Künstliche Intelligenz (KI) kann dabei unterstützen, Cyberangriffe zu erkennen und abzuwehren. Doch KI kann auch selbst zum Datenrisiko werden. Datenschutzbeauftragte sind hier mehrfach gefordert, nicht nur personenbezogene Daten zu schützen, sondern auch Manipulation und Missbrauch zu verhindern.
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) dient als zentrales Nachweiswerkzeug und ermöglicht eine Übersicht über alle Datenverarbeitungsprozesse. Angesichts fortschreitender Digitalisierung, der Nutzung von KI und neuer gesetzlicher Anforderungen müssen Unternehmen ihr VVT regelmäßig aktualisieren.
Aufgrund hoher Schäden durch Cyberattacken investieren Unternehmen stark in Cybersicherheit. Mit neuen Konzepten wie Zero-Trust-Sicherheit wollen sie steigende Risiken in den Griff bekommen. Dabei dürfen sie aber die Grenzen des Datenschutzes nicht überschreiten.
Die EU-Verordnung DORA (Digital Operational Resilience Act) soll die digitale Resilienz im EU-Finanzsektor stärken und die Vorgaben harmonisieren. DORA legt zahlreiche Sicherheits- und Berichtspflichten fest, damit Finanzunternehmen widerstandsfähiger gegen Cyberangriffe und andere Risiken der IKT-Nutzung – etwa Outsourcing-Risiken – werden.
Eine Forderung der Datenschutz-Grundverordnung (DSGVO / GDPR) an die Sicherheit der Verarbeitung ist die Belastbarkeit oder Resilienz. Doch wie lässt sich die Belastbarkeit gewährleisten, wie lässt sie sich prüfen? Hier helfen Tools.
Die Cybersicherheit erfordert Transparenz in der kompletten genutzten IT. Die Angriffserkennung und Abwehr erweitert sich deshalb von den Endgeräten (EDR) auf die ganze IT-Infrastruktur (XDR). Das kann aber Folgen für den Datenschutz nach sich ziehen.
Die EU-Richtlinie NIS 2 ist ein allgegenwärtiges Thema. Die Umsetzung muss jetzt angegangen werden, aber zur Umsetzung kursieren auch Mythen. Die zeitlichen Abläufe zu kennen, ist dafür ebenso wichtig, wie die Vorgaben umzusetzen.
Der moderne Datenschutz kommt ohne Maßnahmen der Cybersicherheit nicht mehr aus. Cyberattacken sind inzwischen nicht nur das größte Unternehmensrisiko, sie sind auch Ursache zahlreicher Datenschutzverletzungen. DSB müssen deshalb auch die Cybersicherheit auf ihre Agenda setzen.
Betreiber kritischer Infrastrukturen (KRITIS) müssen zukünftig noch höhere IT-Sicherheitsanforderungen erfüllen. Dies betrifft auch den Datenschutz aller Unternehmen und Behörden in der EU, denn KRITIS-Vorfälle lösen oftmals Datenschutzverletzungen aus.
Auf die Betreiber Kritischer Infrastrukturen kommen bald neue umfangreiche Vorgaben zu. Verantwortliche und DSB sollten diese bereits jetzt genau analysieren, um ausreichend Zeit zu haben, die erforderlichen Maßnahmen im eigenen Unternehmen zu implementieren.
