Security Services für die EU-DSGVO
Der MSSP als Datenschutzhelfer für KMU
Neben Geldstrafen und Meldefristen führt eine Formulierung in der EU-DSGVO zu Unsicherheit: Personenbezogene Daten sind "nach dem Stand der Technik" zu schützen. Aber was heißt das genau, und wie kann man bei den oft nur kurzen Reaktionszeiten auf neue Anforderungen stets "up to date" bleiben?
Es ist nur eine kleine Textänderung, doch sie ist folgenreich. Das alte BDSG besagt, dass Maßnahmen zum Schutz personenbezogener Daten nur dann erforderlich sind, wenn der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Ab diesem Jahr gilt aber die EU-DSGVO, und der Artikel 32 EU-DSGVO ersetzt die entsprechende Stelle im BDSG. Ab Mai 2018 sind Unternehmen stattdessen verpflichtet, unter Berücksichtigung des Stands der Technik und der Schwere des Risikos geeignete technische und organisatorische Maßnahmen zu treffen. Diese Maßnahmen sollen ein dem Risiko angemessenes Schutzniveau gewährleisten. Zukünftig ist also der Aufwand unerheblich; stattdessen werden die Schwere des Risikos und der Stand der Technik entscheidend sein.
Mit der Entwicklung Schritt halten
Die IT ist ein Bereich, der durch die anhaltende Digitalisierung in Unternehmen mit ständigen Änderungen und neuen Anforderungen konfrontiert wird. Eine Datenschutz-Grundverordnung mit konkreten Anforderungen wäre wahrscheinlich auch innerhalb weniger Monate oder Wochen überholt. Die Formulierung „Stand der Technik“ hingegen zwingt die Verantwortlichen dazu, mit neuen Entwicklungen Schritt zu halten. Das ist gut, denn so wird sich durch die EU-DSGVO auch die allgemeine IT-Sicherheit in vielen Organisationen verbessern, und Cyberkriminelle haben schlechtere Karten. Das Schritthalten bedeutet jedoch auch viel Arbeit, und nicht jedes Unternehmen ist in der Lage, eine eigene IT-Sicherheitsabteilung zu unterhalten. Häufig ist die Absicherung der IT-Infrastruktur nur eine Aufgabe unter vielen, und oftmals sind die zuständigen IT-Abteilungen unterbesetzt. Vor allem kleine und mittlere Unternehmen (KMU) leiden darunter. Ein möglicher Ausweg aus diesem Dilemma kann die Zusammenarbeit mit einem erfahrenen MSSP sein. Doch auch da stellt sich schnell die Frage, worauf kleine und mittlere Unternehmen bei der Suche nach einem geeigneten Anbieter achten sollen. Zwei Punkte stehen dabei ganz oben auf der Liste: Passt das Angebot zum Budgetrahmen der Organisation? Und entspricht die Dienstleistung auch dem „Stand der Technik“, ohne dafür beim Anwender Aufwand zu verursachen?
- Der MSSP als Datenschutzhelfer für KMU
- Welcher MSSP passt zu mir?
Lesen Sie mehr zum Thema
