Seit 2012 arbeitet die Europäische Kommission an einer Reform des Datenschutzes in der Union. Dieses Jahr wurde sie vom EU-Parlament angenommen. Ab 25. Mai 2018 tritt sie in Kraft. Nichtbefolgung zieht hohe Strafen nach sich. [...]
Daten sind das Gold der Unternehmen im digitalen Zeitalter und begehrten Ziel von Hackern bei ihren Cyberangriffen. Je vollständiger und persönlicher die Daten sind, desto wertvoller können sie auf dem Schwarzmarkt verkauft werden. Es kann gar nicht oft genug betont werden, wie wichtig der Schutz persönlicher Daten ist, eine Herausforderung, die auch in der Europäischen Union sehr ernst genommen wird.
Vier Jahre wurde daran gearbeitet und am 14. April 2016 wurde die EU General Data Protection Regulation (GDPR) — zu deutsch ist die Bezeichnung EU-Datenschutz-Grundverordnung (DSGVO) üblich — vom Europäischen Parlament angenommen. Jetzt haben Unternehmen bis zum 25. Mai 2018 Zeit diese Regulierung umzusetzen. Sich damit auseinanderzusetzen ist also ein Gebot der Stunde, zudem drohen bei Verstößen gegen die Regulation hohe Strafen – bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes oder bis zu 20 Millionen Euro. Im Zweifelsfall kommt die höhere Strafe zum Tragen.
Was ist die EU-GDPR?
Bei der nicht ganz 100 Seiten starken EU-GDPR beziehungsweise EU-DSGVO geht es um den Schutz von personenbezogenen Daten wie Bank- oder E-Mail-Accounts, aber auch IP-Adressen, die einem Individuum zugeordnet werden können. Die Umsetzung betrifft alle – kleine, mittlere und große – Unternehmen gleichermaßen. Der Sinn dahinter ist eine Harmonisierung der gegenwärtig bestehenden mehr oder minder voneinander abweichenden Datenschutzverordnungen der EU-Mitgliedsländer. Nicht nur, dass sich laut EU-Kommission 90 Prozent der EU-Bürger ein einheitliches Datenschutzrecht wünschen, sondern durch die Datenschutz-Grundverordnung der EU wird der Datenschutz auch wesentlich verstärkt und den Bürgerinnen und Bürgern mehr Kontrolle über ihre Daten gegeben.
Dabei geht es um Aspekte wie einen einfacheren Zugang zu den eigenen Daten (es wird besser über die Art, wie die Daten verarbeitet werden, informiert und zwar in einer klar verständlichen Weise), das Recht auf Datenübertragbarkeit (personenbezogene Daten können einfacher von einem Anbieter auf einen anderen übertragen werden), das „Recht auf Vergessenwerden“ (wenn Betroffene nicht möchten, dass ihre Daten weiter verarbeitet werden und es keine legitimen Gründe für deren Speicherung gibt, müssen die Daten gelöscht werden) und das Recht zu erfahren, ob Daten gehackt wurden.
Mangelndes Bewusstsein bei den Unternehmen
Während Anbieter von Sicherheitslösungen, wie etwa der Schadware-Spezialist Symantec, das Softwareunternehmen Compuware oder Imperva, ein auf den Schutz von geschäftskritischen Daten und Anwendungen in der Cloud und im Datacenter spezialisiertes Unternehmen, an ihrem Angebot an EU-GDPR-konformen Lösungen arbeiten, wissen viele Unternehmer nicht beziehungsweise nicht ausreichend über die Regulierung Bescheid. Das zeigt eine im Auftrag von Compuware vom Marktforschungsunternehmen Vinson Bourne durchgeführte Umfrage. Dabei wurden 400 CIO aus Deutschland, Frankreich, Italien, Spanien, Großbritannien und den USA befragt.
Obgleich demnach 55 Prozent der europäischen Unternehmen gut über die DSVGO und deren geforderte Umsetzungen informiert sind (in Deutschland sind es gar 72 Prozent der Unternehmen), haben 68 Prozent der Unternehmen in Europa noch keinen Plan zur Umsetzung der EU-DSVGO. In Deutschland sind es immerhin 53 Prozent, die noch keine entsprechende Strategie vorweisen können. In den USA sieht es nochmals schlechter aus: Nur 43 Prozent der amerikanischen Unternehmen fühlen sich gut über die EU-DSGVO und ihre Auswirkungen informiert.
Bezüglich des Transfers von Daten über Ländergrenzen ortet Ilias Chantzos, Senior Director Symantec Government Affairs EMEA, große Unsicherheit und Uninformiertheit bei den Unternehmen: „Derzeit kursieren viele Cloud-Transfer-Mythen, wie z.B. ›dass man keine Daten außerhalb der EU speichern darf‹. Das ist falsch. Unter strengen Auflagen ist das sehr wohl erlaubt.“ Die Unternehmen müssten also DSGVO-compliant sein. Innerhalb der EU dürfen personenbezogene Daten überall gespeichert werden.
Wie wichtig ein baldiges Handeln hinsichtlich der Umsetzung der Regulation ist, macht Walo Weber, Senior Sales Engineer bei Imperva, deutlich, wenn er mit Blick auf die USA sagt: „Durchschnittlich werden in den USA täglich sechs Sicherheitsverletzungen gemeldet. Man weiß dabei nicht, wieviele Kunden betroffen sind — alle Kunden oder nur ein Kunde. Laut EU-Regulation wird grundsätzlich davon ausgegangen, dass alle Kunden betroffen sind. Wenn alle Kunden informiert werden müssen, ist der Imageschaden beträchtlich.“ Die Regulierung gibt Unternehmen im Falle einer Sicherheitsverletzung mit Datenmissbrauch 72 Stunden Zeit, um diese bei der jeweiligen nationalen Aufsichtsbehörde zu melden. Deswegen sei es wichtig, so Weber, in einem ersten Schritt den Ist-Zustand zu erheben, wo also welche persönlichen Daten gespeichert sind, um danach entsprechende Strategien zu entwickeln.
Ähnlich sieht das auch Elizabeth Maxwell, Technical Director EMEA bei Compuware. „Um die EU-DSGVO einzuhalten, müssen Unternehmen strenger kontrollieren, wo sich ihre Kundendaten befinden. Wenn sie nicht auf all ihren Systemen den jeweiligen Speicherort jeder Kopie von Kundendaten fest im Griff haben, können Unternehmen unzählige Stunden dabei verlieren, manuell nach den entsprechenden Daten zu suchen, falls jemand sein Recht auf Vergessen einfordert. Auch finden sie dann möglicherweise nicht jede Kopie und riskieren eine Missachtung der Vorschriften.“ Nach der Compuware-Studie liegt hier aber noch einiges im Argen: Demnach wüssten 76 Prozent der deutschen und 68 Prozent der weltweiten Unternehmen aufgrund der Komplexität moderner IT-Services nicht immer, wo sich ihre Kundendaten genau befänden.
Weitere Probleme sehen die Befragungsteilnehmer darin, dass die Nutzung von Outsourcing-Unternehmen (Deutschland: 92 Prozent, weltweit: 81 Prozent) und mobilen Technologien (Deutschland: 69 Prozent, weltweit: 63 Prozent) es erschwert, den Ort der Kundendaten nachzuverfolgen. Zudem benötigen 36 Prozent der deutschen und 45 Prozent der weltweiten Unternehmen viel Zeit und erhebliche Ressourcen, um jemandem alle seine persönlichen Daten zu zeigen, die in den Systemen gespeichert sind. Last but not least wären laut Befragung nur 69 Prozent der deutschen und nur 52 Prozent der weltweiten Unternehmen in der Lage, alle diese Daten effizient zu löschen, falls die Person dies gemäß dem „EU-Recht auf Vergessen“ wünscht.
Vorsicht bei Testdaten
Es ist eine übliche Praxis, dass Kundendaten für Anwendungstests verwendet werden. Jedoch ist es dabei unbedingt angeraten, dass diese zuvor anonymisert werden, sodass keinerlei Rückschlüsse auf die zugrunde liegenden echten Daten beziehungsweise echten Personen gemacht werden können. Laut der Compuware-Befragung wissen jedoch 56 Prozent der Unternehmen in Deutschland und 53 Prozent der Unternehmen weltweit nicht genau, wo sich die Testdaten befänden und wie diese exakt aussehen.
„Wer die Daten nicht vorher verfremdet, muss mit einer empfindlichen Strafe durch die EU-Regulierungsbehörden rechnen“, weist Elizabeth Maxwell auf die möglichen Gefahren hierbei hin und fährt fort: „Die Anonymisierung von Testdaten verbessert nicht nur den Datenschutz, sondern vermeidet auch die Einholung der ausdrücklichen Zustimmung der Kunden dafür.“
Fazit: Obgleich noch zwei Jahre bis zur Umsetzung der EU-Regulation Zeit sind, ist es eine gute Idee sich schon jetzt eingehend mit der EU-DSGVO beziehungsweise EU-GDPR zu beschäftigen und entsprechende Strategien zur Umsetzung zu entwickeln oder gegebenenfalls bereits bestehende Prozesse mit der EU-Regulation abzugleichen und anzupassen.
Be the first to comment