EU-konformer Datenschutz

Seit 2012 arbeitet die Europäische Kommission an einer Reform des Datenschutzes in der Union. Dieses Jahr wurde sie vom EU-Parlament angenommen. Ab 25. Mai 2018 tritt sie in Kraft. Nichtbefolgung zieht hohe Strafen nach sich. [...]

Daten sind das Gold der Unternehmen im digitalen Zeitalter und begehrten Ziel von Hackern bei ihren Cyberangriffen. Je vollständiger und persönlicher die Daten sind, desto wertvoller können sie auf dem Schwarzmarkt verkauft werden. Es kann gar nicht oft genug betont werden, wie wichtig der Schutz persönlicher Daten ist, eine Herausforderung, die auch in der Europäischen Union sehr ernst genommen wird.
Vier Jahre wurde daran gearbeitet und am 14. April 2016 wurde die EU General Data Protection Regulation (GDPR) — zu deutsch ist die Bezeichnung EU-Datenschutz-Grundverordnung (DSGVO) üblich — vom Europäischen Parlament angenommen. Jetzt haben Unternehmen bis zum 25. Mai 2018 Zeit diese Regulierung umzusetzen. Sich damit auseinanderzusetzen ist also ein Gebot der Stunde, zudem drohen bei Verstößen gegen die Regulation hohe Strafen – bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes oder bis zu 20 Millionen Euro. Im Zweifelsfall kommt die höhere Strafe zum Tragen.

Was ist die EU-GDPR?
Bei der nicht ganz 100 Seiten starken EU-GDPR beziehungsweise EU-DSGVO geht es um den Schutz von personenbezogenen Daten wie Bank- oder E-Mail-Accounts, aber auch IP-Adressen, die einem Individuum zugeordnet werden können. Die Umsetzung betrifft alle – kleine, mittlere und große – Unternehmen gleichermaßen. Der Sinn dahinter ist eine Harmonisierung der gegenwärtig bestehenden mehr oder minder voneinander abweichenden Datenschutzverordnungen der EU-Mitgliedsländer. Nicht nur, dass sich laut EU-Kommission 90 Prozent der EU-Bürger ein einheitliches Datenschutzrecht wünschen, sondern durch die Datenschutz-Grundverordnung der EU wird der Datenschutz auch wesentlich verstärkt und den Bürgerinnen und Bürgern mehr Kontrolle über ihre Daten gegeben.
Dabei geht es um Aspekte wie einen einfacheren Zugang zu den eigenen Daten (es wird besser über die Art, wie die Daten verarbeitet werden, informiert und zwar in einer klar verständlichen Weise), das Recht auf Datenübertragbarkeit (personenbezogene Daten können einfacher von einem Anbieter auf einen anderen übertragen werden), das „Recht auf Vergessenwerden“ (wenn Betroffene nicht möchten, dass ihre Daten weiter verarbeitet werden und es keine legitimen Gründe für deren Speicherung gibt, müssen die Daten gelöscht werden) und das Recht zu erfahren, ob Daten gehackt wurden.

Mangelndes Bewusstsein bei den Unternehmen
Während Anbieter von Sicherheitslösungen, wie etwa der Schadware-Spezialist Symantec, das Softwareunternehmen Compuware oder Imperva, ein auf den Schutz von geschäftskritischen Daten und Anwendungen in der Cloud und im Datacenter spezialisiertes Unternehmen, an ihrem Angebot an EU-GDPR-konformen Lösungen arbeiten, wissen viele Unternehmer nicht beziehungsweise nicht ausreichend über die Regulierung Bescheid. Das zeigt eine im Auftrag von Compuware vom Marktforschungsunternehmen Vinson Bourne durchgeführte Umfrage. Dabei wurden 400 CIO aus Deutschland, Frankreich, Italien, Spanien, Großbritannien und den USA befragt.

Obgleich demnach 55 Prozent der europäischen Unternehmen gut über die DSVGO und deren geforderte Umsetzungen informiert sind (in Deutschland sind es gar 72 Prozent der Unternehmen), haben 68 Prozent der Unternehmen in Europa noch keinen Plan zur Umsetzung der EU-DSVGO. In Deutschland sind es immerhin 53 Prozent, die noch keine entsprechende Strategie vorweisen können. In den USA sieht es nochmals schlechter aus: Nur 43 Prozent der amerikanischen Unternehmen fühlen sich gut über die EU-DSGVO und ihre Auswirkungen informiert.

Bezüglich des Transfers von Daten über Ländergrenzen ortet Ilias Chantzos, Senior Director Symantec Government Affairs EMEA, große Unsicherheit und Uninformiertheit bei den Unternehmen: „Derzeit kursieren viele Cloud-Transfer-Mythen, wie z.B. ›dass man keine Daten außerhalb der EU speichern darf‹. Das ist falsch. Unter strengen Auflagen ist das sehr wohl erlaubt.“ Die Unternehmen müssten also DSGVO-compliant sein. Innerhalb der EU dürfen personenbezogene Daten überall gespeichert werden.

Wie wichtig ein baldiges Handeln hinsichtlich der Umsetzung der Regulation ist, macht Walo Weber, Senior Sales Engineer bei Imperva, deutlich, wenn er mit Blick auf die USA sagt: „Durchschnittlich werden in den USA täglich sechs Sicherheitsverletzungen gemeldet. Man weiß dabei nicht, wieviele Kunden betroffen sind — alle Kunden oder nur ein Kunde. Laut EU-Regulation wird grundsätzlich davon ausgegangen, dass alle Kunden betroffen sind. Wenn alle Kunden informiert werden müssen, ist der Imageschaden beträchtlich.“ Die Regulierung gibt Unternehmen im Falle einer Sicherheitsverletzung mit Datenmissbrauch 72 Stunden Zeit, um diese bei der jeweiligen nationalen Aufsichtsbehörde zu melden. Deswegen sei es wichtig, so Weber, in einem ersten Schritt den Ist-Zustand zu erheben, wo also welche persönlichen Daten gespeichert sind, um danach entsprechende Strategien zu entwickeln.

Ähnlich sieht das auch Elizabeth Maxwell, Technical Director EMEA bei Compuware. „Um die EU-DSGVO einzuhalten, müssen Unternehmen strenger kontrollieren, wo sich ihre Kundendaten befinden. Wenn sie nicht auf all ihren Systemen den jeweiligen Speicherort jeder Kopie von Kundendaten fest im Griff haben, können Unternehmen unzählige Stunden dabei verlieren, manuell nach den entsprechenden Daten zu suchen, falls jemand sein Recht auf Vergessen einfordert. Auch finden sie dann möglicherweise nicht jede Kopie und riskieren eine Missachtung der Vorschriften.“ Nach der Compuware-Studie liegt hier aber noch einiges im Argen: Demnach wüssten 76 Prozent der deutschen und 68 Prozent der weltweiten Unternehmen aufgrund der Komplexität moderner IT-Services nicht immer, wo sich ihre Kundendaten genau befänden.

Weitere Probleme sehen die Befragungsteilnehmer darin, dass die Nutzung von Outsourcing-Unternehmen (Deutschland: 92 Prozent, weltweit: 81 Prozent) und mobilen Technologien (Deutschland: 69 Prozent, weltweit: 63 Prozent) es erschwert, den Ort der Kundendaten nachzuverfolgen. Zudem benötigen 36 Prozent der deutschen und 45 Prozent der weltweiten Unternehmen viel Zeit und erhebliche Ressourcen, um jemandem alle seine persönlichen Daten zu zeigen, die in den Systemen gespeichert sind. Last but not least wären laut Befragung nur 69 Prozent der deutschen und nur 52 Prozent der weltweiten Unternehmen in der Lage, alle diese Daten effizient zu löschen, falls die Person dies gemäß dem „EU-Recht auf Vergessen“ wünscht.

Vorsicht bei Testdaten
Es ist eine übliche Praxis, dass Kundendaten für Anwendungstests verwendet werden. Jedoch ist es dabei unbedingt angeraten, dass diese zuvor anonymisert werden, sodass keinerlei Rückschlüsse auf die zugrunde liegenden echten Daten beziehungsweise echten Personen gemacht werden können. Laut der Compuware-Befragung wissen jedoch 56 Prozent der Unternehmen in Deutschland und 53 Prozent der Unternehmen weltweit nicht genau, wo sich die Testdaten befänden und wie diese exakt aussehen.

„Wer die Daten nicht vorher verfremdet, muss mit einer empfindlichen Strafe durch die EU-Regulierungsbehörden rechnen“, weist Elizabeth Maxwell auf die möglichen Gefahren hierbei hin und fährt fort: „Die Anonymisierung von Testdaten verbessert nicht nur den Datenschutz, sondern vermeidet auch die Einholung der ausdrücklichen Zustimmung der Kunden dafür.“

Fazit: Obgleich noch zwei Jahre bis zur Umsetzung der EU-Regulation Zeit sind, ist es eine gute Idee sich schon jetzt eingehend mit der EU-DSGVO beziehungsweise EU-GDPR zu beschäftigen und entsprechende Strategien zur Umsetzung zu entwickeln oder gegebenenfalls bereits bestehende Prozesse mit der EU-Regulation abzugleichen und anzupassen.


Mehr Artikel

News

6 Grundsätze für eine KI-taugliche Datenbasis

Wer Künstliche Intelligenz nutzen will, muss über eine vertrauenswürdige Datengrundlage verfügen. Daten sind das Lebenselixier von KI-Systemen und bestimmen maßgeblich die Qualität und Zuverlässigkeit der Ergebnisse. Nur so können KI-Modelle robust, anpassungsfähig und vertrauenswürdig arbeiten. […]

News

Cybersicherheitsbudgets werden falsch priorisiert

Der ICS/OT Cybersecurity Budget Report 2025 von OPSWAT deckt erhebliche Lücken in den Cybersicherheitsbudgets sowie einen Anstieg von ICS/OT-fokussierten Angriffen auf. Ferner wird deutlich, wie durch eine unzureichende Finanzierung, falsch gesetzte Prioritäten und uneinheitliche Abwehrmaßnahmen kritische Infrastrukturen immer raffinierteren Bedrohungen ausgesetzt sind. […]

News

Nach dem Hype: Diese vier KI-Trends werden 2025 weiterhin prägen

Die vergangenen zwei Jahre haben einen regelrechten KI-Boom erlebt. Insbesondere generative Modelle (GenAI) haben sich rasant weiterentwickelt und etablieren sich zunehmend als feste Größe in den Arbeitsprozessen von Organisationen weltweit. Angesichts dieser Dynamik fragen sich nun viele Unternehmen, welche Entwicklungen das Jahr 2025 bestimmen werden und welche Potenziale sich daraus ergeben. […]

News

Generative KI als Sicherheitsrisiko

Eine neue Studie von Netskope zeigt einen 30-fachen Anstieg der Daten, die von Unternehmensanwendern im letzten Jahr an GenAI-Apps (generative KI) gesendet wurden. Dazu gehören sensible Daten wie Quellcode, regulierte Daten, Passwörter und Schlüssel sowie geistiges Eigentum. Dies erhöht das Risiko von kostspieligen Sicherheitsverletzungen, Compliance-Verstößen und Diebstahl geistigen Eigentums erheblich. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*