Die General Data Protection Regulation (GDPR) kommt, was nun?

Originalartikel von Raimund Genes, Chief Technology Officer

Nach all den Vorfällen im Jahr 2016 sollten Unternehmen das neue Jahr mit Umsicht beginnen. Der Anstieg der Business Email Compromise (BEC)-Angriffe sowie die Tatsache, dass Cyberkriminelle effizientere Wege einschlagen, um die Geräte im Internet of Things (IoT) zu missbrauchen, sollten Organisationen und dem Einzelnen als Warnung dienen, vorsichtiger zu sein. Eine der größten Herausforderungen für viele Unternehmen in diesem Jahr stellt die anstehende General Data Protection Regulation (GDPR) dar. Eine Reihe neuer Regeln dient dazu, den Datenschutz über alle EU-Mitgliedsstaaten hinweg zu vereinheitlichen. Die Datenschutzgrundverordnung bringt einige Schlüsselkomponenten, die Unternehmen direkt betreffen – auch solche außerhalb Europas.

Was kommt auf Unternehmen zu?

Es wurde viel über die Verordnung geschrieben und geredet, doch welches ist das realistischste Datenschutz-Design für Organisationen? Diese Frage muss sich jedes Unternehmen stellen. Eine mögliche Antwort darauf lautet, lediglich das zu sammeln, was gesammelt werden muss. Wie viele persönliche Informationen sind tatsächlich erforderlich? So mag das Geburtsdatum eines Kunden nicht immer relevant für das Geschäft sein, sollte also gelöscht werden. Gibt es eine Sammlung von Daten, die für das Geschäft nicht benötigt wird, so muss die Datenbank neu designt werden und Felder daraus verschwinden. Während der Übergangsperiode bis zum Mai 2018, wenn die GDPR in Kraft tritt, müssen die Organisationen die Compliance zu der Verordnung herstellen. Folgende Punkte benennen einige der Compliance-Fragen:

Strafen und Bußgelder – Die GDPR sieht vor, dass fehlende Compliance oder Missachtung der Verordnung Unternehmen bis zu 4% ihres Gesamtumsatzes oder 20 Millionen Euro Strafe kosten könnte.

Benachrichtigung bei Dateneinbruch – Die Verordnung verlangt von Unternehmen, einen Datendiebstahl innerhalb von 72 Stunden zu öffentlich zu machen.

Recht auf Löschen – Nochmals: Lediglich das sammeln, was gesammelt werden muss. Das bedeutet, Unternehmen müssen persönliche Daten und alle Links darauf löschen, wenn diese Daten für das Geschäft nicht länger relevant oder fehlerhaft sind.

Recht auf Information und Transparenz – Kunden sollten das Recht haben, eine klare Aussage dazu zu bekommen, was das Unternehmen mit ihren Daten tut und wie diese gespeichert werden. Auch haben Betroffene das Recht auf Rückgabe übergebener Daten.

Trend Micro erklärt in den Vorhersagen für 2017, dass davon auszugehen ist, dass infolge der GDPR die Verwaltungskosten steigen. Das Ausmaß der Mehrkosten wird davon abhängen, was Unternehmen derzeit bereits tun. Die meisten europäischen Unternehmen sind bereits durch die Verordnungen ihrer Länder zu verschiedenen Maßnahmen gezwungen, sodass deren Anpassung an die GDPR sich nicht allzu schwierig gestalten dürfte. Doch in anderen Ländern, vor allem in solchen, wo die Unternehmen Kundendaten für Marketingzwecke speichern, werden sie ein komplettes Redesign ihrer Datenbanken durchführen müssen, um der GDPR zu entsprechen.

Unternehmen sollten Strafgelder für fehlende Compliance einkalkulieren. Im Fall von TalkTalk, musste das Unternehmen 400.000 £ Strafe zahlen wegen nicht fachgerechter Website-Sicherheit. Unter der GDPR wären es jedoch Millionen gewesen. Unternehmen sollten also ihren praktizierten Datenschutz ernster nehmen.

Europäische Unternehmen machen sich Sorgen bezüglich der Implementierungskosten, und US-Firmen glauben, sie werden Strafen zahlen, weil sie der Verordnung nicht entsprechen können. Trend Micro prophezeit, dass 2018 Unternehmen, die keine Compliance vorweisen, nicht nur Strafe zahlen, sondern deren Manager riskieren auch, im Gefängnis zu landen. Als Folge, werden wohl kleine Anwaltskanzleien viel Geld verdienen, indem sie Kunden finden, die gegen Unternehmen mit fehlender Compliance aussagen und sie verklagen.

Was nun?

Reichen zwei Jahre für die Vorbereitung aus? Die Zeit sollte genügen, denn Unternehmen wissen bereits, was mit der GDPR auf sie zukommt. Sie wurde im April 2016 beschlossen und fünf Jahre lang im Europaparlament diskutiert. Natürlich könnte die GDPR für einige eine Last bedeuten, doch ist nicht alles nur düster und bedrohlich. Schließlich wird sie Unternehmen lehren, bessere Sicherheits-Practices im Umgang mit Daten anzuwenden, und wird das Vertrauen der Kunden stärken.

Folgendes können Unternehmen als Vorbereitung tun:

Wissen, wo die Daten gespeichert sind – entsprechend der Forderung des Data Protection Acts: „Personenbezogene Daten sollten adäquat, relevant und nicht exzessiv bezogen auf den Zweck, zu dem sie verarbeitet werden, sein”. Für die GDPR bedeutet dies, nicht mehr Informationen vorzuhalten, als es zu diesem Zweck bedarf.

Verwendung effizient eingesetzter Sicherheitsmaßnahmen – Unternehmen müssen ihre Sicherheitsregeln überprüfen und in einen Anbieter investieren, der Datenverschlüsselung in der Cloud, Netzwerksicherheit, fortschrittliche Anti-Malware, IDS/IPS, virtuelles Patching und Data Loss Prevention liefern kann.

Einstellen eines Data Protection Officers (DPO) in größeren Unternehmen – Entsprechend den GDPR-Forderungen mag es notwendig werden, rechtliche Unterstützung in Anspruch zu nehmen, um festzustellen, ob das Unternehmen einen DPO einstellen sollte. Im Gegensatz zu mittelständischen Unternehmen werden größere Firmen wahrscheinlich einen brauchen. Ein DPO unterstützt die IT-Abteilung und Geschäftsleitung dabei, die Prozesse des Datenschutzes und der Sicherheit zu verbessern.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*