Die DSGVO kommt. Sind Sie vorbereitet?

EU-Datenschutz-Grundverordnung und die Folgen für Security-Konzepte

Stichtag ist der 25. Mai 2018

Bereits 2016 trat die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. In 99 Artikeln hat die Europäische Union die Verarbeitung von personenbezogenen Daten durch Unternehmen und öffentliche Stellen für alle Mitgliedsstaaten der EU vereinheitlicht. Nach einer zweijährigen Übergangszeit, die am 25. Mai 2018 endet, gilt das europäische Datenschutzrecht verpflichtend. Damit löst es hierzulande den Großteil des Deutschen Datenschutzrechts ab.

Bedeutung des Datenschutzes wächst

Die DSGVO kommt und bringt eine Reihe geänderter oder neuer Datenschutzanforderungen mit sich. Die veränderten Regeln im Umgang mit Daten treffen Unternehmen wie Bürger gleichermaßen: Dort, wo die Verbraucherrechte deutlich gestärkt werden, indem der Bürger wesentlich mehr Kontrolle über die Nutzung seiner persönlichen Daten durch Dritte gewinnt, müssen Unternehmen ihre Datenverarbeitungsprozesse an die neuen Regeln anpassen.

Neue Rechte, wie das Recht auf Vergessenwerden und das Recht auf Datenübertragbarkeit, lassen die Anforderungen an die IT-Sicherheit deutlich steigen. Denn die DSGVO enthält etliche Datenschutzvorschriften, die Unternehmen dazu zwingen, umfassende technische und organisatorische Sicherheitsmaßnahmen zu ergreifen und diese in ihre IT-Sicherheitsstrategie zu integrieren. Obendrein sind Unternehmen künftig in der Nachweispflicht, die getroffenen Schutzmaßnahmen in ihrer Datenverarbeitung nachzuweisen.

DSGVO kommt Einigen der eben genannten Punkte widmen wir uns im heutigen Blogbeitrag, wobei wir die Auswirkungen der DSGVO auf die IT-Sicherheit von Unternehmen im Blick haben werden. Wir zeigen außerdem auf, an welchen Stellen sich Unternehmen schwer tun, beziehungsweise wo Stolpersteine in der Umsetzung der neuen Regeln liegen. Die gesamte EU-Datenschutz-Grundverordnung finden Sie hier sehr übersichtlich aufbereitet.

Vorweg: Stimmungslage in der deutschen Wirtschaft zu IT-Sicherheit und Datenschutz

Die verschärften Vorschriften zum Datenschutz, aber auch die steigende Zahl an Bedrohungen: Deutsche Unternehmen sind sich der Bedeutung von Datenschutz und IT-Sicherheit deutlich bewusst. Wie eine Bitkom-Umfrage Anfang dieses Jahres ergab, halten 67 Prozent aller hierzulande befragten Unternehmen IT-Sicherheit als das wichtigste Hightech-Thema in 2017.

DSGVO kommt NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit) wurde noch konkreter und fragte bei Unternehmern nach, welches IT-Sicherheitsthema für sie denn am wichtigsten sei. Das Ergebnis ist fast einstimmig: 91 Prozent halten den Datenschutz für das wichtigste IT-Sicherheitsthema in diesem Jahr.

Seit der NSA-Affäre rund um das Spähprogramm PRISM ist die deutsche Wirtschaft eben sensibel geworden. Zwar ist die große Masse deutscher Manager – nämlich 93 Prozent – der Meinung, dass es keinen umfassenden Schutz vor Spähattacken gibt. Dennoch haben 71 Prozent ihre Abwehrmaßnahmen verstärkt. Das schlägt sich auch in den Ausgaben für IT-Sicherheit nieder: Neben der Abwehr von Hackerangriffen und dem Schutz vor Industriespionage stellt Datenschutz einen wesentlichen Kostentreiber in den nächsten Jahren dar. So schätzen 48 Prozent der von NIFIS befragten Unternehmen, dass ihre Ausgaben für IT- und Informationssicherheit im laufenden Jahr um ein Drittel höher sein werden als noch 2016. 14 Prozent erwarten einen Anstieg um die Hälfe und acht Prozent gehen sogar von einer Verdopplung ihrer Ausgaben in 2017 aus.

Alte Grundprinzipien des Datenschutzes und neue Instrumente

Aber zurück zur DSGVO: Grundlage des Gesetzes bilden die bisherigen Grundprinzipien des Datenschutzes. Dazu gehören Rechtmäßigkeit, Transparenz, das Verbot von Erlaubnisvorbehalt, Zweckbindung, Datenminimierung bei gleichzeitigem Ausschluss von „Datenerhebung auf Vorrat“ sowie die Wahrung von Integrität und Vertraulichkeit. Zu diesen Grundprinzipien kommen neue Instrumente, die schließlich zur Modernisierung des Datenschutzes beitragen.

Privacy by Design und Privacy by Default

Datensicherheit und Datenschutz müssen nach dem Stand der Technik bei der Entwicklung von Produkten oder Verfahren einbezogen werden. Standardgemäß müssen Geräte oder Onlineplattformen mit datenschutzfreundlichen Voreinstellungen bereitgestellt werden.

Marktortprinzip

Nicht nur Unternehmen innerhalb der EU, auch außereuropäische Unternehmen sind zur Einhaltung des europäischen Datenschutzrechts verpflichtet, wenn sie in Mitgliedsstaaten der EU ihre Dienstleistungen anbieten.

Datenschutz-Folgenabschätzungen

Hier geht um die Bewertung von Risiken durch den Datenschutzbeauftragten des Unternehmens sowie die aus den Risiken resultierenden möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen – vor allem dann, wenn besonders sensible Daten verarbeitet werden. Dieses Instrument kommt zum Beispiel zum Tragen, wenn die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens bewertet werden sollen.

Aufwändige Neuerung: Dokumentationsaufwand steigt

Ohne Dokumentation in der Datenverarbeitung läuft bei der DSGVO nichts. Unternehmen müssen jederzeit Nachweis über ihre Datenverarbeitungsprozesse erbringen. Das heißt, belegen, dass Zweck, Art und Umfang sowie risikomindernde Maßnahmen dokumentiert und die Zulässigkeit geprüft worden sind. Anders ausgedrückt kann man auch sagen, dass Unternehmen künftig nach dem „Belege deine Unschuld“-Prinzip arbeiten müssen. Wer seine Schutzmaßnahmen nicht transparent belegen kann, muss hohe Bußgelder fürchten.

Teure Neuerung: Empfindlich hohe Bußgelder

Unternehmen, die den Datenschutz wissentlich oder unwissentlich vernachlässigen, werden empfindlich getroffen. Denn künftig können betroffene Verbraucher bei Behörden oder Gerichten Beschwerde zu Datenschutzverstößen einreichen und Schadenersatzansprüche geltend machen. Das bedeutet für Unternehmen nichts anderes, als dass jeder Datenschutzfehler extrem teuer werden kann. Die DSGVO sieht hier hohe Geldbußen vor, die „wirksam, verhältnismäßig und abschreckend“ verhängt werden dürfen. Je nach Datenschutzverstoß reden wir hier von Summen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist.

Kein Entkommen wenn die DSGVO kommt: Aufsichtsbehörden prüfen

DSGVO kommt Wer meint, chronischer Personalmangel bei den Aufsichtsbehörden führe dazu, dass Kontrollen eher unwahrscheinlich sind, hat weit gefehlt: Die Aufsichtsbehörden prüfen sehr wohl – und zwar zunehmend mit automatisierten Prüfverfahren. Das Bayerische Landesamtes für Datenschutzaufsicht (BayLDA) zum Beispiel zeigt deutlich, wie vielfältig die Prüfungen sein können. So können die Behörden anlasslos nicht nur vor Ort beim Unternehmen prüfen, sondern auch im Rahmen schriftlicher Verfahren oder online über das Internet: Mailserver, Adobe Analytics und Google Analytics sind sehr gute Informationsquellen.

Unser Rat an dieser Stelle

Wenn nicht schon längst geschehen, dann sehen Sie sich an, wie es um die Sicherheit der Verarbeitung personenbezogener Daten in Ihrem Unternehmen bestellt ist. Unverschlossene Aktenschränke mit Mitarbeiter-, Bewerber- oder Kundendaten im Keller oder Treppenhaus zu lagern gehört ganz sicher nicht dazu.

Herausforderungen über Herausforderungen – und nur Wenige sind vorbereitet

Wer noch nicht damit begonnen hat, Maßnahmen zu ergreifen, um die Forderungen laut DGSVO bis Mai 2018 umzusetzen, sollte sich sputen. Denn künftig sind Unternehmen neben den oben genannten Normen auch in der Pflicht, Daten zu löschen, Datenpannen zu melden und die Belastbarkeit der Systeme zu Dienste zu gewährleisten. Und genau diese Forderungen an die IT-Sicherheit stellen Unternehmen vor eine Reihe von Herausforderungen.

Schwierigkeiten im Datenmanagement

Die größte Herausforderung im Rahmen der DSGVO stellt die Fragmentierung von Daten und der fehlende Einblick in die Daten dar. Gerade im Hinblick auf die Compliance gestaltet sich die zunehmende Nutzung von schwer kontrollierbaren Speicherorten in der Cloud und File-Sharing-Diensten von Kunden als kompliziert und lässt Unternehmen keine Ruhe.

Probleme mit dem Recht auf Vergessenwerden

Ähnlich große Probleme bereiten auch die technischen Voraussetzungen für das Recht auf Vergessenwerden. Das geht aus der Studie „State of European Data Privacy Survey“ des Marktforschungsinstituts Vanson Bourne hervor. So haben bis Dato offenbar nur 28 Prozent der befragten IT-Entscheidungsträger überhaupt realisiert, dass das Recht auf Vergessenwerden Teil der DSGVO ist. Fast alle befragten Unternehmen (90 Prozent) sind zudem der Meinung, dass Anfragen zur Löschung von Kundendaten für ihr Unternehmen eine Herausforderung sein werden. Gleichzeitig sind 81 Prozent davon überzeugt, dass ihre Kunden von ihrem Recht auf Datenlöschung Gebrauch machen werden.

DSGVO kommt Nun erscheint auf den ersten Blick das „Recht auf Löschung“ nach DSGVO eine leichte Aufgabe. Bedenkt man jedoch, wie komplex IT-Infrastrukturen geworden sind, wird schnell klar, dass die nachweisliche Löschung persönlicher Daten eine nicht ganz so leichte Aufgabe darstellt. Freilich ist es einfach, einen Datensatz aus einer simplen Kundendatenbank zu löschen. Damit ist es aber nicht getan, denn vergessen Sie bitte nicht, dass dann dieser Datensatz auch aus den Bändern der Datensicherung, den digitalen Archiven, abgelegten Ausdrucken oder aus den Speichern der mobilen Endgeräte der Vertriebsmitarbeiter gelöscht werden müssen. Ganz zu schweigen von der Leistungsbereitstellung von Diensten durch externe Cloud-Anbieter. Und schon gestaltet sich das Bild wesentlich komplexer.

Schwierigkeiten mit den Meldepflichten bei Datenpannen

Ein weiteres Problemfeld ist ganz offenbar auch die neue Pflicht, Datensicherheitsverletzungen zu melden. Laut IDC-Studie „The State of the Art Paradox“ bereitet 51 Prozent der befragten Unternehmen diese 72-Stunden-Meldepflicht Sorge. Viele der befragten Unternehmen sind nach eigener Einschätzung nicht in der Lage, Datenschutzverletzungen innerhalb von 72 Stunden zu erkennen und zu melden.

Sie sind dran: Prüfen Sie, wo personenbezogene Daten anfallen

DSGVO kommt Wenn die DSGVO kommt, geht die Verantwortung für den sicheren und richtigen Umgang mit personenbezogenen Daten auf die Unternehmen über, die Daten erheben, verarbeiten, speichern und analysieren. Um die ganze Tragweite und die Auswirkungen auf das eigene Unternehmen zu verstehen, sollten Unternehmen rasch und vollständig erfassen, welche personenbezogenen Daten im Unternehmen anfallen beziehungsweise schon vorhanden sind. Fragen Sie sich auch danach, warum diese Daten erhoben werden, wie sie verarbeitet werden und wo sie wie lange gespeichert werden. Welche Sicherheitsmaßnahmen werden dabei für den Schutz der Daten eingesetzt und sind diese angemessen beziehungsweise ausreichend? Entwickeln Sie zügig Richtlinien und Maßnahmen, um auf Datenschutzverletzungen rasch und gezielt reagieren zu können. Verinnerlichen Sie dabei das „Belege deine Unschuld!“-Prinzip. Damit Sie der neuen Rechenschaftspflicht nachkommen, stellen Sie klare und verständliche Richtlinien auf. Diese müssen auch für Laien nachvollziehbar sein. Sie sehen: Es gibt viel zu tun und die Uhr tickt.

Neue DSGVO: Kein Datenschutz nach Pi mal Daumen

LesetippMit dem Beschluss der neuen EU-Datenschutz-Grundverordnung wurde wahrscheinlich die größte Umwälzung im Datenschutzrecht eingeläutet. Sie ist ab Mai 2018 bindend. Was bedeutet das für deutsche und europäische Unternehmen? Rechtsanwältin Dr. Bettina Kähler gibt einen Überblick über die wichtigsten Änderungen und die wesentlichen Maßnahmen, die Ihr Unternehmen dringend einleiten sollte.

geschrieben von: Robert Becker

Robert Becker

Robert Becker ist bei GBS als Product Manager Security & Collaboration tätig. Hier verantwortet er die Verbindung der Produktwelten und ist gleichzeitig Schnittstelle zwischen Produktmanagement, Sales und Marketing.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.