DSGVO: Es führt kein Weg dran vorbei

von Richard Werner, Business Consultant

Das Thema der europäischen Datenschutz-Grundverordnung (DSGVO) scheint derzeit omnipräsent – kein Wunder, denn jeder ist davon betroffen. Noch vor einem Jahr schien sich niemand dafür zu interessieren. Dann kamen die großen Datenskandale wie etwa der bei Equifax oder von Facebook bzw. Cambridge Analytica, und schlagartig rückte das Thema Datenschutz in den Vordergrund. Was hat sich konkret geändert, und wie steht es in Unternehmen um die Compliance zur am 25.05. in Kraft tretenden europäischen Verordnung?

Ursprünglich hatte die DSGVO einen ziemlich schlechten Ruf. Die Brüsseler Bürokratie habe zugeschlagen und ein neues Gesetz auf den Weg gebracht, hieß es, welches insbesondere durch drohenden enorm hohen Strafen auffiel. Einen ähnlich strengen Datenschutz gibt es in Deutschland schon lange, doch waren die Strafen regional begrenzt und im Regelfall sehr moderat. Die Neuerung wurde deshalb als bürokratische Keule missverstanden, die nun von irgendwelchen Politikern über der Gemeinschaft der Industrie geschwungen wird – und die wenigsten verstanden, warum. Schließlich geben viele Konsumenten jede Menge persönlicher Daten preis, ohne die Konsequenzen daraus zu bedenken. Datenschutz, das interessiere doch nur die „Alten“ aber nicht mehr die „Jungen“. Was innerhalb der EU noch moderat diskutiert wurde, entwickelte sich außerhalb zum echten Politikum. In der Schweiz wurde ich einmal gefragt, wieso die EU glaube, Schweizer Unternehmen irgendetwas vorschreiben zu können.

Änderung der Betrachtungsweise

Dann allerdings gab es 2017 und auch 2018 eklatante Datenskandale — seltener bei rein europäischen, sondern vor allem bei internationalen Firmen. Hier sei an Equifax, Uber und Facebook bzw. Cambridge Analytica erinnert. In allen diesen Fällen gab es durch unsaubere Vorgehensweise massive Datenverluste zum Nachteil der betroffenen Konsumenten. Jedesmal wurde darauf hingewiesen, dass die EU wegen genau solcher Vorfälle die DSGVO beschlossen hatte, nämlich als gewisse Handhabe gegen möglicherweise fahrlässigen Umgang mit Daten.

Diese Vorfälle und die Diskussion darüber – gerade auch außerhalb der EU — trugen ihren Teil dazu bei, dass viele Analysten und Experten begannen, die DSGVO positiver zu beurteilen. Es ging nun auf einmal um den Schutz des Bürgers. Mehr und mehr wird jetzt der Begriff Menschenrecht mit dem Eigentum der Daten in Verbindung gesetzt. So erklärte beispielsweise Tim Cook, CEO bei Apple, Ende März dieses Jahres: „Privacy to us is a human right, a civil liberty“. Zudem sei das Unternehmen DSGVO-konform und mache darüber hinaus die Regelungen nicht nur für EU-Bürger geltend, sondern für alle seiner Kunden. Für ein Menschenrecht lediglich konsequent!

Status der Industrie

Nicht nur Apple hat die Verordnung auf der Agenda, mittlerweile stellen sich immer mehr Unternehmen die Frage, ob und wie der eigene Umgang mit den Daten DSGVO-compliant ist. Die hohen Strafsummen, aber vor allem die Tatsache, dass keine Unternehmung aufgrund ihrer Größe oder Ausrichtung von der DSGVO ausgenommen ist, sorgten zeitweise für Panikstimmung. Deutsche Firmen, die sich schon immer penibel an den Wortlaut des Datenschutzgesetzes gehalten haben, hatten dabei häufig weniger Probleme. Doch gerade in der IT sind viele Programme leder nicht in Deutschland entwickelt worden und bieten deshalb jede Menge Möglichkeiten, Datenmissbrauch zu betreiben. In nicht wenigen Fällen wurden auch Daten eingesammelt für den Fall, dass sie künftig doch noch benötigt würden. Dies führte dazu, dass viele Unternehmen sich doch genötigt sahen, das Thema ernsthaft anzugehen, alle eigenen Prozesse zu überprüfen und auf die DSGVO abzustimmen.

Die meisten Organisationen haben diese Arbeit zwar schon vor geraumer Zeit begonnen, doch die wenigsten sind fertig damit. Tatsächlich steht ein Großteil noch immer vor einer großen Herausforderung, denn Prozesse rund um das Datenmanagement speziell von personenbezogenen Daten gestalten sich oft sehr komplex und betreffen viele Bereiche einer Organisation. Aktuelle Umfragen zeigen, so etwa die von Heise Online, dass weniger als 10% der Firmen sich als zur DSGVO „compliant“ bezeichnen. Das Gros der Befragten (ca. 60%) gibt an, sich „auf dem Weg dorthin“ zu befinden aber noch etwas bis viel Zeit zu benötigen. Die übrigen Unternehmen sind dagegen nach eigener Aussage immer noch dabei, sich den kompletten Umfang der DSGVO zu erschließen.

Was passiert ab dem 25. Mai?

Werden Unternehmen, die nicht DSGVO-compliant sind, hohe Strafen zahlen? Nun, davon ist nicht auszugehen. Allerdings wird vermutlich die Anzahl der gemeldeten und auch angezeigten Datenschutzverstöße ansteigen. Die allermeisten dieser Verstöße werden dabei vom „Täter“ nicht beabsichtigt sein, sondern passieren, sei es, weil Prozesse übersehen wurden oder weil sie schlicht noch nicht soweit sind. In solchen Fällen ist es wahrscheinlich, dass Urteile nicht mit äußerster Härte erfolgen. Man kann davon ausgehen, dass den Betroffenen Gelegenheit zur Nachbesserung gegeben wird.

Schwieriger wird es, wenn dem „Täter“ ein Vorsatz nachzuweisen ist – beispielsweise, wenn bewusst Daten ohne Zustimmung des Eigentümers verkauft oder anders eingesetzt werden als abgesprochen. Oder wenn Unternehmen mit Daten „fahrlässig“ umgehen — also beispielsweise den Diebstahl von Datensätzen nicht innerhalb von 72 Stunden (nach Bekanntwerden) bei den entsprechenden Behörden für Datenschutz anzeigen. Natürlich ist auch absehbar, dass sich das Strafmaß erhöhen wird, je länger die DSGVO aktiv ist. Gleiches gilt natürlich auch für Wiederholungstäter. EU-Offizielle sprechen hierbei allerdings davon, dass „kleine“ Datenschutzverstöße nicht bzw. nicht schwer geahndet werden. Wie sie im Falle „großer“ Datenschutzverletzungen wie etwa denen bei Uber oder Facebook/Cambridge Analytica verfahren, wird abzuwarten sein.

Was ist zu beachten?

Werden Datenschutzverstöße geahndet, so kommt es bei der Beurteilung in erster Linie darauf an, welche Maßnahmen zur Minderung der Eintrittswahrscheinlichkeit dieser Verstöße sowie der Abschwächung deren Auswirkungen unternommen wurden. Das ist auch das A und O jeglicher Compliance-Vorschriften — nämlich „Dokumentieren der Prozesse zum Datenschutz“. Unternehmen sollten vor allem auch schriftlich festhalten, welche Technologien verwendet werden und wie sichergestellt wird, dass diese im Sinne des Datenschutzes vernünftig verwaltet werden. Dokumentieren Sie auch, wie die Prozesse gestaltet sind, um IT-Technologie wirkungsvoll einzusetzen. Dies gilt insbesondere für Technologien, die gegen Datendiebstahl durch Dritte im Einsatz sind.

Stand der Technik

Der Gesetzgeber hat für die Anforderungen eine äußerst lapidare Formulierung in die DSGVO genommen: Sicherheit nach „Stand der Technik“. Die fehlende Präzisierung der Aussage ist Segen und Fluch zugleich: Aus der Sicht der IT-Security ist sie ein Segen. Nichts wirkt sich schlechter auf die Sicherheit von Unternehmen und deren Daten aus als eine genaue Vorschrift, wie diese 2018 zu schützen seien. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärt dazu: „Aufgrund der kürzer werdenden Entwicklungszyklen müssen auch bewährte Sicherheitsmechanismen stetig angepasst oder sogar neu konzipiert werden. Eine statische Lösung kann auf lange Sicht kein angemessenes Sicherheitsniveau gewährleisten.“Gäbe es eine präzise Aussage zu den Anforderungen, hätte sich der Wirkungsgrad der Maßnahmen innerhalb eines Jahres halbiert. Die Angaben wären sozusagen eine Blaupause für Datenräuber, wie die Datentresore geschützt sind, und was man braucht, um sie zu knacken.

Aus Sicht der Unternehmen dagegen ist die Aussage ein Fluch, denn „Stand der Technik“ bedeutet eine ständige Überprüfung der jeweils eingesetzten Lösungen, um gegebenenfalls Aktualisierungen vorzunehmen, Daten auszuwerten und so auch erfolgreich durchgedrungene Angriffe schnellstmöglich zu erkennen und zu entfernen. Sie bedeutet, dass IT-Sicherheit zu einem strategischen Teil des IT-Auftritts wird.

Natürlich sind Datenschutzverstöße zu vermeiden. Doch die wirklichen Probleme entstehen praktisch ausschließlich durch Datendiebstahl, weil die Daten der Verbraucher als Teil riesiger Datenbanken zu unlauteren Zwecken wie für Spam oder Ransomware missbraucht werden. Und hier liegt die eigentliche Herausforderung der DSGVO. Denn Datendiebstahl von personenbezogenen Daten galt in vielen Unternehmen lange nicht als Problem. Schließlich waren die Daten in aller Regel anschließend noch da und konnten verwendet werden. Dies ist übrigens ein fundamentaler Unterschied zu der Gefahr durch Ransomware. Die Erpressersoftware verschlüsselt häufig Dateien, die auch personenbezogene Daten enthalten, etwa Bilder, Briefe, Datenbanken, etc. Diese aber waren nach erfolgreichem Ransomware-Angriff für ein Unternehmen nicht mehr verfügbar. Für den Diebstahl von „nicht kritischen“ sprich persönlichen Daten waren viele Unternehmen zum Teil bewusst blind.

Das funktioniert künftig nicht mehr. Und die Herausforderung bei einem solchen Vorfall wird darin bestehen, dass das betroffene Unternehmen sein „Möglichstes“ getan haben muss, um einen Datendiebstahl zu verhindern. Um das zu leisten, ist in erster Linie eine IT-Sicherheitsstrategie und deren Dokumentation inklusive Notfallplan erforderlich. Dabei empfiehlt es sich, für die IT Security wichtige Prozesse wie beispielsweise das Patch-Management zu automatisieren. Auch kommt es immer wieder vor, dass ein Patch aus diversen Gründen nicht installiert werden kann. Hier bieten sich ebenfalls technische Lösungen an, beispielsweise „virtuelles“ Patchen. IT-Sicherheitsmitarbeiter sind in der Regel zu wertvoll, als dass sie für Aufgaben eingesetzt werden sollten, die heutzutage automatisiert erfolgen können. Aufgabe der IT-Security wird es künftig sein, den Überblick zu behalten und strategisch gegen Angreifer vorzugehen und nur noch da Hand anzulegen, wo Automatismen nicht die entscheidenden Antworten finden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .