DSGVO: Chaos für die Guten, weiter so für die Bösen?

von Richard Werner, Business Consultant bei Trend Micro

Wozu gibt es eigentlich die DSGVO? … eine immer häufiger gestellte Frage, die oft von Kopfschütteln über vermeintlich unverständliche Regelungen oder Updates begleitet wird. Viele Unternehmen fühlen sich von der Thematik erdrückt: Sie möchten ihre Daten schützen, stehen dann aber vor enormen Herausforderungen, beispielsweise das Dokumentieren oder die Tatsache, dass der eine oder andere IT Prozess plötzlich angefasst und verändert werden muss. Das sich ausbreitende Chaos in den Unternehmen wird nur durch die schlechten Erfahrungen mit dem Datenschutz im privatem Bereich getoppt, weil Schulen, Vereine und andere Organisationen plötzlich zig Unterschriften fordern, um die Daten nach Gesetz bearbeiten zu können. Die Eingangsfrage nimmt also nicht wunder. Zusätzlich sollte das jüngste Beispiel des Diebstahls von 500 Millionen Datensätzen von der Hotelkette Marriott die Probleme mit der Anwendung der DSGVO wieder in den Mittelpunkt des Interesses rücken.

Vorneweg: Jedes neue Gesetz bedarf einer Phase der Anpassung, und in dieser befindet sich die europäische Datenschutzgrundverordnung gerade. Verschärft wird die Situation zusätzlich dadurch, dass die EU das „Recht auf eigene Daten“ als Menschenrecht versteht – also gibt es keine Kompromisse. Deshalb muss der Gesetzgeber umso mehr durch Veröffentlichungen und Richtlinien erklären, was er sich vorstellt. Die Datenschutzbehörden bieten dementsprechend Beratung an und sind natürlich teilweise massiv überfordert.

Zur Klärung könnten auch Leuchtturmurteile dienen, also solche, die den Willen der Staatsmacht symbolisieren und aufzeigen, worauf es ankommt. Auf diese wartet man aber vergeblich — und das zu Recht. Schon jetzt zeichnet sich ab, dass einfach zu viele und vor allem flächendeckende Anpassungen erforderlich sind, bevor überhaupt von Schuldhaftigkeit gesprochen werden kann.

Und so kommt es, dass immer mehr Bürger die DSGVO für ein sinnloses Unterfangen und ein schlechtes Beispiel für EU-Bürokratie halten. Unternehmen fahren ihre Bemühungen wieder zurück und investieren stattdessen vor allem in Anwälte, die das Schlimmste am Ende abwenden können. Das eigentlich Sinnhafte der DSGVO verschwindet unter dem Staub der gut gemeinten Ideen, und die wirklich Bad Guys, die nämlich, die rücksichtslos, nur auf den eigenen Profit bedacht mit Daten handeln, können ohne Einschränkungen weitermachen. Diesen Cybergangstern das Handwerk zu legen und ihnen die Profitgrundlage zu entziehen, ist und muss das eigentliche Ziel der DSGVO sein!

Doch wie funktioniert dieser Markt? Es sind eben nicht die Schulen oder Handwerksbetriebe um die Ecke, die dem digitalen Dealer Daten einfach schicken oder verkaufen. Nein, der klaut sie sich zusammen, und zwar geht er dafür meist nicht zu den Kleinen, sondern nimmt die Großen ins Visier. Die „Bösen“ verwenden solche gestohlenen Daten als Zutaten für ihren Angriffscocktail, zu dem sie dann noch das passende Gift hinzusetzen. Vor zwei Jahren war dies Ransomware, heute ist es häufig ein bösartiger Kryptowährungs-Miner. Was es morgen wird, weiß noch keiner. Eines aber ist gewiss: Das Geschäft der Cyberkriminellen funktioniert über Masse und dafür braucht man Millionen Adressen. Kann das Opfer dann auch noch mit weiteren personenbezogenen Details wie etwa der Privatadresse, korrekten Ansprache, etc. angegangen werden, so steigert das die Erfolgsquote des Angriffs. Das jüngste Beispiel liefert der Datendiebstahl bei der Hotelkette Marriott. Mutmaßlich 500 Millionen Datensätze ihrer Kunden stahlen Cyberkriminelle über einen Zeitraum von vier Jahren, darunter Email-Adressen und Namen.

Was soll nun die DSGVO bewirken? Sie muss klarstellen, dass Unternehmen für diese Daten eine Sorgfaltspflicht haben. Der Verlust solcher Informationen schädigt letztendlich immer den Verbraucher. Mittlerweile weiß man, 100-prozentigen Schutz für die IT gibt es nicht, aber es muss gewährleistet sein, dass ein Unternehmen seine Daten als wertvolles Gut behandelt und mit größtmöglicher Gewissenhaftigkeit versucht, Schaden davon abzuwenden. Sollte trotz aller Bemühungen ein Verlust personenbezogener Daten nicht verhindert werden können, müssen die betroffenen Personen informiert werden.

Hierfür gibt es in der DSGVO klare Regeln. Unternehmen müssen diese Daten nach „Stand der Technik“ schützen und bei Verlust die Betroffenen innerhalb von 72 Stunden nach Entdeckung informieren. Als Höchststrafe bei Zuwiderhandlung sind die berühmten 4% vom weltweiten jährlichen Konzernumsatz ausgewiesen. Sicherlich hilft eine Strafe nicht, den Schaden wieder gut zu machen aber sie wäre ein Signal an alle Unternehmen, dass das „Verlieren“ Millionen personenbezogener Daten kein Kavaliersdelikt ist.

Erstaunlich ist, dass sich bislang weder EU noch Datenschutzbehörden zum aktuellen Fall des Datendiebstahls bei Marriott geäußert haben. In einem Fall wie diesem, in dem Hacker wohl vier Jahre lang Zugriff auf personenbezogene Daten hatten, muss jeder Security-Spezialist auf einer neutralen Untersuchung bestehen. Sollte das Unternehmen alles zum Schutz dieser Daten getan haben und ein Hacker dennoch in der Lage gewesen sein, diese zu stehlen, ist das eine Gefahr für jedes Unternehmen sowie Regierungen und einschließlich kritischer Infrastrukturen. Der weitaus wahrscheinlichere Fall ist, dass dieses Unternehmen im Bereich IT-Sicherheit eben nicht sein Möglichstes getan hat, dass Millionen Verbraucher deshalb Cyberangriffen ausgesetzt sind, weil sich das Unternehmen ein paar Euro gespart hat. Es muss allen bewusst sein, dass solche Vorfälle nicht mit einer „Bitte um Entschuldigung“, einem kurzfristigem Aktieneinbruch und dem kompletten Vergessen nach zwölf Monaten erledigt sein dürfen. Funktioniert das nämlich auf diese Weise, so wird es weiterhin zu solchen Datenverlusten kommen. Sollte eine neutrale Untersuchung aber herausfinden, dass die Hotelkette sich nach „Stand der Technik“ verhalten hatte, wäre es für das Unternehmen eine Möglichkeit, seinen guten Ruf wiederherzustellen. Aber auch von dieser Seite gibt es keinen Wunsch dies zu tun, vermutlich, weil das Unternehmen davon ausgeht, dass in sechs Monaten ohnehin keiner mehr an den Vorfall denkt und sich der Aktienkurs wieder stabilisiert.

Und damit sind wir wieder bei der Eingangsfrage — Wozu gibt es die DSGVO eigentlich? Die Fälle, in denen sie aktiv tatsächlich zum Schutz der Bürger beigetragen hat, sind bislang kaum zu sehen. Die Kosten, insbesondere für die Unternehmen, die sich an das Gesetz halten wollen, dafür aber schon.

Wenn die EU solche globalen Fälle weiterhin ignorieren will, wird es vermutlich darauf hinauslaufen, dass das Gesetz zu einem Standortnachteil für Europa wird — das heißt, wenn Konzerne es nicht sowieso einfach ignorieren. Im Grunde wäre das schade.

Denn das Thema – gerade Datenverluste à la Marriott – wird auch in anderen Ländern heftig und mit dem zunehmend lauter werdenden Ruf nach gesetzlichen Regelungen diskutiert. Die DSGVO, richtig angewendet, hätte das Potenzial, zum globalen Standard zu werden. Und wenn wir schon davon sprechen… alle Menschenrechte sollten globaler Standard sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.