GDPR – Lippenbekenntnis oder ernst zu nehmender Schutz?

Kommentar von Richard Werner, Business Consultant

Zum Thema Datenschutzgrundverordnung (DSGVO) oder „General Data Protection Regulation“ (GDPR) stellt sich immer wieder die Frage, ob mit der Verordnung überhaupt ein wirksames Instrument geschaffen wurde, um datenrechtliche Verstöße zu ahnden. Zweifel an der Wirksamkeit sind tatsächlich nicht aus der Luft gegriffen. Das deutsche Datenschutzgesetz entstammt den 70er Jahren, daher existiert gerade hierzulande eine gewisse Erfahrung damit.

Gab es Datenschutzverstöße? Selbstverständlich. Allerdings verliefen diese für die Betroffenen in der Regel glimpflich – das heißt für die Firma, die diese Verstöße begangen hatte. In nur wenigen Fällen musste ein Unternehmen  Strafen zahlen und wenn doch, ging es dabei selten um nennenswerte Summen. Innerhalb Deutschlands gibt es zudem länderspezifisch unterschiedliche Auslegungen des Gesetzes. Jenseits der Grenzen ist die Lage noch undurchsichtiger. Viele bezweifeln zudem, dass das Problem in Deutschland überhaupt sehr ernst zu nehmen sei, denn schließlich wird hier nur sehr wenig über Verstöße berichtet – der Aufschrei der Medien bei derartigen Verstößen in den USA ist ungleich lauter.

Deshalb sei hier die jüngste Datenpanne erwähnt, aufgedeckt nach eigenen Angaben von der Wochenzeitschrift „Die Zeit“: Eine Datenbank mit 200.000 Umzugsmitteilungen der Post lag ungeschützt im Netz. Der Datenpanne lag menschliches Fehlverhalten zugrunde, welches letztlich zu einer Gefährdung der Daten führte — eine Problembeschreibung, wie sie praktisch auf alle IT Datenverluste zutrifft. Hier wurde ein Backup der Kundendatenbank mit Standardnamen auf einem Webserver abgelegt. So etwas sollte zwar nicht passieren, liegt aber definitiv im Bereich menschlicher Fehler. In diesem Fall waren die Opfer Nutzer verschiedener Onlineseiten u.a. von Umziehen.de der Deutschen Post, Revell oder IT-Market. Schließlich waren personenbezogene Daten über einen langen Zeitraum gegen einen potenziellen Missbrauch durch Dritte nicht geschützt.

Natürlich hat die Post sich richtig verhalten und das Leck geschlossen sowie die Betroffenen informiert. Auch die zweite Firma (Revell) versprach ihre Opfer zu informieren. Beide aber hatten verständlicherweise kein Interesse daran, den Vorfall an die große Glocke zu hängen. Doch ist es wichtig, dass die Öffentlichkeit von diesem Problem erfährt, da es sich um einen Fehler handelt, den auch andere Firmen machten könnten? In vorliegendem Fall erfuhren nur diejenigen etwas davon, die die richtigen Quellen lesen oder die eines von einigen Hunderttausenden der informierten Opfer waren. Auch wenn die Firma damit der Informationspflicht entsprochen hat, trägt dies leider nicht dazu bei, das Problem Datenverlust als solches in die öffentliche Aufmerksamkeit zu bringen.

Information der Betroffenen ungenügend

Noch interessanter wird es aber bei den anderen Firmen, die „Die Zeit“ in diesem Kontext  betrachtet. So gibt „IT-Market“ beispielsweise an, dass außer dem Reporter keiner die Datei herunter geladen habe und deshalb eine Information der betroffenen Kunden nicht notwendig sei. Nun, vom technischen Standpunkt her ist die Aussage, es sei nur einmal vorgekommen, bei guter Pflege der Daten realistisch. Anders herum lässt sich sagen, dass   Dump.sql bereits mindestens einmal heruntergeladen worden ist und zumindest temporär bei der „Zeit“ lag. Wie stellt nun IT-Market eigentlich sicher, dass diese Daten dort nicht gestohlen werden? Gerade wenn es nichts zu befürchten gibt, dürfte doch eine schriftliche Erklärung an die Kunden kein Problem sein. Frei nach Innenminister de Maiziere: „ein Teil dieser Antwort würde die Betroffenen verunsichern“, werden die Opfer bewusst darüber im Unklaren gelassen, was mit ihren Daten eigentlich passiert.

Auch eine weitere Umgangsform mit Datenverlusten spricht der „Zeit“-Artikel an — die Vogel Strauss-Taktik. Nach dem Motto: „Was ich nicht weiß, macht mich nicht heiß!“, lässt sich Unbequemes einfach ignorieren. Es verwundert leider überhaupt nicht, dass dieses Verhalten bei einer amerikanischen Firma beobachtet wurde. Einen Datenschutzbeauftragten gibt es dort in der Regel nicht. Insofern kann es durchaus sein, dass die Nachricht nicht einmal den richtigen Adressaten erreicht hat. Allerdings gibt es auch hier genügend Firmen, die Hinweisen von Datenverlusten nur nachgehen, wenn ein gewisser Druck von außen erfolgt.

Dies alles zeigt letztlich, dass das Problem Datenverlust nach wie vor vielfach nur theoretisch betrachtet wird („Ist ja nicht so schlimm“, „Man hört ja nichts aus Deutschland“ etc.). Tatsächlich ist das Thema allgegenwärtig. Und Schweigen hilft letztlich nur den Tätern, nicht den Opfern. Die aber sind ohnehin bereits im Nachteil. Anders als bei Straßenkriminalität ist es den Opfern oft gar nicht bewusst, was sie verloren haben. Alles ist doch noch da, und die betroffene Firma sagt doch, es gebe nichts zu befürchten. Darüber hinaus fehlt eine Täter/Opfer-Beziehung. Der Täter muss seinem Opfer nicht in die Augen sehen, wenn er ihm Geld oder die Identität stiehlt. In den meisten Fällen sind dies nichts weiter als leblose Zahlen. Eine der wichtigsten Hemmschwellen menschlicher Interaktion fällt damit weg. Deshalb überrascht das geradezu skrupellose Vorgehen der Täter auch nicht. Menschliche Identitäten werden genauso behandelt wie einst Sklaven im antiken Rom.

Fazit

Wenn nun im Mai 2018 die Datenschutzgrundverordnung in Kraft tritt, wird die Frage entscheidend sein, wie ernst es Europa mit dem Schutz seiner Bürger wirklich meint. Ein Fehler der beschriebenen Art ist immer möglich. Auch optimieren Angreifer ihre Techniken, um Individuen zu Fehlern zu verleiten. Allerdings verlangt die GDPR von Firmen, ihr Möglichstes zu tun, um Datenmissbrauch zu verhindern. Hierzu gehören Mechanismen, die eine Erkennung möglicher Probleme umfassen, sowie eine wirksame Informationspolitik. Einen Datenverlust zu ignorieren oder klein zu reden, kann dann im Zweifel teuer werden.

Diese Frage ist dabei weit mehr als nur eine juristische Thematik. Letztendlich sind die Opfer nicht die Firmen, die der Staat drangsaliert. Opfer sind die normalen Nutzer, deren Daten verloren gehen. Und es ist traurig, dass erst die Androhung höherer Strafen, Unternehmen zum Umdenken zwingt. Andererseits wurde IT-Security lange Zeit nur als Erfüllung gesetzlicher bzw. branchenspezifischer Vorgaben gesehen, und um diesen weiter zu entsprechen, ist es gut, dass sie aktualisiert werden.

Die GDPR vereinheitlicht europäische Datenschutzregelungen. Unternehmen müssen davon ausgehen, dass solche Fälle künftig nicht mehr nur regional angegangen werden, wo sie mitunter auch mal aus politischen Gründen von einer gnädigen Betrachtung ausgehen konnten. Künftig dürften Schlamperei bzw. Ignoranz kein Wettbewerbsvorteil mehr seien. Für die eine oder andere Firma auch in Deutschland wird es in diesem Fall aber ein unangenehmes Erwachen geben. Denn gerade in den ersten Wochen und Monaten nach Inkrafttreten der Verordnung wird es sich entscheiden, ob dies alles nur ein Strohfeuer ist oder ein ernst gemeinter Versuch, die Bürger zu schützen.

Letztlich ist es auch eine Frage der Wettbewerbsfähigkeit. Firmen, die Datenschutz ernst nehmen, sollten keine wirtschaftlichen Nachteile gegenüber solchen haben, die das nicht tun. Das kann die EU — anders als Deutschland allein —  tatsächlich durchsetzen. Als Bürger der EU ist es deshalb wünschenswert, dass die Politik dieses Instrument ein- und durchsetzt. Auch wenn es für so manches Unternehmen erst einmal mit viel Aufwand verbunden ist, wird es sich auf lange Sicht für alle auszahlen.

Mehr Informationen sowie ein Whitepaper mit dem „Umsetzungsfahrplan der DSGVO“ finden Sie hier:

http://www.trendmicro.de/grossunternehmen/gdpr.html

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*