DSGVO, Data Act und Privacy Shield 2.0 werfen ihre Schatten voraus:Jahr der Rekorde bei DSGVO-Bußgeldern zu erwarten

22. April 2022

Die EU-Kommission hat die Regeln für die Datenwirtschaft weiter modernisiert. Die Rekord-Bußgelder bei der Datenschutz-Grundverordnung (DSGVO) aus den vergangenen zehn Monaten legen offen, dass Firmen bereits überfordert sind, bestehende Regeln einzuhalten. Und die Aufgabe wird schwerer, da neue Vorgaben hinzukommen und die Menge der Daten wächst. Es ist Zeit, dass Firmen ihr Datenmanagement grundsätzlich überdenken, um endlich die Kontrolle zurückzugewinnen und Compliance-Risiken einzudämmen.

Etwa 1,6 Milliarden Euro, auf diese Zahl summieren sich alle Bußgelder, die seit der Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) am 25. Mai 2018 gegen Firmen verhängt wurden. Organisationen aus der ganzen Welt wurden für Verstoße geahndet. Allein in den vergangenen 12 Monaten haben europäische Datenschutzbehörden schwere Strafen gegen fünf prominente amerikanische Unternehmen aus dem Technologiebereich verhängt. Diese fünf Fälle stehen für Geldstrafen in Höhe von mehr als 1,2 Milliarden Euro.

Auch die Zahl der gemeldeten Verstöße ist im gleichen Zeitraum von 639 auf 1037 schneller denn je gestiegen. Wenn die Verordnung am 25. Mai ihren vierten Jahrestag feiert, wird 2021 Rekorde bei den Bußgeldern aufstellen. Wer wegen der Pandemie eine laschere Auslegung der Richtlinien erhofft hatte, wird überrascht sein.

Während dieser Zeit haben sich andere starke Trends herausgebildet. Die rasante Digitalisierung, die Pandemie und Remote-Working als schnelle und kluge Antwort darauf haben mehr Daten an immer mehr Orten entstehen lassen. Firmen kommen offensichtlich nicht mehr hinterher, diese Explosion an Daten und Datensilos in den Griff zu kriegen, zumal sich die Rahmenbedingungen erneut stark ändern.

Im März 2022 haben Ursula von der Leyen, Präsidentin der EU-Kommission, sowie Joe Biden gemeinsam angekündigt, eine neue Regelung für den transatlantischen Datenverkehr zu verabschieden. Wann dieses Trans-Atlantische Data Privacy Framework, auch „Privacy Shield 2.0 Abkommen“ genannt, als neue Rechtsgrundlage in Kraft tritt, blieb noch offen. Zudem wird der Europäische Gerichtshof noch zu entscheiden haben, ob dieser dritte Anlauf eines rechtskräftigen Datentransfer-Abkommens zwischen der EU und den USA zustande kommen wird.

Aber diese Regel wird sich darauf auswirken, wie Firmen mit internationalem Geschäft mit ihren Daten handhaben, wie sie personenbezogene Daten verarbeiten, transferieren, speichern und archivieren. Und just einen Monat vorher hat die EU-Kommission mit dem „EU Data Act“ neue Ansätze vorgestellt, um den Datenmarkt in Europa zu regulieren.

Blick auf die Daten verzerrt

Viele Firmen haben ihre Daten auf viele Speicherorte verteilt. Und wie die Zahl der Verstöße zeigt, fällt es ihnen zunehmend schwer, dieses Archipel aus proprietären isolierten Dateninseln zu verwalten. IT-Teams müssen viel Zeit und Ressourcen einsetzen, um Fragen der Governance, Archivierung und Compliance zu regeln. Das Zerrbild verursacht dabei eine Reihe eklatanter Probleme, die mit der Datenmenge und der Zahl der Regularien mitwachsen. So ist kaum ersichtlich, ob Daten redundant vorhanden, kritische personenbezogene Daten an riskanten Speicherorten abgelegt oder im Backup-Plan übersehen worden sind.

Ein Unternehmen kann diese Inseln mit Prozessen und Einzeltools in den Griff zu bekommen, muss allerdings mit hohen Infrastruktur- und Betriebskosten, mangelnder Integration zwischen den Produkten und einer immer komplexeren Architektur rechnen. Und es ist fraglich, ob in solch einer fragmentierten Umgebung alle Daten vor Ransomware geschützt und wichtige Aufgaben wie eine schnelle Wiederherstellung in der nötigen Zeit und Qualität überhaupt umsetzbar sind, um den Betrieb am Laufen zu halten.

Wolfgang Huber, Regional Director DACH bei Cohesity, empfiehlt Unternehmen daher, sich vom Archipel zu lösen und nach einem Ansatz der nächsten Generation für das Datenmanagement zu suchen. Auf dieser Grundlage können Firmen die Datensilos aufbrechen und zusammenführen und komplexe Architekturen radikal vereinfachen. Alle darin gespeicherten Daten lassen sich viel strenger nach Compliance-Vorgaben verwalten und stärker vor Ransomware schützen. Dazu sind folgende Aspekte zu beachten:

  • Zugriff auf Wert erkennen: Unternehmen müssen wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann können sie Fragen der Governance und Compliance beantworten und beispielsweise steuern, dass bestimmte Datentypen gewisse Speicherorte nicht verlassen dürfen. Und sie müssen genau überblicken, wer auf diese Daten zugreifen kann, um beispielsweise überzogen privilegierte User zu entdecken. Und sie können KI/ML-Technologie nutzen, um ungewöhnliche Sicherungs- oder Zugriffsmuster oder anderes anormales Verhalten aufzuspüren. Diese Indizien helfen, mögliche interne und externe Angriffe wie Ransomware frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten.
  • Einheitlichen Blick auf die Daten gewinnen: Idealerweise sind all diese Funktionen und der Überblick über die Datenlandschaft über eine Konsole zu erreichen, auf die nur autorisierte User dank Multifaktor-Authentifizierung und Access-Control-Lists zugreifen können – und zwar unabhängig davon, ob die Daten in einer hybriden Cloud oder in einem SaaS-Dienst abgelegt sind.
  • Widerstandsfähige hochskalierbare Infrastruktur etablieren: Die Daten selbst sollten in einer zentralen Datenmanagement-Plattform, idealerweise auf Basis eines hyperconverged Filesystems, zusammengeführt werden, die hochskaliert und das Zero-Trust-Modell noch weiterführt. Neben den bereits erwähnten strengen Zugriffsregeln und der Multifaktor-Authentifizierung sollte die Plattform unveränderliche so genannte Immutable Snapshots erzeugen. Keine externe Anwendung und unbefugte User können diese Snapshots nicht verändern. Unternehmen sollten die Daten sowohl beim Transport als auch beim Ablegen stark verschlüsseln, damit sie besser vor Manipulationsversuchen und Cyberattacken wie Ransomware geschützt sind.
  • Als Service verfügbar: Einige Unternehmen wollen heute Aufgaben nicht mehr komplett selbst abwickeln, sei es weil sie die Investitionen scheuen, ihre IT-Teams sich auf andere wichtigere Aufgaben konzentrieren wollen oder sie schlicht Hilfe suchen. In diesen Fällen sollten sie auf einen Anbieter setzen, der so genannte Data Management as a Service (DMaaS) anbietet. Dieses Portfolio von „Software as a Service“ (SaaS)-Angeboten wurde entwickelt, damit Unternehmen und mittelständischen Kunden ihre Daten auf radikal einfache Weise sichern, verwalten und analysieren können.

Ausblick

Die Politik wird gewiss neue Regeln für die Datenwirtschaft entwickeln, da sie für alle Branchen der Wirtschaft eine große Rolle spielt. IT-Teams in den Unternehmen werden also weiterhin auf neue Rahmenbedingungen reagieren müssen. Um endlich aus der Komplexitätsfalle herauszufinden, sollten sie ihre Datensilos Schritt für Schritt in eine einheitliche Datenmanagement-Plattform der nächsten Generation überführen.

Dort können sie dann von den Synergieeffekten profitieren, indem sie ihre Produktionsdaten sichern, über KI-gestützte Funktionen die Sicherheitslage, Governance und Compliance verbessern. Und nebenbei Zeit und Geld sparen, da das Management dieser Infrastruktur viel einfacher wird. (rhh)

Cohesity

Lesen Sie auch