bieter von Sicherheitstechnologie und -diensten. So steht es in den Erwägungsgründen der Datenschutz-Grundver- ordnung. Allerdings muss die Datenverarbeitung unbe- dingt nötig und verhältnismäßig sein, um die Netz- und Informationssicherheit zu gewährleisten. Unternehmen sind in der Pflicht, dies sorgfältig zu prüfen und ihre Inte- ressensabwägung zu dokumentieren. Datenschutzrechtliche Pflichten Security-Lösungen, die personenbezogene Daten temporär speichern und verarbeiten, sind also daten- schutzrechtlich zulässig. Unternehmen können sie ein- setzen, ohne die Einwilligung der betroffenen Personen für die Datenverarbeitung einzuholen. Allerdings schreibt die DSGVO umfassende Informationspflichten vor. Unter- nehmen müssen die betroffene Person zum Beispiel über ihre Kontaktdaten, den Zweck, die Rechtsgrundlage, den Empfänger der personenbezogenen Daten, eine etwaige Übermittlung an ein Drittland außerhalb der EU sowie gegebenenfalls über ihren Datenschutzbeauftragten un- terrichten. Diese Informationen müssen in präziser, trans- parenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erteilt werden. Außerdem müssen die eingesetzten Security-Lö- sungen datenschutzgerecht gestaltet sein und daten- schutzfreundliche Voreinstellungen haben. Dazu zählt zum Beispiel, dass man nur Daten erhebt, die unbedingt erforderlich sind, und diese nur zeitlich begrenzt spei- chert. Der Schutz der Daten ist durch geeignete technische und organisatorische Maßnahmen zu gewährleisten. Empfehlenswert sind zum Beispiel Verschlüsselung, Pseu- donymisierung und Anonymisierung von personenbezo- genen Daten. Zudem gilt es, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Datenverarbeitung auf Dauer sicherzustellen. Wie sieht es bei der Auftragsdatenverarbeitung aus? Unternehmen sind auch dann für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich, wenn eine sogenannte Auftragsdatenverarbeitung vor- liegt. Ob das der Fall ist, gilt es im Einzelfall zu prüfen. Bei den meisten Security-Lösungen erfolgt die Datenver- arbeitung auf den Servern des Security-Anbieters. Eine Auftragsverarbeitung ist dadurch gekennzeichnet, dass der Auftragnehmer den Weisungen des Auftraggebers unterliegt. Das ist bei komplexen Security-Anwendungen oft nicht möglich, weil den Kunden hierfür das fachliche Know-how fehlt. Bei der Ausgestaltung der Vereinbarung mit dem Security-Anbieter sollten Unternehmen daher klären, ob eine Auftragsverarbeitung nach Artikel 28 DSGVO oder eine gemeinsame Verantwortlichkeit von Security-Anbieter und Kunde gemäß Artikel 26 DSGVO vorliegt. In letzterem Fall ist genau festzulegen, wer welche Verpflichtungen übernimmt. Als Anbieter im Bereich Cybersicherheit, der in über 65 Ländern tätig ist, verfolgt Trend Micro einen umfassenden und ganzheitlichen Datenschutzansatz. Wir haben ein Programm zur DSGVO-Compliance eingeführt, um die Verantwortlichkeiten als Datenverarbeiter gemäß der DSGVO zu erfüllen. Außerdem stellt Trend Micro in seinem Trust Center detaillierte Informationen zu allen Produkten und Lösungen bereit, die genau aufzeigen, welche personenbezogenen Daten verarbeitet werden, auf welche Weise und für welche Zwecke. Leitfaden klärt rechtliche Fragen Die Erfahrung zeigt, dass auch Mitarbeiter inner- halb der IT-Sicherheits-Abteilung in puncto Datenschutz oft verunsichert sind. Das führt mitunter dazu, dass sie Funktionen von Security-Lösungen deaktivieren, um einen vermeintlichen Verstoß gegen die DSGVO zu ver- meiden. Doch gerade moderne Lösungen zur Angriffs- erkennung wie Extended Detection & Response (XDR) speichern und verarbeiten temporär personenbezogene Daten. Sie korrelieren und analysieren Anzeichen für Cyberattacken über alle Angriffsvektoren hinweg und fügen diese zu einem ganzheitlichen Bild zusammen. Unternehmen brauchen solche Lösungen, denn mit dem zunehmenden Einsatz von Cloud-Services, IoT und New-Work-Konzepten werden IT-Umgebungen immer größer, komplexer und unübersichtlicher. Datenschutz in der IT-Security ist ein wichtiges Thema. Rückfragen dazu sind berechtigt und kommen häufig vor. Daher hat Trend Micro einen externen Fachan- walt beauftragt, die entsprechenden Security-Lösungen auf ihre DSGVO-Tauglichkeit zu prüfen. Er klärt wichtige Fragen des IT-Rechts und Datenschutzes in der mittlerwei- le siebten Auflage unseres juristischen Leitfadens, den man hier downloaden kann: https://bit.ly/3EcJE1q n Artikel und Leitfaden dienen der allgemeinen Information. Sie stellen keine Rechtsberatung im Einzelfall dar, können und sollen diese auch nicht ersetzen. © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Datenschutz, Dezember 2022 5