
Viele Organisationen betrachten die DSGVO nach wie vor in erster Linie als rechtliche oder Compliance-Anforderung, doch in der Praxis hat sie sich zu einem der einflussreichsten Rahmenwerke für Cybersicherheit entwickelt. Dies bestimmt nun, wie Unternehmen personenbezogene Daten schützen, Cyberrisiken bewältigen und die operative Widerstandsfähigkeit in ihrer gesamten Technologieumgebung stärken.
Unternehmen sehen sich heute mit immer raffinierteren Cyberbedrohungen konfrontiert, darunter Ransomware, Phishing, Diebstahl von Zugangsdaten, Bedrohungen durch Insider sowie Angriffe auf die Lieferkette. Da die Aufsichtsbehörden ihre Kontrollmaßnahmen in verschiedenen Branchen, darunter Finanzwesen, Gesundheitswesen, Einzelhandel, verarbeitendes Gewerbe und Energiewirtschaft, verstärken, stehen Unternehmen unter zunehmendem Druck, eine solide Cybersicherheits-Governance und wirksame Datenschutzpraktiken nachzuweisen.
Die DSGVO verpflichtet Organisationen dazu, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. In der Praxis umfasst dies Maßnahmen wie Verschlüsselung, Zugriffskontrolle, Überwachung, Ausfallsicherheit, Tests, sichere Speicherung, Planung der Reaktion auf Vorfälle sowie eine kontinuierliche Risikobewertung. Diese gelten nicht mehr als freiwillige bewährte Praktiken in der IT, sondern als gesetzliche Anforderungen.
In diesem Artikel werden die wichtigsten Sicherheitsanforderungen der DSGVO erläutert:
- Was die DSGVO für Cybersicherheitsteams bedeutet
- Wie sich Artikel 32 auf die täglichen Sicherheitsprozesse auswirkt
- Wie Unternehmen ihre Cyberresilienz stärken und regulatorische Risiken verringern können
Was ist die DSGVO und was deckt sie ab?
Die Datenschutz-Grundverordnung (DSGVO) bildet den Rahmen der EU für den Schutz personenbezogener Daten. Sie gilt für jede Organisation, die personenbezogene Daten von Personen in der EU oder im Vereinigten Königreich verarbeitet, unabhängig davon, wo die Organisation selbst ihren Sitz hat, und wurde als UK GDPR in britisches Recht umgesetzt.
Personenbezogene Daten umfassen weit mehr als nur Namen und E-Mail-Adressen. Gemäß Artikel 4 der DSGVO können Informationen wie IP-Adressen, Gerätekennungen, Personalakten von Mitarbeitern, Finanzdaten, Gesundheitsdaten, Standortdaten, das Surfverhalten und biometrische Daten als personenbezogene Daten gelten, wenn sie einer identifizierbaren Person zugeordnet werden können.
Bestimmte Kategorien von Daten gelten als besonders sensibel und erfordern einen verstärkten Schutz (Artikel 9). Dazu gehören Gesundheitsdaten, biometrische Daten zur Identifizierung, politische und religiöse Ansichten sowie andere Formen sensibler personenbezogener Daten. Die DSGVO regelt, wie personenbezogene Daten erhoben, gespeichert, genutzt, weitergegeben und gelöscht werden. Außerdem gewährt sie Einzelpersonen bestimmte Rechte in Bezug auf ihre Daten, darunter das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten (oft als „Recht auf Löschung“ bezeichnet) sowie weitere Rechte wie das Recht auf Datenübertragbarkeit und das Recht auf Einschränkung der Verarbeitung.
Für IT- und Sicherheitsteams im Bereich Cybersicherheit ist die DSGVO von großer Bedeutung, da sie den Datenschutz unmittelbar mit der Betriebssicherheit verknüpft. Organisationen müssen nachweisen können, dass personenbezogene Daten vor folgenden Gefahren geschützt sind:
- Unbefugter Zugriff
- Versehentliche Offenlegung
- Diebstahl
- Beschädigung
- Zerstörung
- Verlust der Verfügbarkeit
Dadurch hat sich die Cybersicherheit von einem rein technischen Thema zu einem Geschäftsrisiko auf Vorstandsebene gewandelt, was zum Teil auf die Gefahr erheblicher Bußgelder und Reputationsschäden zurückzuführen ist.
DSGVO und andere EU-Vorschriften zur Cybersicherheit
Die DSGVO ersetzt keine branchenspezifischen Vorschriften zur Cybersicherheit, sondern ergänzt diese als Teil eines umfassenderen regulatorischen Rahmens. Andere Rahmenwerke, wie beispielsweise die NIS2-Richtlinie sowie der Digital Operational Resilience Act (DORA) befassen sich mit verschiedenen Aspekten von Cyberrisiken, darunter der Schutz kritischer Dienste und die operative Belastbarkeit in bestimmten Sektoren.
Gemeinsam wirken diese Vorschriften und Richtlinien auf verschiedenen Ebenen, wobei sich die DSGVO auf den Schutz personenbezogener Daten konzentriert, während andere gesetzliche Regelungen auf die Systembelastbarkeit, die Infrastruktursicherheit und branchenspezifische Risiken abzielen. Für viele Unternehmen bedeutet dies, den Datenschutz mit den übergeordneten Anforderungen an die Cybersicherheit und den gesetzlichen Vorschriften in Einklang zu bringen, anstatt die Einhaltung von Vorschriften als eigenständige Maßnahme zu betrachten.