Auslegungssache 57: Zwischen IT-Sicherheit und Datenschutz
Im c’t-Datenschutz-Podcast sprechen wir mit Adrian Schneider über die Rolle der IT-Sicherheit für den Datenschutz.
- Achim Barczok
- Joerg Heidrich
Logfiles und Datenbanken enthalten fast immer auch personenbezogene Daten. Um sie ausreichend zu schützen, müssen Unternehmen und Privatpersonen „geeignete technische und organisatorische Maßnahmen treffen“. Das reicht von regelmäßigen Software-Updates und Infrastruktur auf „dem Stand der Technik“ über Verschlüsselung und Pseudonymisierung bis hin zu regelmäßigen Backups.
Über das Zusammenspiel zwischen IT-Sicherheit und Datenschutz sprechen Joerg Heidrich und Achim Barczok in der c’t-Auslegungssache mit Adrian Schneider. Er ist Anwalt bei Osborne Clarke und Mitgründer des IT-Recht-Blogs Telemedicus.
Seiner Erfahrung nach werden beide Begriffe häufig in einen Topf geworfen, doch ihre Zielsetzung ist unterschiedlich: Datenschutz schützt personenbezogene Daten, IT-Sicherheit schaut vor allem auf die Systeme und Infrastrukturen. Deshalb können sie sich auch in die Quere kommen: etwa wenn Security-Maßnahmen ein möglichst langes Aufbewahren von IP-Adressen erfordern oder der Virenscanner Dateien zum Check in die Cloud lädt.
IT-Sicherheit als Pflicht für den Datenschutz
Auf was man bei der IT-Sicherheit für den Datenschutz achten muss, regelt die Datenschutzgrundverordnung (DSGVO) im Artikel 32. Doch der ist an vielen Stellen vage. Da heißt es etwa, man müsse den „Stand der Technik“ berücksichtigen. Doch wer definiert diesen Stand eigentlich? Und reicht es, wenn ich zur „regelmäßigen Überprüfung“ alle paar Monate eine Checkliste durchgehe, oder muss ich meine Technik zertifizieren lassen? Wann muss ich einen Hackerangriff melden? Bei solchen Detailfragen kommt es auch darauf an, in welchem Bundesland man sitzt – denn die deutschen Datenschutzbehörden haben mitunter verschiedene Ansichten zum Umgang mit technischen Fragen.
Adrian Schneiders Tipp an Unternehmen: Sie sollten sich schon im Vorfeld darüber klar werden, was die Risiken sind und was Sie tun müssen, um sie vernünftig zu adressieren.
Bitte keine IDs hochzählen!
Welche Folgen Murks bei der IT-Sicherheit haben kann, zeigt unser Bußgeld der Woche, das die italienische Datenschutzbehörde an ein Gesundheitsamt verhängt hat. Über eine App konnten Corona-Getestete ihre Daten per Einlesen eines QR-Codes abrufen. Da diese QR-Codes aber fortlaufende Nummern als IDs enthielten, konnten Nutzer auch die Gesundheitsdaten anderer Getesteten abrufen. Das fand die dortige Datenschutzbehörde nicht komisch und sprach ein Bußgeld für dieses Versäumnis.
Episode 57:
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Hier gehts zu allen bisherigen Folgen:
(acb)