust, beispielsweise durch ein Leck, in unbefugte Hände geraten.

Ziel von Sicherheitsmaßnahmen darf daher längst nicht mehr nur der Schutz der eigenen Netzwerke vor eindringenden Bedrohungen sein, sondern muss auch die Kontrolle und die Verhinderung des Diebstahls oder Abflusses ausgehender Daten umfassen.

Unabdingbar: Application Firewall und Endpoint Protection

Ein erster Schritt in der Absicherung sollte daher in der Implementierung einer geeigneten Firewall bestehen. Umfassenden Schutz bietet eine Next Generation Firewall, die den gesamten Traffic auf Basis von Applikationen, Nutzer und Content überprüft. Da dabei nicht nur schädliche Inhalte blockiert, sondern auch bestimmte Dateitypen kontrolliert und der Datenverkehr überprüft wird, werden Angriffe auf diese Weise sehr zuverlässig erkannt und abgewehrt. Aber auch Datenabfluss durch Unbefugte kann damit verhindert werden. Mit Hilfe von Richtlinien und eines umfassenden Rechte-Managements kann die Übertragung sensibler Daten auch innerhalb der Organisation überprüft, kontrolliert und begrenzt werden. Alle sensiblen Daten – und damit auch personenbezogene Daten – sind so vor unberechtigtem Zugriff und Abfluss geschützt.

Da die Mehrzahl der Angriffe auf einer Kompromittierung des Endgeräts beruht, ist ein geeigneter Endpointschutz unumgänglich, um Sicherheitsvorfälle noch weiter einzudämmen und das Risiko einer Datenschutzverletzung so gering wie möglich zu halten. Während herkömmliche Anti-Viren Software erst reagiert, wenn ein Angriff stattgefunden hat, reagiert die Endpoint Protection Traps von Palo Alto vorbeugend und kann Angriffe abwehren, bevor Schaden angerichtet wurde. Es erkennt Sicherheitslücken und blockiert Ransomware-Angriffe, bevor sie Endpunkte gefährden können und schützt sowohl vor bekannter als auch unbekannter Malware.

Kennen Sie alle Datenströme in Ihrem Unternehmen? Wie kontrollieren Sie ein- und ausgehenden Traffic und wie handeln Sie im Fall von unbefugten Daten-Offenlegungen? Nehmen Sie Kontakt mit uns auf, wir beraten Sie gerne, welche technischen Vorsorge-Maßnahmen Sie ergreifen müssen.