Aktuelles

12.03.2020

Die Digitalisierung und ihre Auswirkungen auf die Sicherheit in der Automobilbranche

In öffentlichen Debatten wird der Einfluss digitaler Technologie auf individuelles Verhalten und gesellschaftliche Prozesse immer mehr diskutiert. Die Digitalisierung führt zu nachhaltigen Änderungen sowohl im Informations- und Entscheidungsverhalten von Einzelnen und in der Gemeinschaft: Immer mehr Prozesse und Gegenstände unseres Alltags werden digital miteinander vernetzt.

 

Die Digitalisierung ist in diesem Zuge längst in der Automobilbranche angekommen – und damit werden auch die Angriffsflächen für Cyberangriffe größer. Mittlerweile sind die neueren Generationen unserer Autos praktisch Computer auf vier Rädern. Autonomes Fahren und Connected Cars sind keine Zukunftsvisionen mehr, sondern Bestand unseres Alltages. Mit den Fahrzeugen sind auch die Produktionsstraßen direkt im digitalen Zeitalter angekommen und häufig schon internetfähig. Die Branche wächst und sie verändert sich tiefgreifend.

Das Kind vieler Väter

Mittlerweile erzeugen Automobilhersteller noch ein Viertel ihres Fahrzeuges selbst. Die restlichen 75% werden von Zulieferern auf der ganzen Welt beigesteuert. Hier bilden sich viele Schnittstellen und Prozessübergänge, an denen Informationen Unbefugten in die Hände gelangen können.

Die Zuliefererindustrie besteht oft aus Betrieben der KMU (Kleine und Mittelständische Unternehmen). Diese sind, im Gegensatz zu Automobil-Großkonzernen, die in der Regel über ganz solide Verteidigungsstrategien verfügen, ein leichtes Ziel für Cyberkriminalität.

Wird der Produktions- und Geschäftsbetrieb durch einen Angriff von außen gestört, so ergeben sich erhebliche finanzielle Verluste für die Automobilbranche. Durch den Cyberangriff auf Automobil-Zulieferer weiten sich die Störungen meist auch auf die nachfolgende Produktionsstationen aus.

Wie das Schadprogramm „WannaCry“ im Jahre 2017 eindrucksvoll bewiesen hat, lassen sich durch diese Angriffe auch die Betriebe ganzer Herstellerfabriken über Wochen komplett lahmlegen.

Gerade deshalb müssen Zulieferer der Automobilindustrie, aber auch Dienstleister – wie Medienagenturen, Druckereien, Messetechniker – nachweisen, dass Sie die Anforderungen der OEM in punkto Informations- und Cybersicherheit gewährleisten können.

Risiken minimieren

Zwei wichtige Maßnahmen bieten Unternehmen mit Anbindung an die Automobilindustrie hilfreiche Mittel, um die Risiken von Cyberangriffen deutlich zu minimieren:

 

Mitarbeiter-Schulungen

Oftmals gelangen Cyberkriminelle an Informationen über die Mitarbeiter eines Unternehmens. Durch sogenanntes Social Engineering oder Phising werden Personen Ihrer Organsiation beispielsweise dazu verleitet, Interna heraus zu geben oder aber unbeabsichtigt Schadprogramme zu installieren.

Zu den wichtigsten Maßnahmen der Informationssicherheit zählen daher Awareness-Maßnahmen Ihrer Mitarbeiter.

Mit unseren Workshops nach ISO/IEC 27001 zum Thema der IT-Sicherheit werden Ihre Mitarbeiter hinsichtlich der Aufmerksamkeit und Umgang mit potenziellen Gefahrenquellen geschult.

Mit dieser Schulung erhalten die Teilnehmer das notwendige Wissen für alle Anforderungen eines modernen Informationssicherheitsmanagementsystems (ISMS) und können so drohenden Angriffen und Manipulationsversuchen gut gewappnet gegenüberstehen.

 

Zertifizierung nach TISAX ®

Der seit 2017 vom Verband der Automobilindustrie etabliert Standard TISAX ® (Trusted Information Security Assessment Exchange) zum Nachweis der Erfüllung von Informations-Sicherheitsstandards nach VDA ISA ist heute unumgänglich, wenn Sie nicht nur Ihr Unternehmen nachhaltig schützen wollen, sondern auch den OEM nachweisen müssen, dass Sie den gegebenen Anforderungen in Punkto Informationssicherheit nachkommen können.

Gerne beraten wir Sie auf dem Weg zu Ihrem TISAX ®-Testat – sprechen Sie uns einfach an viaE-Mail unter  datenschutzsysteme(at)optiqum.de oder telefonisch +49 221 82 95 91 0

Viele Fragen rund um das Thema TISAX® beantwortet Ihnen unser FAQ zum Thema TISAX ® hier: https://vda-isa-berater.com/faq/

03.02.2020

Zertifizierungen vereinfachen dank ISMS-Lösungen

Informationssicherheitsmanagementsysteme stellen bei der Einführung Unternehmen vor große Herausforderungen. Die Implementierung gestaltet sich oft aufwändig und zeitintensiv. Nicht selten steht daher die Frage im Raum: Lohnt sich die Implementierung für mein Unternehmen überhaupt?

Die Antwort liefern wir Ihnen hier:

 

Wofür benötige ich ein ISMS?

Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Es handelt sich also um eine Anforderung zur Etablierung und Aufrechterhaltung eines Sicherheitsniveaus im Unternehmen.

Das ISMS, oder deutsch: Managementsystem für Informationssicherheit, ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung. Mit Hilfe dieses Systems werden nicht nur alle Unterlagen, Dokumente und Prozesse zur IT-Sicherheit gesteuert, sondern auch Prozesse dokumentiert, die das Change-Management oder auch das Vorgehen bei Sicherheitsvorfällen definieren.

Sie schützen mit Hilfe eines ISMS nicht nur Ihre wertvollen Daten und Informationen, sondern auch die Ihrer Kunden und Auftraggeber.

Für wen ist ein ISMS geeignet?

Vom Einsatz einer geeigneten ISMS-Lösung profitieren Unternehmen aller Größenordnungen. Sie können die relevanten Informationen ihrer IT-Landschaft schneller erfassen, ersparen sich viele manuelle Tätigkeiten bei der Analyse ihrer Systeme und erhalten reproduzierbare und sichere Ergebnisse. ISMS-Lösungen begünstigen außerdem durch ihren kollaborativem Ansatz den Informationsaustausch und die übergreifende Zusammenarbeit in der gesamten ISMS-Organisation mit externen Auditoren und Partnern.

Wie profitiere ich von ISMS-Lösungen?

Mit Hilfe eines ISMS können Sie relevante Informationen ihrer IT-Landschaft schneller erfassen und erhalten valide Ergebnisse bei gleichzeitigem Wegfall vieler manueller Tätigkeit. Sie sparen mit einem gut eingeführten ISMS somit Zeit und Geld.

Mittels des proaktiven Einsatzes eines ISMS in Ihrem Unternehmen belegen Sie die gezielte Steuerung der Informationssicherheit und Kundenorientierung. Dies bringt Ihnen signifikante Vorteile bei Branchen-Audits, denn Sie können so Ihren Partnern und Auftraggebern nachweisen, dass Informationssicherheit in Ihrer Organisation gelebt und die entsprechenden Prozesse gezielt gesteuert werden. So bauen Sie sich einen Wettbewerbsvorteil gegenüber Mitbewerbern auf dem Markt aus.

Jedes ISMS kann individuell an die Anforderungen und die Größe eines Unternehmens angepasst werden und sichert die Nachhaltigkeit Ihres Unternehmens.

Gerne beraten wir Sie hierzu in einem unverbindlichen Erstgespräch. Kontaktieren Sie uns!

16.12.2019

ePrivacy-Verordnung: Alles auf Anfang

Seit Jahren arbeitet die EU an der ePrivacy-Verordnung, die die DSGVO ergänzen sollte. Das Ziel: Mehr Privatsphäre bei der digitalen Kommunikation. Doch die geplante EU-Regelung unter anderem zum Tracking auf Websites über Cookies ist vorerst am Widerstand der Mitgliedstaaten gescheitert.

Eines der Anliegen der Reform war es, Messenger-Dienste wie WhatsApp und Skype zu regulieren. Für solche Dienste sollten künftig dieselben Regeln wie für klassische Telekommunikations-Anbieter, wie beispielsweise die Deutsche Telekom, gelten. Während die Datenschutz-Grundverordnung (DSGVO) also das Sammeln von Nutzerdaten regelt, sollte die ePrivacy-Verordnung die „Vertraulichkeit der elektronischen Kommunikation“ gewährleisten. Geschäfte mit dem Auswerten von Metadaten sollten eingeschränkt werden.


Allerdings umfasste die Reform noch weitere Punkte, wie zum Beispiel die strikteren Vorgaben für das Datensammeln über Cookies, sowie ein starker Privatsphäre-Schutz als Standardeinstellung in den Browsern. Und genau an dieser Stelle findet sich das Kernproblem, dass die Verhandlungen ins Stocken brachte. Sowohl europäische Digital-Wirtschaftsverbände, als auch zahlreiche Presseverlage protestierten gegen die Reform.


Wie das für den Binnenmarkt zuständige Kommissionsmitglied Thierry Breton am Dienstag, den 03. Dezember bekannt gab, wird, nachdem frühere Gespräche keine Einigung zwischen den Mitgliedstaaten erzielt hatten, ein neuer Vorschlag zum Schutz der Privatsphäre im Internet vorgelegt.


Diese überarbeiteten Maßnahmen sollen dazu dienen, einen Konsens zwischen den EU-Ländern über die ePrivacy-Verordnung zu finden nach der Technologieunternehmen, die Nachrichten- und E-Mail-Dienste anbieten, den gleichen Datenschutzbestimmungen unterliegen wie Telekommunikationsanbieter.


"Wir müssen einen neuen Vorschlag auf den Tisch legen, weil ich definitiv glaube, dass jeder etwas tun will, aber offensichtlich sind Sie nicht einverstanden" sagte Breton am Dienstag vor dem Rat Verkehr, Telekommunikation und Energie.


Er fügte jedoch hinzu, dass die bisherige Arbeit dazu führen würde, dass der Prozess nicht ganz "von vorne" beginnen würde.


"Also schlage ich vor, dass wir für die nächste Präsidentschaft einen neuen Vorschlag auf den Tisch legen, der offensichtlich all Ihren Anliegen und Interessen entspricht, denn ich glaube wirklich, dass es im Hinblick auf unsere Mitbürger dringend notwendig ist, voranzukommen."


Doch hinter vorgehaltener Hand fürchten einige Stimmen, dass eine kleine Gruppe von Staaten auch weiterhin jeglichen Fortschritt blockieren könnte. Die EU-Staaten würden damit eine Chance verpassen, das große Datensammeln im Internet einzuschränken.

03.12.2019

Arbeitnehmer vornehmliche Schwachstelle für Cybersicherheit


Cyber-Kriminalität ist in den deutschen Unternehmen fast alltäglich. Als die größte Schwachstelle für die IT-Sicherheit gelten die eigenen Mitarbeiter.

Eine Studie der Wirtschaftsprüfungs- und Steuerberatungsgesellschaft RSM International hat in Zusammenarbeit mit europäischen Unternehmen, die sich am European Business Award beteiligt haben, eine Umfrage zum Thema digitale Transformation und Cybersicherheit durchgeführt.


Wesentliche Ergebnisse dieser Studie zeigen auf, dass fast die Hälfte erfolgreicher Cyberangriffe auf unzureichend geschulte Mitarbeiter abzielen.


Die Studie, bei der 597 Entscheidungsträger aus 33 europäischen Ländern befragt wurden, deutet darauf hin, dass die Arbeitnehmer das schwache Glied in Bezug auf die Sicherheit in vielen europäischen Unternehmen sind. Ungefähr die Hälfte der erfolgreichen Angriffe richteten sich per E-Mail an Mitarbeiter mit sog. Phishing-Aktivitäten. Ein Teil der Unternehmen führen immer noch keine Cybersicherheitstrainings für ihre Mitarbeiter durch. Dieses sogenannte Social Engineering beinhaltet die gezielte Beeinflussung von Mitarbeitern, um sie beispielsweise zur Preisgabe von vertraulichen Informationen zu bewegen.


Weiterhin zeigt die Studie, dass zwei Drittel der Angriffe von den betroffenen Unternehmen nicht öffentlich gemacht wurden, obwohl diese Verstöße nach der Datenschutz-Grundverordnung meldepflichtig waren. Nur knapp ein Viertel der Unternehmen entscheiden sich dafür, die Aufsichtsbehörde und/oder andere zuständige Behörden nach einem Verstoß zu informieren.


Awareness erzeugen und Unternehmen schützen


Hinzu kommt ein Gefühl von Ohnmacht und Apathie bei den befragten Unternehmen, da viele der Befragten glauben, dass Hacker einfallsreicher seien als die Entwickler von Sicherheitssoftware.


Doch genau dieser passiven Duldung gilt es, entgegen zu treten und Unternehmen und vor allem die Mitarbeiter fit und aufmerksam im Bereich der IT-Sicherheit zu machen.


Nur durch Transparenz, Sensibilisierung und Beseitigung von Unklarheiten lassen sich Reputationsschäden durch Cyberangriffe vermeiden und Schäden minimieren.


Das Thema digitale Transformation hat bei 80 Prozent der befragten europäischen Unternehmen eine hohe strategische Priorität, aber nur 34 Prozent verfügen über eine Cybersicherheits-Strategie – 21 Prozent haben in dieser Hinsicht überhaupt keine Strategie. Dennoch zeigen sich mittelständische Unternehmen gegenüber dem Cyberrisiko unempfindlich: 86 Prozent gaben an, dass das erhöhte Risiko von Cyberangriffen sie nicht davon abgehalten hat, in die digitale Transformation zu investieren. 29 Prozent der Unternehmen sehen als wesentlichen Faktor für ihr Umsatzwachstum die Investitionen in digitale Technologien.


Mitarbeitern den Rücken stärken


Studien der Hightech-Verbandes Bitkom zeigen auf, dass Schulungen von Mitarbeitern zu IT-Sicherheit auch 2019 noch kein Standard sind. Zwar haben nahezu alle Unternehmen eine IT-Sicherheitslinie oder planen und implementieren sie gerade. Die Mehrheit der Unternehmen informiert die Mitarbeiter, etwa per E-Mail oder Flyer. Dabei bleibt es in den meisten Fällen. Lediglich die Hälfte der Unternehmen setzen auf Schulungen – und meist nur dann, wenn es einen konkreten Vorfall gegeben hat. Anlassunabhängige, regelmäßige Schulungen gibt es nur bei ca. einem Drittel der befragten Unternehmen.


"Vier von zehn Beschäftigten bekommen in Sachen IT-Sicherheit nicht die notwendige Unterstützung von ihren Arbeitgebern", sagte Bitkom-Präsident Professor Dieter Kempf zum Start der IT-Sicherheitsmesse IT-SA in Nürnberg. "Vor allem viele kleine und mittelständische Unternehmen unterschätzen die Risiken durch Computer- und Internetkriminalität." Der richtige Umgang der Mitarbeiter mit Computern, mobilen Geräten und Internet sei eine zentrale Voraussetzung, um die Gefahren für die Unternehmen einzudämmen.


Sorgen Sie also vor und sichern Sie Ihr Unternehmen und Ihre Mitarbeiter ab. Gerne unterstützen unsere Experten von OPTIQUM Sie mit individueller Beratung, entsprechenden Schulungen und Workshops. Sprechen Sie uns einfach an.

12.11.2019

„Need-to-know“ oder die Frage nach dem Zugriff auf Informationen.

Immer wieder tauchen in Unternehmen die Frage auf: Wer darf eigentlich Zugriff auf die Daten haben? Wer nicht? Und wie wird dies geregelt?

Geheime und personenbezogene Informationen müssen besonders geschützt werden – das ist soweit klar. Doch was in der Theorie einfach benannt wird, gestaltet sich in der praktischen Umsetzung oft gar nicht mehr so simpel. Denn wie definiert man den Personenkreis, der Zugang zu den sensiblen Daten haben darf?


Um weitreichend sicher zu gehen, dass unternehmensrelevante schützenswerte Informationen nicht an Unbefugte gelangen, muss die Berechtigung und der Zugang kontrollierbar sein. Um dies zu gewährleisten, sollte Berechtigung zum Datenzugriff nur denjenigen Personen gestattet sein, die zwingend mit eben jenen Informationen umgehen müssen. Diese „Kenntnis nach Bedarf“, oder auch „Need-to-know-Prinzip“, beschreibt ein detailliertes, schriftliches Berechtigungskonzept, mit dem Unternehmen unbefugtem Zugriff auf Daten entgegenwirken können.


In diesem Berechtigungskonzept werden Zugriffsregeln auf Daten für einzelne Nutzer bzw. Nutzergruppen festgelegt. Außerdem werden dort alle Prozesse, die die Umsetzung des Berechtigungskonzepts betreffen beschrieben, wie z.B. das Löschen und Erstellen von Nutzern, oder Passwortrestriktionen.


Über individuell zugewiesene Zugriffsrechte wird geregelt, welcher Mitarbeiter im Rahmen ihrer Funktion bevollmächtigt wird, Informationen und Daten zu nutzen und anzuwenden. Hierbei ist es nützlich, die Stellen- und Funktionsbeschreibung der betreffenden Person heranzuziehen.


Lesen, Schreiben, Bearbeiten, Kommentieren und auch das Löschen von Daten wird so von der Funktion abhängig gemacht, die eben jener Mitarbeiter wahrnimmt. Dabei sollten immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist. Vermieden werden sollte hierbei die Berechtigungsvergabe auf Grund von Hierachiestufen innerhalb des Unternehmens.


Es kann natürlich vorkommen, dass ein Mitarbeiter aus wichtigen Gründen auf Informationen zugreifen muss, die nicht in seinem Berechtigungsbereich liegen. In diesem Fall muss der Zugriff durch die Organisationsleitung genehmigt werden. Hierbei ist es empfehlenswert, dass das Vier-Augen-Prinzip angewendet wird, um unerlaubte Datenverwendung oder Datenentwendung vorzubeugen.


Übrigens: Auch in der analogen Verwendung ist auf Datenschutz zu achten! Wenn zum Beispiel im Teammeeting und bei Besprechungen Hand-Outs verteilt werden, auf denen vertrauliche Daten stehen, dann müssen Sie darauf achten das auch diese nicht in unbefugte Hände geraten. Sammeln Sie beispielsweise die Ausdrucke im Anschluss an das Meeting wieder ein oder kennzeichnen sie als vertraulich, um die Mitarbeiter zu animieren, die notwendige Sorgfalt im Umgang mit diesen Ausdrucken und Informationen walten zu lassen.


Und berücksichtigen Sie: Unternehmen dürfen nur jene Daten erfassen, die Sie auch benötigen. Eine anlasslose Vorratsdatenspeicherung ist nicht erlaubt.

Zusammenfassend sind die wichtigsten Inhalte eines Berechtigungskonzepts:

  • Die schriftliche Niederlegung, also Dokumentation, des Berechtigungskonzeptes mit klar gegliederten individuellen Rechten des jeweiligen Nutzers für das Lesen, Bearbeiten und Löschen von Informationen. Hierbei müssen auch die entsprechenden Vertretungsregeln beachtet und festgehalten werden.
  • Der Umgang bei Ausscheiden eines Mitarbeiters aus dem Unternehmen oder auch bei Abteilungswechsel mit den entsprechenden Zugriffsrechten. (In manchen Unternehmen ist der Auszubildende, der jede Abteilung durchlaufen hat, der Mitarbeiter mit den meisten Zugriffsrechten und dem höchsten Informationsstand!)
  • Der Prozess und die Verantwortlichkeit zur Vergabe, Erweiterung, Beschränkung und Entzug von Rechten. Hierbei muss auch festgelegt werden, wie genau die Kommunikation diesbezüglich im Unternehmen verläuft.

Um zu gewährleisten, dass das Berechtigungskonzept wirkungsvoll greift, bedarf es einer regelmäßigen Überprüfung des Konzeptes auf Aktualität. Denn jedes Unternehmen unterliegt in der Mitarbeiter- und Organisationstruktur einem stetigen Wandel.


Für Unternehmen ergeben sich bei ordnungsgemäßer Umsetzung des Need-to-Know-Prinzips neben dem Aspekt der Datenschutz-Compliance weitere Vorteile wie etwa der erhöhte Schutz unternehmenskritischer Informationen und des internen Know-hows. Somit kommen einzelne Maßnahmen der Datenschutz-Einhaltung nicht nur dem Schutz personenbezogener Daten zugute, sondern es wird hierdurch die gesamte Datensicherheit in Unternehmen erhöht und damit auch deren Wettbewerbsfähigkeit gesichert.


Gerne beraten unsere Experten von OPTIQUM sie hierzu und beantworten Ihre Fragen. Rufen Sie uns einfach an unter +49 221 82 95 910

08.11.2019

Umfrage des Branchenverbandes

Effektiver, ausgeklügelter, häufiger: Cyberattacken auf deutsche Unternehmen steigen stark an.


Das ist das Ergebnis einer Umfrage des Branchenverbandes Bitkom unter über 500 Geschäftsführern und Sicherheitsverantwortlichen aller Industriebranchen, die am 06.November veröffentlicht wurde. So sind mittlerweile 3 von 4 Unternehmen betroffen und wurden Opfer von Datendiebstahl und Spionage.


Diese kriminellen Attacken erzeugen deutschlandweit Schäden in Rekordhöhe –zusammengenommen aus analogen und digitalen Angriffen entsteht jährlich in der deutschen Wirtschaft ein Gesamtschaden von mehr als 100 Milliarden Euro. Im Vergleich dazu waren es vor zwei Jahren mit 55 Milliarden Euro pro Jahr knapp die Hälfte dieser Summe.


Digitale Angriffe haben in den vergangenen beiden Jahren bei 70 Prozent der Unternehmen einen Schaden versursacht, im Jahr 2017 waren es erst 43 Prozent. Zu erklären ist dies mit der starken Professionalisierung innerhalb des Cybercrime. Statt Freizeithackern bilden sich professionelle Cybercrime-Konsortien, die gut ausgerüstet und technologisch hoch versiert im Auftrag zum Zweck der Wirtschaftsspionage bzw. Sabotage arbeiten oder sich mit der Erpressung von Lösegeld durch Ransomware finanzieren.


Auch die starke und notwendige Vernetzung deutscher Unternehmen im Zeitalter der Industrie 4.0 birgt viele Risiken und ermöglicht Cyberkriminellen, häufiger Schwachstellen auszuloten und zu nutzen.
Die Konsequenzen eines Cyberangriffes können für die betroffenen Unternehmen fatal sein. Denn Imageschäden und der Verlust hochsensibler Daten und der Vertrauensverlust bei Kunden und Partnern sind neben der für die Entdeckung und Beseitigung eben jener Attacken anfallenden hohen Kosten oft die Folge.


Vor dem Hintergrund dieses Bedrohungsszenarios ist es allerdings wenig verständlich, warum viele Unternehmen in puncto IT-Sicherheit und Datenschutz weiterhin lediglich Stückwerk betreiben. Während sich die Szene der Cyberkriminellen organisiert und professionalisiert, verharren manche Firmen bei Schutzstandards und -prozessen, die deutlich in die Jahre gekommen sind.


Ein wichtiger Schritt in die richtige Richtung ist es, sich dem allgemeinen Problem zu stellen und alle Mitarbeiter für die Möglichkeit eines Cyberangriffes zu sensibilisieren. Unternehmen benötigen einen ganzheitlichen strategischen Ansatz, um ihre Sicherheitsrisiken zu minimieren. Nur eine Zusammenführung und umfassende Analyse aller sicherheitsrelevanten Daten aus der IT-Infrastruktur ermöglicht es effektiv, die Risiken von erfolgreichen Angriffen deutlich zu senken.


Auch auf Ebene der EU ist man sich der Herausforderungen durch Angriffe aus dem Web bewusst. Neben dem Beschluss der DSGVO wurde bereits im Juli 2016 die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen verabschiedet. Mit dieser Richtlinie werden Betreiber so genannter „kritischer Infrastrukturen“, also Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, wie z.B. Energieversorger, in die Pflicht genommen für Maßnahmen gegen Cyberattacken zu sorgen.


All diese Entwicklungen zeigen, dass Angriffe aus dem digitalen Bereich ernsthafte Bedrohungen für alle Branchen und Unternehmensformen darstellen. Unternehmern sei geraten, sich dem Risiko von möglichen Cyberattacken bewusst zu werden und die entsprechenden adäquaten Sicherheitsvorkehrungen zu treffen.

Gerne beraten wir von OPTIQUM Sie dazu. Sprechen Sie uns einfach an.

25. Oktober 2019

Unternehmen drohen höhere Bußgelder

Der DSGVO-Bußgeldkatalog ist da!

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat Ihr Konzept zur Berechnung von Bußgeldern in Verfahren gegen Unternehmen veröffentlicht. Das Konzept betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO).

Die Bußgeldzumessung soll in fünf Schritten erfolgen, um eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung zu gewährleisten:

  1. Zuordnung des Unternehmens zu einer Größenklasse,
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  3. Ermittlung eines wirtschaftlichen Grundwertes
  4. Multiplikation dieses Grundwertes mittels eines von der Schwere der Tatumstände abhängigen Faktors
  5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände

 

Schon im September diesen Jahres trat der Bundesbeauftragte für Datenschutz, Ulrich Kelber deutlich für die Durchsetzung des Datenschutzes ein und kommentierte: „Die Zurückhaltung der Datenschutzbehörden wird natürlich auch immer weniger werden“ und betont, es werde bald auch in Deutschland Bußgelder „in Millionenhöhe“ geben.

So zeichnet sich schon vor Veröffentlichung des Bußgeldkataloges eine drastische Erhöhung der DSGVO-Bußgelder in Deutschland ab. Allerdings ist es möglich, dass aufgrund neuer Erkenntnisse aus den Abstimmungen mit dem Europäischen Datenschutzausschuss (EDSA) Änderung hinsichtlich Konzept und praktischer Handhabe in der Zukunft möglich sein können. Vorerst gilt jedoch das von der DSK ausgearbeitete Bußgeldkatalog mit der Folge der höheren Bußgelder, besonders für große Unternehmen.


Aktuelles Thema ist dies auch in Berlin – hier sollen in absehbarer Zeit Datenschutz-Bußgelder in zweistelliger Millionenhöhe verhängt werden. Aus rechtlichen Gründen im laufenden Verfahren wird das betroffene Unternehmen nicht benannt. Bekannt wurde aber, dass ein weiteres Unternehmen, die Online-Bestellplattform Delivery Hero Germany GmbH, mit Bußgeldern in Höhe von insgesamt knapp 200.000 Euro belegt wurde. Die Höhe der Bußgelder unterscheidet sich damit deutlich von den bis dato vergebenen Strafbeträgen, die in der Spitze bei 50.000€ lagen.


Einen aktuellen Überblick über die Bußgelder und Sanktionen, die die Datenschutzbehörden in der EU im Rahmen der Allgemeinen Datenschutzverordnung der EU (GDPR, DSGVO) verhängt haben, können Sie hier einsehen: http://www.enforcementtracker.com/


Sorgen Sie also vor und sichern Sie sich ab.

OPTIQUM kann Sie beim Umsetzen eines sinnvollen Datenschutz Konzeptes unterstützen. Beginnend mit einem Datenschutz Audit in Ihrem Unternehmen oder bei Ihren Auftragnehmern bis hin zur Umsetzung eines Datenschutzmanagementsystems nach BS 10012:2017.

 

Rufen Sie uns einfach an. +49 221 82 95 910