Die eCommerce-Industrie, die den gesamten Bereich des Handels – von traditionellen Einzelhandelsgeschäften bis zu Online-Plattformen – umfasst, steht im Zeitalter der Digitalisierung vor der Herausforderung, eine enorme Menge an Daten effektiv zu nutzen. Diese Daten reichen von Kundenpräferenzen über Kaufverhalten bis hin zu Lieferketteninformationen. In diesem datenintensiven Umfeld wird die Data Governance zu einem kritischen Erfolgsfaktor.
Data Governance in der Commerce-Industrie bezieht sich auf die Verwaltung, Sicherheit und Qualität der Daten, die während der Geschäftsprozesse generiert werden. Ein solider Rahmen für Data Governance stellt sicher, dass:
Datenqualität erhalten bleibt, was es Unternehmen ermöglicht, fundierte Entscheidungen zu treffen und personalisierte Kundenerlebnisse zu bieten.
Datenschutz gewährleistet ist, sodass die Vertraulichkeit von Kundendaten geschützt und gesetzliche Datenschutzvorschriften eingehalten werden.
Die Nutzung und Speicherung von Daten in Übereinstimmung mit regionalen und globalen Regulierungsstandards erfolgt, wodurch rechtliche Risiken minimiert werden.
Die Commerce-Industrie profitiert von einer effektiven Data Governance in vielerlei Hinsicht. Sie ermöglicht beispielsweise eine genauere Kundenanalyse, optimierte Marketingstrategien und effizientere Lieferkettenprozesse. Gleichzeitig schützt sie Unternehmen vor potenziellen Rechtsstreitigkeiten und hilft, das Vertrauen der Kunden zu gewinnen und zu erhalten.
Abschließend lässt sich sagen, dass in der modernen Commerce-Industrie, in der Daten zum zentralen Vermögenswert geworden sind, Data Governance nicht nur wünschenswert, sondern essentiell ist. Sie stellt sicher, dass Unternehmen ihre Daten optimal nutzen können, während sie gleichzeitig ethische und rechtliche Standards einhalten.
DSGVO – Die Europäische Datenschutz-Grundverordnung, kurz DSGVO, schützt seit einiger Zeit die Daten von europäischen Bürgern. Für die Unternehmen ist die Regelung vor allem mit viel Aufwand verbunden – und mit Nachteilen im internationalen Wettbewerb, wie eine neue Studie des Instituts der deutschen Wirtschaft (IW) zeigt.
Rund ein Drittel der Unternehmen in Deutschland hat nach eigenen Angaben Wettbewerbsnachteile durch die DSGVO. Vor allem im Konkurrenzkampf mit internationalen Firmen, die sich außerhalb der EU nicht an die DSGVO halten müssen, ist das spürbar, zeigt eine IW-Studie, für die 862 Unternehmen befragt wurden. Besonders Industriedienstleister haben mit der DSGVO zu kämpfen: 37 Prozent von ihnen fühlen sich nach eigenen Angaben benachteiligt. Firmen aus dem Handwerk scheinen weniger Probleme mit dem Gesetz zu haben, hier berichten nur 29 Prozent von Nachteilen.
Unternehmen kritisieren vor allem den hohen Aufwand, der nötig ist, um die Verordnung umzusetzen und einzuhalten, außerdem enthält sie zum Teil strengere Regelungen als das Bundesdatenschutzgesetz. Bemerkbar macht sich das beispielsweise im Marketing: Für personalisierte Onlinewerbung müssen die Unternehmen in der Regel erst die Einwilligung der Kunden einholen. Ein weiterer Nachteil sind die potenziell drakonischen Strafen, die bei vielen Unternehmen zu Rechtsunsicherheit führen.
Digitale Unternehmen sehen Vorteile
Immerhin: Fünf Prozent der Unternehmen sehen auch Vorteile in der DSGVO. Am häufigsten nannten die Unternehmen die Chance auf mehr Gewinn. Denn Kunden, für die der Datenschutz besonders wichtig ist, könnten sich nun eher für ein Unternehmen entscheiden, das sich an die DSGVO und damit an hohe Datenschutzstandards halten muss. Auffällig ist, dass digitalisierte und innovative Unternehmen die DSGVO eher als vorteilhaft empfinden, obwohl sie gleichzeitig den Aufwand der Umsetzung als höher einschätzen. „Diese zukunftsgerichteten Unternehmen sind eher vom positiven Charakter der DSGVO überzeugt. Das zeigt, dass ein hohes Datenschutzniveau auch aus wirtschaftlicher Perspektive wichtig und richtig ist“, so Studienautorin Barbara Engels. Um Wettbewerbsnachteile zu verringern, sollte das Modell DSGVO auch außerhalb der EU gelten. „Die Politik sollte versuchen, die DSGVO als internationalen Standard zu etablieren“, sagt Co-Autor Marc Scheufen. Kalifornien hat sich beispielsweise schon an der europäischen Regelung orientiert: 2018 hat der US-Bundestaat ein Gesetz beschlossen, das die DSGVO als Vorbild hat.
Internet Security – Ab 2020 müssen neue Kassensysteme gemäß §146a der Abgabenordnung mit einer zertifizierten technischen Sicherheitseinrichtung ausgestattet werden, um Manipulationen an elektronischen Aufzeichnungen zu erschweren.
Internet Security – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die ersten technischen Sicherheitseinrichtungen für elektronische Aufzeichnungssysteme zertifiziert. Die nun zertifizierten Hardware-basierten Lösungen der Firmen Epson und Swissbit AG können genutzt werden, um die digitalen Aufzeichnungen elektronischer Kassensysteme vor nachträglichen Manipulationen zu schützen.
BSI-Präsident Arne Schönbohm erklärt hierzu: „Durch die technische Sicherheitseinrichtung können Manipulationen an aufgezeichneten Steuerdaten von Finanzbehörden in Zukunft leichter erkannt werden. Das standardisierte Zertifizierungsverfahren gewährleistet hierbei eine systematische Prüfung von technischen Sicherheitseinrichtungen nach dem Stand der Technik. Die Vorgaben des BSI ermöglichen eine flexible Umsetzung durch die Hersteller und treiben hier die Technologieentwicklung entscheidend voran. Dies sorgt für einen echten Sicherheitsgewinn.“
Internet Security – Die Zertifizierung der technischen Sicherheitseinrichtung besteht aus einer Zertifizierung nach der Technischen Richtlinie BSI TR-03153 sowie Common Criteria Zertifizierungen des zugehörigen Sicherheitsmoduls nach den Schutzprofilen PP–SMAERS und PP–CSP. In einer befristeten Einführungsphase kann die CC-Zertifizierung nach PP–CSP übergangsweise durch ein Sicherheitsgutachten des BSI ersetzt werden.
Kürzlich hat die Deutschsprachige SAP-Anwendergruppe e.V. (DSAG) einen ausgewählten Kreis von Mitgliedern erneut zum Thema SAP-Sicherheit befragt. Die Umfrage war in einen allgemeinen und einen fachspezifischen Teil untergliedert und brachte u. a. die Erkenntnis: Security by default, Security by design und Security Management Tools sind dringend erforderlich und SAP muss entscheidend dazu beitragen.
Die Bereitschaft, zusätzlich in die Sicherheit der SAP-Systeme zu investieren, ist laut Trendanalyse* im Vergleich zum Vorjahr um 13 Prozent auf 42 Prozent zurückgegangen. Zudem herrscht über alle Unternehmensgrößen hinweg die Ansicht, dass Cloud-Lösungen andere Sicherheits-Strategien und -Konzepte benötigen als herkömmliche Lösungen. Ein Thema, bei dem sich 91 Prozent der großen Unternehmen und 88 Prozent der kleinen Unternehmen einig sind. „Auch für das Cloud-Umfeld fordern wir Security by design und Security by default. Die DSAG-Arbeitsgruppe Cloud-Security nimmt sich dieses Themas an“, kommentiert Dr. Alexander Ziesemer, Sprecher des DSAG-Arbeitskreises Security & Vulnerability Management.
Security Dashboard gefordert
Den Überblick über ihre sicherheitsspezifischen Einstellungen verschaffen sich nur 11 Prozent (im Vorjahr: 15 Prozent) mithilfe eines Sicherheits-Dashboards. 76 Prozent nutzen dies nicht (in Vorjahr: 72 Prozent). Ein ordentliches Dashboard ist die zentrale Voraussetzung, um zwingend erforderliche bessere Sicherheitskonzepte entwickeln und umsetzen zu können. „Die Anforderung eines Standards für ein umfassendes SAP Security Dashboard haben wir bereits im letzten Jahr an SAP kommuniziert. Eine Lösung dafür gibt es bislang aber leider nicht“, fasst Dr. Alexander Ziesemer zusammen.
Zwischen Wunsch und Wirklichkeit liegen bei der Zufriedenheit mit der Unterstützung seitens SAP bezüglich der System-Sicherheit ebenfalls noch einige Prozentpunkte. Lediglich 4 Prozent der Befragten vergeben hier die Note 1 und 18 Prozent die Note 2. Die Note 3 vergeben 49 Prozent. Werte, die sich im Vergleich zu 2018 verschlechtert haben. „Das ist ein klares Indiz dafür, dass es noch bessere Unterstützung in Form von regelmäßigen aktuellen Whitepapers, Handlungsempfehlungen und Sicherheits-Leitfäden seitens der SAP bedarf“, erläutert Dr. Alexander Ziesemer das Ergebnis.
Diese werden laut Umfrage für die unternehmensinternen SAP-Sicherheitsrichtlinien (72 Prozent), als Orientierung beim Betrieb (64 Prozent) und als Argumentationshilfe gegenüber dem Management und den Fachbereichen (48 Prozent) eingesetzt.
Security by default gefordert
Im fachspezifischen Teil der Umfrage ging es u.a. um die Forderung nach Security by default. Also dass Security-Bestandteile in neuen Releases und Services standardmäßig bereits aktiviert ausgeliefert werden. Waren es 2018 noch 78 Prozent, erwarten ein Jahr später bereits 84 Prozent diesen „Service“ von SAP. „Dass mehr Security by default auch für die Zukunft möglich ist, zeigt die enge Zusammenarbeit mit SAP. Konnten doch bereits deutliche Fortschritte in konkreten Punkten wie Verschlüsselung, Protokollierung (Logging) und Monitoring erzielt werden“, so Dr. Alexander Ziesemer.
Sicherheit im On-Premise-Bereich weiter wichtig
SAP-Cloud-Produkte in ein entsprechendes Sicherheitskonzept zu integrieren, empfinden große Unternehmen (45 Prozent) und mittelgroße Unternehmen (41 Prozent) als sehr große Herausforderung. Bei kleinen Unternehmen teilen nur 35 Prozent diesen Eindruck. Interessanterweise hat es das Thema Cloud jedoch nicht unter die Top-3 der wichtigsten Handlungsfelder geschafft. An erster Position rangiert wie im letzten Jahr Security by default, gefolgt von den SAP-Sicherheits-Richtlinien. Die dritte Stelle hat das Patch-Management eingenommen und die Awareness für SAP-Sicherheit verdrängt. „Bei den Unternehmen werden neben der Cloud-Sicherheit weiterhin die Sicherheitsfragen rund um den On-Premise-Bereich im Zentrum stehen. Denn noch ist nicht alles Cloud was glänzt“, fasst Dr. Alexander Ziesemer zusammen.
Fazit der Umfrage
Die zentrale Erkenntnis der Trend-Umfrage lautet: Mehr Security by design und by default ist weiterhin eine wichtige Forderung. Bessere Sicherheitskonzepte, vor allem auch im Cloud-Umfeld sind zwingend erforderlich, aber ohne ein ordentliches Dashboard nach wie vor kaum umzusetzen. Das heißt: Im Bereich SAP-Sicherheit braucht es mehr Standards und eine noch bessere Unterstützung von SAP. Die DSAG arbeitet zu diesem Thema bereits mit SAP zusammen.
Dr. Alexander Ziesemer leitet aus den Ergebnissen aber auch konkrete Handlungsempfehlungen für die Anwenderunternehmen ab: „Verschaffen Sie sich Transparenz über die Sicherheit und die Landschaft Ihrer SAP-Systeme für die Planung von weiteren Aktivitäten. Starten Sie mit den Sicherheits-Basics wie Schnittstellen, Verschlüsselung und Einstellungen.“ Es gelte, das Bewusstsein für IT-Sicherheit auf alle Ebenen zu schaffen, von den Mitarbeitern über die Führungskräfte bis zu den Managern. Zudem sei es aufgrund der hohen Innovationsgeschwindigkeit wichtig, regelmäßig die SAP-Sicherheitsrichtlinien zu aktualisieren. Des Weiteren sollten neue SAP-Systeme mit den wesentlichen aktuellen Sicherheits-Einstellungen (Security by default) installiert werden. Nicht zu vergessen die ausgelagerten Systeme, z. B. in der Cloud, die ebenfalls sicher an das Unternehmens-Netzwerk angebunden werden müssen.
*Erherbungsgrundlage: Für das DSAG-Meinungsbild wurde von Dezember 2018 bis Januar 2019 in ausgewählten Arbeitskreisen in Deutschland, Österreich und der Schweiz eine Umfrage durchgeführt. Insgesamt 170 Antworten wurden ausgewertet. Den allgemeinen Teil der Umfrage beantworteten 170 Teilnehmer, den fachspezifischen Teil 141 Teilnehmer. 50 Prozent der Teilnehmer kommen aus dem Bereich Handel und Dienstleistungen, 32 Prozent aus dem produzierenden Gewerbe. 41 Prozent der Unternehmen beschäftigen 500 bis 4.999 Mitarbeiter, 45 Prozent ab 5.000 Mitarbeiter.
Über DSAG
Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) ist einer der einflussreichsten Anwenderverbände der Welt. Mehr als 60.000 Mitglieder aus über 3.500 Unternehmen bilden ein starkes Netzwerk, das sich vom Mittelstand bis zum DAX-Konzern und über alle wirtschaftlichen Branchen in Deutschland, Österreich und der Schweiz (DACH) erstreckt. Auf Basis dieser Reichweite gewinnt der Industrieverband fundierte Einblicke in die digitalen Herausforderungen im DACH-Markt. Die DSAG nutzt diesen Wissensvorsprung, um die Interessen der SAP-Anwender zu vertreten und ihren Mitgliedern den Weg in die Digitalisierung zu ebnen. Weitere Informationen finden Sie unter: www.dsag.de, www.dsag.at, www.dsag-ev.ch
DSGVO – Seit fast einem Jahr ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.
Doch laut aktueller Umfrage* der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG), entsprechen noch immer nicht alle Unternehmen der Verordnung. Lediglich 12 Prozent (Oktober 2017: 4 Prozent) der befragten Unternehmen sollen bisher vollständig die Anforderungen der Verordnung erfüllt haben.
Knapp 83 Prozent (Oktober 2017: 66 Prozent) der befragten DSAG-Mitglieder haben einige Vorbereitungen getroffen, sind aber noch nicht komplett EU-DSGVO-konform. Für Ralf Peters, DSAG-Fachvorstand Anwendungsportfolio, ist das Ergebnis ein Jahr nach Inkrafttreten der EU-DSGVO keine Überraschung: „Wir wissen, dass sich viele unserer Mitgliedsunternehmen schon vor längerer Zeit auf den Weg gemacht haben, sich datenschutzkonform aufzustellen. Einige haben ein- oder zweijährige Projekte durchgeführt, um die EU-DSGVO zu implementieren.“ Erfolgsmeldungen seien aber vor allem von Großunternehmen zu hören, die entsprechende Mittel besäßen. Daher schätzt Ralf Peters, dass diese Unternehmen das Gros der zwölf Prozent (Oktober 2017: 4 Prozent) ausmachen, die inzwischen EU-DSGVO-konform sind.
Insgesamt hält der DSAG-Fachvorstand die Zahl der Unternehmen, die vollständig der Verordnung entsprechen, aber für deutlich zu niedrig. Insbesondere vor dem Hintergrund, dass sich die Voraussetzungen, unter denen Daten verarbeitet werden dürfen, durch die EU-DSGVO eigentlich kaum verändert hätten. „Lediglich zwei Aspekte sind neu. Erstens müssen Unternehmen jetzt für alle in der Grundverordnung vorgesehenen Verarbeitungen von Daten die geforderten Voraussetzungen nachweisen und diese umsetzen. Die Dokumentationspflichten sind gewachsen“, erläutert Ralf Peters. Zweitens habe die umfangreiche mediale Berichterstattung zur Einführung der EU-DSGVO speziell die Auskunftsrechte in den Vordergrund gerückt. Das führe zu vermehrten Anfragen zu diesem Thema und seitens der Unternehmen zu einem entsprechend erhöhten Aufwand, um der Informationspflicht gerecht zu werden.
Insgesamt 77 Prozent der Befragten (Oktober 2017: 43 Prozent) haben zusätzliche Investitionen getätigt, um die EU-Datenschutz-Grundverordnung umzusetzen. 82 Prozent (Oktober 2017: 54 Prozent) der Unternehmen, die investiert haben, steckten laut Umfrage zusätzlich Geld in die IT-Beratung. Zudem haben etwa 50 Prozent (Oktober 2017: 40 Prozent) in Non-IT-Beratung investiert, knapp 27 Prozent in IT-Lizenzen (Oktober 2017: 14 Prozent) und etwa 17 Prozent (Oktober 2017: 18 Prozent) in sonstige Bereiche wie Hardware, Datenschutzsoftware oder Personal.
Auch in Zukunft stehen bei 72 Prozent der befragten Unternehmen weitere Investitionen in IT-Beratung, bei 39 Prozent in Non-IT-Beratung und bei 18 Prozent in IT-Lizenzen an. „Die Investitionsbereitschaft ist nach wie vor hoch. Daraus lässt sich schließen, dass das Schreckgespenst EU-DSGVO für viele noch nicht gebannt und die Angst vor Abmahnungen und Sanktionen durchaus in den Köpfen ist“, ordnet Ralf Peters ein.
Anwender fordern mehr Unterstützung von SAP
Bei fast 67 Prozent der befragten Unternehmen sind die Wege für die Auskunft und Benachrichtigung der betroffenen natürlichen Personen festgelegt und bereits betriebliche Übung. Und lediglich 13 Prozent haben in ihrem Unternehmen eine Datenschutzverletzung entdeckt und der Aufsichtsbehörde gemeldet. „Das zeigt, dass die Unternehmen, wenngleich sie vielleicht noch nicht alle zu 100 Prozent konform sind, doch auf einem guten Weg sind“, sagt Ralf Peters. Dazu habe auch die DSAG ihren Teil beigetragen und werde dies auch künftig weiterhin tun. Beispielsweise mit einem Informationstag am 05.06.2019 zum Thema „Datenschutz mit SAP: 1 Jahr EU-DSGVO“ in St. Leon-Rot, der mit Unterstützung von SAP in St. Leon-Rot ausgerichtet wird. „Laut Umfrage-Ergebnis fühlen sich derzeit knapp 49 Prozent der Befragten bei diesem Thema von der DSAG ausreichend begleitet. Hier möchten wir ansetzen und weiter für Aufklärung sorgen“, erläutert der DSAG-Fachvorstand.
Weniger positiv fällt das Ergebnis hinsichtlich der Unterstützung von SAP aus. Hier sehen die Mitglieder weiterhin Nachholbedarf. Während nur etwa 17 Prozent (Oktober 2017: 11 Prozent) der Befragten mit der Unterstützung durch SAP sehr zufrieden oder zufrieden sind, erwarten etwa 69 Prozent (Oktober 2017: 72 Prozent) mehr. Sie sind nur mäßig oder gar nicht zufrieden mit dem, was SAP bezogen auf die Umsetzung der Datenschutz-Grundverordnung im SAP-System bietet. DSAG und SAP führen bei diesem Thema ihre bewährte Partnerschaft fort. In verschiedenen DSAG-Gremien werden die Anforderungen der Mitglieder an die SAP-Lösungen diskutiert und in konstruktiv-kritischem Dialog erörtert.
*Erhebungsgrundlage der Umfrage
Die DSAG hat im März 2019 eine Online-Umfrage bei 105 Mitgliedspersonen durchgeführt. Zum Vergleich wurde im Oktober 2017 eine Online-Umfrage bei 158 Mitgliedspersonen durchgeführt.
Quelle: DSAG
Über DSAG
Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) ist einer der einflussreichsten Anwenderverbände der Welt. Mehr als 60.000 Mitglieder aus über 3.500 Unternehmen bilden ein starkes Netzwerk, das sich vom Mittelstand bis zum DAX-Konzern und über alle wirtschaftlichen Branchen in Deutschland, Österreich und der Schweiz (DACH) erstreckt. Auf Basis dieser Reichweite gewinnt der Industrieverband fundierte Einblicke in die digitalen Herausforderungen im DACH-Markt. Die DSAG nutzt diesen Wissensvorsprung, um die Interessen der SAP-Anwender zu vertreten und ihren Mitgliedern den Weg in die Digitalisierung zu ebnen. Weitere Informationen finden Sie unter: www.dsag.de, www.dsag.at, www.dsag-ev.ch
Mit den gestern beschlossenen „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Art. 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen“ beschränkt der Europäische Datenschutzausschuss die Möglichkeit für Unternehmen, die Verarbeitung von Daten der Nutzerinnen und Nutzer auf die Rechtsgrundlage „Vertragserfüllung“ zu stützen.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, begrüßt die Annahme der Leitlinien ausdrücklich: Die DSGVO stellt zu Recht strenge Voraussetzungen an die Zulässigkeit einer Einwilligung auf. Es kann nicht sein, dass Unternehmen, wie beispielsweise die Anbieter sozialer Netzwerke, dazu übergehen, dies zu umgehen, indem sie Datenverarbeitungen, die eigentlich nichts mit der Erbringung eines Online-Dienstes zu tun haben, in den Vertragstext mit aufnehmen. Die jetzt beschlossenen Leitlinien erschweren ein solches Vorgehen deutlich und stärken somit die datenschutzrechtliche Selbstbestimmung der Bürgerinnen und Bürger.
Nach Art. 6 Abs. 1 b DSGVO ist die Verarbeitung personenbezogener Daten zulässig, soweit sie zur Vertragserfüllung erforderlich ist. In den neuen Leitlinien wird klargestellt, dass es zur Beurteilung dessen, ob eine Datenverarbeitung zur Vertragserfüllung erforderlich ist, nicht allein darauf ankommt, was im Vertrag vereinbart wurde. Vielmehr ist eine wertende Entscheidung unter Berücksichtigung der in Art. 5 DSGVO niedergelegten Datenschutzgrundsätze wie Sparsamkeit, Fairness und Transparenz notwendig. Beispielsweise kann eine Datenverarbeitung für Zwecke der personenbezogenen Onlinewerbung danach grundsätzlich nicht auf die Rechtsgrundlage „Vertragserfüllung“ gestützt werden.
Das Papier kann in den nächsten Wochen von interessierten Stellen im Rahmen einer öffentlichen Konsultation kommentiert werden.
Quelle: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
DSGVO – Fazit des Bayerischen Landesbeauftragten für den Datenschutz aus Anlass des 13. Europäischen Datenschutztags
Die DSGVO gilt seit 25. Mai 2018 in Deutschland und damit auch in Bayern unmittelbar und allgemein.
Nach dem Eindruck des Bayerischen Landesbeauftragten für den Datenschutz wurden im Vorfeld und zu Beginn der Geltung der DSGVO viele unbegründete Ängste geschürt. Jedenfalls wurde im Jahr 2018 vor allem über bürokratische Lasten und drohende Bußgelder diskutiert, die mit der DSGVO einhergehen könnten. Dokumentationspflichten für ehrenamtlich geführte Vereine, das Abmontieren von Namensschildern an Türklingeln und das Nichtaufhängen von Kinderwünschen an örtlichen Weihnachtsbäumen bestimmten insoweit die Schlagzeilen.
Nicht zuletzt der Fall des Datenklaus bezüglich etwa tausend Personen des öffentlichen Lebens wie Journalisten und Politikern hat gezeigt: In den Diskussionen waren oft die eigentlichen Zielsetzungen der DSGVO aus dem Blick geraten – wie etwa die Transparenz der Verarbeitung für die betroffenen Menschen und die effektive Sicherung von IT-Systemen, die eine integre und vertrauliche Datenverarbeitung gewährleistet.
Die DSGVO soll damit in erster Linie dazu beitragen, dass Europa die Chancen der Digitalisierung nutzen kann und gleichzeitig die Privatsphäre der Menschen effektiv schützt. Dazu hat das EU-Datenschutzrecht im Vergleich zum bisherigen deutschen Recht die Anforderungen an die Verarbeitung personenbezogener Daten zwar teilweise abgesenkt. Im Gegenzug aber hat sie die Rechte der betroffenen Menschen gestärkt.
Prof. Dr. Thomas Petri: „Das Datenschutzjahr 2018 war in der öffentlichen Diskussion vor allem von skurril anmutenden Einzelfällen und bürokratischen Lasten geprägt, die die DSGVO mit sich bringe. Demgegenüber sollten wir im Jahr 2019 den Blick stärker darauf richten, wie die DSGVO die Rechte der Betroffenen stärkt und welche positiven Antworten sie auf die Herausforderungen der Zukunft geben kann.“
Prof. Dr. Thomas Petri
Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Sie hat das Ziel, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.
Quelle: Bayerische Landesbeauftragte für den Datenschutz
Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht die „Bayerische Blacklist“ zur Datenschutz-Folgenabschätzung mit umfangreichem Begleitmaterial.
Mit Einführung der Datenschutz-Grundverordnung – DSGVO wurde das für die Tätigkeit der bayerischen Behörden maßgebliche Datenschutzrecht 2018 grundlegend reformiert. Bekannte und bewährte Regelungen des alten Rechts stehen seither neben noch ungewohnten Bestimmungen, die in der Verwaltungspraxis erst einmal „ankommen“ müssen – auch, weil Arbeitsabläufe anzupassen und Erfahrungen neu zu gewinnen sind.
DSGVO – Die Datenschutz-Folgenabschätzung gab es im alten Recht nicht. Schon vor der Datenschutzreform 2018 waren Behörden, die personenbezogene Daten verarbeiten, aber verpflichtet, für ein ausreichendes Maß an Datensicherheit zu sorgen. Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, muss der für sie Verantwortliche nach dem neuen Recht nun eine Datenschutz-Folgenabschätzung durchführen. DSGVO – Dabei erarbeitet er strukturiert eine Beschreibung der Risiken und setzt ihnen geeignete technische und organisatorische Maßnahmen entgegen.
DSGVO – Bayerische Behörden sind für zahllose Datenverarbeitungen verantwortlich. Darunter können sich auch solche Verarbeitungen befinden, die einer Datenschutz-Folgenabschätzung bedürfen. Um die Identifizierung dieser „Hochrisiko-Verarbeitungen“ zu erleichtern, habe ich heute die „Bayerische Blacklist“ veröffentlicht, welche die wichtigsten Fälle aufzählt. Dazu bin ich nach der Datenschutz-Grundverordnung im Übrigen verpflichtet. DSGVO – Zur Unterstützung der bayerischen Behörden habe ich außerdem meine bereits Mitte Mai 2018 veröffentlichte Orientierungshilfe „Datenschutz-Folgenabschätzung“ überarbeitet und um ein neues, ausführliches Arbeitspapier zur Methodik ergänzt. Eine Fallstudie zeigt hier beispielhaft, wie eine Datenschutz-Folgenabschätzung IT-gestützt effektiv und effizient erarbeitet werden kann. Sie illustriert zugleich den Nutzen, den dieses Instrument im Rahmen eines geordneten Risikomanagements hat.
DSGVO – Die „Bayerische Blacklist“, die aktualisierte Orientierungshilfe mit dem zugehörigen neuen Arbeitspapier sowie die im Rahmen der Fallstudie eingesetzte Software – eine deutsche Version des bewährten, von der französischen Datenschutz-Aufsichtsbehörde herausgegebenen PIA-Tools – stehen seit heute auf meiner Homepage https://www.datenschutz-bayern.de in der Rubrik „Datenschutzreform 2018“ zum kostenlosen Download bereit. Prof. Dr. Thomas Petri: „Die Datenschutz-Folgenabschätzung ist ein wichtiges Instrument, um die Rechte und Freiheiten natürlicher Personen bei Datenverarbeitungen mit voraussichtlich hohem Risiko zu schützen. Meine Beratungspraxis hat allerdings gezeigt, dass bei vielen bayerischen öffentlichen Stellen immer noch große Unsicherheiten bestehen, wann und wie eine Datenschutz-Folgenabschätzung genau durchzuführen ist. Mit der ‚Bayerischen Blacklist‘ und dem umfangreichen Begleitmaterial möchte ich hier Hilfe und Orientierung für die behördliche Praxis bieten.“
Prof. Dr. Thomas Petri
Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.
Quelle: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)
Digitale Transformation – Umfassendes Geschäftsprozess-Know-how und enge Zusammenarbeit mit Kunden und Partnern zeichnen SAP aus. Auch heute beweist der Walldorfer Konzern wieder, dass er genau das bietet, was Unternehmen benötigen, um dem Wettbewerb den entscheidenden Schritt voraus zu sein und ein einzigartiges Erlebnis für Kunden zu schaffen.
Digitale Transformation – Mit neuen SAP HANA Cloud Services bringt SAP die Leistungsfähigkeit von SAP HANA in die Cloud. So entsteht ein zentraler Zugang zu Daten jeder Größe, der Unternehmen hilft, die Herausforderungen verteilter Datenlandschaften zu bewältigen. Durch die Kombination der In-Memory-Technologie von SAP HANA mit der Virtualisierung von Daten wird das Datenmanagement für alle Anwender einfacher und flexibler. Dank einer Data-Lake-Speicherebene ist es möglich, unbegrenzte Mengen an Daten, die von SAP HANA verwaltetet werden, zu speichern. Auch Kunden der On-Premise-Version von SAP HANA sollen von den neuen Cloud-Services profitieren. Bei Bedarf können Sie ganz flexibel Kapazität hinzufügen.
Digitale Transformation – Zugleich entwickelt sich die SAP Cloud Platform weiter zu einer Technologieplattform, mit der Kunden SAP-Anwendungen auf einfache Weise integrieren und mit unterschiedlichen Funktionen ergänzen können. SAP und SAP-Partner reichern die Plattform an, indem sie ihr großes Fachwissen einbringen und bündeln.
Mit SAP HANA Cloud Services und der SAP Cloud Platform erhalten Kunden Zugang zu allen SAP- und Nicht-SAP-Anwendungsdaten. Auf diese Weise lässt sich die Dublettenquote senken und es entsteht ein zentraler Zugriffspunkt für Sicherheit und Governance. So haben Entscheidungsträger Zugriff auf umfassende, vollständige Echtzeitdaten und können sich darauf verlassen, dass die Daten bestens geschützt sind. Außerdem können sie ganz einfach komplexe Analysen durchführen sowie maschinelles Lernen und andere Techniken für Geschäftsprozesse nutzen, um Geschäftsmöglichkeiten zu erkennen.
Neue intelligente Lösungen für SAP HANA und SAP Cloud Platform
Zu den neuen Produkten, Services und Initiativen, die im Rahmen des Angebots SAP HANA Cloud Services zur Verfügung stehen sollen, zählen:
SAP Data Warehouse Cloud ist die erste geplante Lösung des Portfolios SAP HANA Cloud Services. Sie vereint Daten aus unterschiedlichen Quellen in einer Lösung und gewährleistet gleichzeitig, dass der Datenbestand eines Unternehmens geschützt, vertrauenswürdig und semantisch reichhaltig ist. Die Anwender können rasch auf die gesamte Datenlandschaft zugreifen und von den Inhalten profitieren, die für ihren Geschäftsbereich relevant sind. Sie profitieren dabei von einem flexiblen Preismodell, das sich am Verbrauch orientiert. Interessierte Kunden sind eingeladen, sich hier für das Beta-Programm zu bewerben. Für weitere Informationen lesen Sie bitte den Blog „Data to Value: Updates on SAP HANA and SAP Analytics Cloud“ von Gerrit Kazmaier, Senior Vice President, SAP HANA and Analytics, SAP.
SAP und OpenTextbauen ihre Partnerschaft aus, um die SAP Cloud Platform mit unstrukturierten Inhalten für das intelligente Unternehmen zu erweitern. Geplant ist die Bereitstellung einer Software-as-a-Service-Lösung zur Dokumentenverwaltung auf der SAP Cloud Platform mit zukünftiger Integration in SAP S/4HANA Cloud und andere Anwendungen für das intelligente Unternehmen. Die Services sollen Kunden helfen, den Datenfluss aller Arten von Informationen zu verbessern und während des gesamten Geschäftsprozesses zusammenzuarbeiten, um Datenschutzauflagen einzuhalten und die Produktivität zu steigern. Für weitere Informationen lesen Sie bitte den Blog „SAP Cloud Platform: The Business Technology Platform“von Gunther Rothermel, Senior Vice President, SAP Cloud Platform, SAP.
Die Basis-Absicherung der eigenen IT-Systeme ist der erste wichtige Schritt zu einer umfassenden Umsetzung von Informationssicherheitsmaßnahmen für viele Unternehmen, Behörden und Institutionen.
Cyber Sicherheit – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet nun ein Testat nach der Basis-Absicherung der gleichnamigen Vorgehensweise aus dem IT-Grundschutz an. Die Basis-Absicherung bietet einen praktikablen Einstieg in das Thema Cyber Sicherheit und legt den Fokus auf eine grundlegende Erst-Absicherung und schnell realisierbare Maßnahmen über alle Geschäftsprozesse, Daten und Komponenten hinweg. Hierzu erklärt BSI-Präsident Arne Schönbohm: „Cyber-Sicherheit kann und sollte von jedem Unternehmen und jeder Behörde ernst genommen werden. Der Aufbau eines Managementsystems für Informationssicherheit darf dabei keine noch so kleine oder große Organisation abschrecken. Das BSI gibt KMU, Behörden und Institutionen mit dem Testat nach Basis-Absicherung eine praktische Lösung an die Hand, um einen Ressourcen schonenden Einstieg in das wichtige Thema Informationssicherheit zu schaffen.“
Cyber Sicherheit – Ein Testat nach der Basis-Absicherung wird für zwei Jahre durch einen zertifizierten IT-Grundschutz-Auditor vergeben. Nach Ablauf dieser Zeit kann ein Testat wieder neu beantragt werden. Unternehmen und Behörden können mit der Basis-Absicherung den Grundstein zum Aufbau eines Managementsystems für Informationssicherheit legen. Institutionen, die ihre Aktivitäten weiter ausbauen möchten, sollten im nächsten Schritt die Standard-Absicherung umsetzen. Hierbei ist eine Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz möglich.
Cyber Sicherheit – Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik ist ein bewährtes Verfahren, um das Niveau der Informationssicherheit in Behörden und Unternehmen jeder Größenordnung zu erhöhen. Die Angebote des IT-Grundschutzes gelten in Verwaltung und Wirtschaft als Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht. Ein systematisches Vorgehen ermöglicht es, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium in den IT-Grundschutz-Bausteinen konkrete Anforderungen.
Quelle: BSI – Bundesamt für Sicherheit in der Informationstechnik
IT Security – Schwachstellen in den Implementierungen der weitverbreiteten E-Mail- Verschlüsselungsstandards S/MIME und OpenPGP
IT Security – Sicherheitsforscher der Fachhochschule Münster und der Ruhr-Universität Bochum haben Schwachstellen in den Implementierungen der weitverbreiteten E-Mail-Verschlüsselungsstandards S/MIME und OpenPGP gefunden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber im Rahmen eines Coordinated-Vulnerability-Disclosure-Prozesses informiert. Die Schwachstellen ermöglichen Angreifern die Veränderung von E-Mails, so dass die Authentizität und Integrität einer Nachricht beim Empfänger nicht sichergestellt werden kann. Die Entwickler von E-Mailclientsoftware wurden vor der Veröffentlichung informiert und haben Updates zur Verfügung gestellt. Die genannten E-Mail-Verschlüsselungsstandards können daher nach Einschätzung des BSIweiterhin sicher eingesetzt werden, sofern sie wie folgt konfiguriert sind:
Die E-Mailclientsoftware muss durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden
Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind
IT Security – Die vorliegenden Schwachstellen betreffen die Signaturprüfung, jedoch nicht die Signaturerstellung. Der Beweiswert der signierten E-Mail selbst wird somit nicht beeinträchtigt. Das BSI hat bislang keine Kenntnis darüber, dass entsprechende Manipulationen von Angreifern bereits durchgeführt wurden. Zur Ausnutzung der gefundenen Schwachstellen nutzten die Sicherheitsforscher verschiedene Angriffsmethoden. Dabei werden alte signierte E-Mails erneut verwendet und sogenannte Injection-Angriffe durchgeführt, fehlerhafte Implementierungen von OpenPGP und S/MIME aufgrund der Komplexität ausgenutzt sowie Mail Header manipuliert. Bei aktiviertem HTML / CSS kann die Anzeige der Auswertung von Signaturen in der Benutzeroberfläche manipuliert werden.
Coordinated Vulnerability Disclosure
IT – Security – Das BSI ist seit März 2019 durch das Forscherteam in den sogenannten Coordinated-Vulnerability-Disclosure-Prozess eingebunden worden. Dieser dient dazu, Herstellern die Möglichkeit zu geben, Patches für gefundene Schwachstellen zu entwickeln, bevor diese Schwachstellen öffentlich werden. Dies reduziert die Zeitspanne deutlich, in der Angreifer neue Schwachstellen ausnutzen können. Das BSI nimmt hierbei eine neutrale und unterstützende Rolle ein, die Hoheit über den Prozess liegt bei den Findern der Schwachstellen.
