Bereinigung verschiedener lokaler Datenschutzverordnungen Darauf müssen sich Unternehmen einstellen
9. Juli 2017
Mit der Einführung der DSGVO wird die Komplexität verschiedener lokaler Datenschutzverordnungen in Europa bereinigt. Der europäische Datenschutz bereitet sich auf ein neues Zeitalter vor, das von Cloud, Mobile, Social Media, Big Data und einem verstärkten Austausch über Ländergrenzen hinweg bestimmt wird. Die DSGVO betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dabei erstreckt sie sich auch auf Firmen, die Daten von EU-Bürgern verarbeiten, ohne dabei eine physische Präsenz in der EU zu haben.
Vorbereitungsgrad
Seit Mitte der 90er Jahre basierte die Gesetzgebung, welche die Informationen des Einzelnen in der Europäischen Union (EU) schützt, zum Großteil auf der EU-Datenschutzrichtlinie, die die Mindeststandards zum Datenschutz in Europa festlegt. Alle EU-Staaten mussten diese Richtlinie in einem zweiten Schritt in eigene Landesgesetze zum Datenschutz umsetzen.
In Deutschland war dies die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Im Mai 2018 tritt nun die neue EU-Gesetzgebung in Form der DSGVO in Kraft. Sie gilt unmittelbar in allen EU-Mitgliedsstaaten und vereinheitlicht die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen.
Die Zahlen sprechen für sich: Eine Umfrage des Analystenhauses IDC unter 700 Unternehmen unterschiedlicher Größen hat ergeben, dass sich nahezu 80 Prozent aller IT-Entscheider kaum über die Auswirkungen der DSGVO im Klaren sind bzw. davon noch nie etwas gehört haben. Von den 20 Prozent der Befragten, die über die DSGVO informiert sind, erfüllen wiederrum lediglich 20 Prozent die neuen Anforderungen. 59 Prozent gaben an, gerade mit der Umsetzung begonnen zu haben, und 21 Prozent gaben zu, zwar davon zu wissen, aber noch gar nicht darauf vorbereitet zu sein.
Ein schwerer Fehler, denn Tatsache ist: im Gegensatz zu vorherigen Bestimmungen müssen Organisationen nun wesentlich höhere Strafe zahlen, wenn sie nicht entsprechend reagieren. Durch die unmittelbare und übergreifende Geltung der Verordnung gibt es zudem keine nationalen Abschwächungen oder Schlupflöcher mehr. Ab Mai 2018 werden die jeweiligen Staatsregierungen also die Verordnung rasch und rigoros durchsetzen, sodass Unternehmen, die jetzt nicht handeln, schnell von ihren Versäumnissen eingeholt werden können.
Negative Folgen
Wer also glaubt, die Vorgaben der DSGVO nicht erfüllen zu müssen und keine Auswirkungen auf sein Unternehmen befürchtet, der irrt:
Erstens die Kosten für den Schaden an Marke und Reputation: Gerade in Deutschland kann der Ruf, nicht mit der nötigen Sorgfalt auf die Daten seiner Kunden zu achten, eine Marke sehr schnell zerstören.
Zweitens die Kosten durch das verhängte Bußgeld: Verstöße gegen die DSVGO treffen Unternehmen jeder Größenordnung empfindlich: Sie schlagen mit bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro zu Buche, je nachdem, welcher Betrag höher liegt. Die Bußgelder werden erhoben, wenn Unternehmen die Richtlinien nicht einhalten – selbst wenn kein konkreter Sicherheitsvorfall vorliegt.
Um die oben aufgeführten Risiken zu vermeiden, müssen Unternehmen sich an einige strikte Vorgaben halten. Im Zuge der DSGVO werden nicht nur die Rechte des Einzelnen zur Kontrolle über seine Daten gestärkt, sondern insbesondere auch die Datenübertragbarkeit. Alle Organisationen, die persönliche Daten bearbeiten, müssen gewährleisten, dass sie ausreichend gegen Verlust, Diebstahl, unberechtigten Zugriff etc. geschützt sind. Haben Angreifer trotz der Schutzmaßnahmen Erfolg und es kommt zum Datenverlust, müssen diese Datenlecks innerhalb von 72 Stunden gemeldet werden.
Die schnelle Erkennung einer Verletzung der DSGVO ist daher eine zentrale Herausforderung. Pläne für Datenschutzverletzungsszenarien müssen erstellt und ein strukturierter Vorgang für die technische Behebung sowie für den Umgang mit Aufsichtsbehörden, Kunden und Medien eingesetzt werden. Firmen, die personenbezogene Daten regelmäßig und umfangreich verarbeiten, müssen einen Datenschutzbeauftragten benennen.
Darüber hinaus ist in der DSGVO der Datenschutz „By Design and by Default“, also durch Technik und durch datenschutzfreundliche Voreinstellungen, verankert. Das bedeutet erstens, dass bereits bei der Gestaltung einer neuen Lösung der Datenschutz eine zentrale Rolle spielen sollte. Organisationen müssen sie von Beginn an im Einklang mit den Vorgaben der DSGVO entwickeln und auch in der Lage sein, dies nachzuweisen. Des Weiteren müssen sie Auswahlmöglichkeiten bieten, wie viel persönliche Daten der Anwender preisgeben möchte.
Artikel 32 der DSGVO verpflichtet unter Bußgeldandrohung jeden Verantwortlichen eines IT-Systems, dafür zu sorgen, dass er die Beherrschbarkeit seiner IT-Systeme durch Vorhaltung angemessener technischer- und organisatorischer Maßnahmen sicherstellt. Die verantwortliche Stelle muss bei einem physischen oder technischen Zwischenfall die Verfügbarkeit und die Wiederherstellung personenbezogener Daten gewährleisten.
Erfolgskritisch
Der Schutz von sensiblen Personendaten ist und bleibt essentiell für den Erfolg einer jeden Organisation. Dennoch wird Datensicherheit, und insbesondere Verschlüsselung, von den Verantwortlichen oft immer noch stiefmütterlich behandelt, da es zu komplex und teuer erscheint. Doch die DSGVO zwingt Unternehmen jeglicher Größe dazu, den Wert ihrer Daten zu erkennen und zu deren Schutz eine adäquat strikte Gesetzgebung zu erfüllen. Andernfalls drohen empfindliche Strafen und der Vertrauensverlust am Markt.
Jetzt, da die finale Fassung der DSGVO vorliegt, besteht der nächste Schritt für alle Organisationen darin, herauszufinden, in welcher Form sie von der neuen Gesetzgebung betroffen sind. Ob sie wollen oder nicht, den Weg zur Erfüllung der DSGVO müssen alle mitgehen, egal, wie lange und beschwerlich er auch erscheinen mag.
Michael Scheffler
ist Vice President Central Europe bei A10 Networks.
