magele-picture - Fotolia

Datenschutz-Grundverordnung: Die Auswirkungen auf Unternehmen

In vielen Unternehmen wird das Ausmaß an IT-Prozessen im Hinblick auf den Datenschutz unterschätzt. Mit der DSGVO werden sich die Prioritäten ändern.

Im letzten Lagebericht der IT-Sicherheit in Deutschland betont das Bundesamt für Sicherheit in der Informationstechnik (BSI) das globale Ausmaß und Position Deutschlands beim Thema IT-Sicherheit: „Wir wollen ein sicheres und selbstbestimmtes Handeln in einer digitalisierten Welt ermöglichen. Dafür müssen Staat und Wirtschaft besser zusammenarbeiten und Deutschland auch weiterhin eine aktive Rolle in der europäischen und internationalen Cybersicherheitspolitik einnehmen.”

Die Betonung von Europa kommt nicht von ungefähr, kommen doch immer mehr Impulse im Bereich Datenschutz von EU-Institutionen. Richtlinien wie die zur Netzwerk- und Informationssystemsicherheit (NIS) fließen aktuell schon in neue Gesetzgebungen der Bundesregierung mit. Zudem ist die Datenschutzgrundverordnung (DSGVO) der EU ist beschlossene Sache und stellt eine Reaktion auf die technologische Entwicklung da. Die alte Datenschutzrichtlinie aus dem Jahr 1995 wird durch das neue EU-Gesetz abgelöst und Unternehmen müssen sich entsprechend vorbereiten. Grundsätzlich fallen alle Organisationen in der EU unter das kommende Gesetz, die in Kontakt mit persönlichen Daten kommen.

Im Gegensatz zur alten Richtlinie ist die Verordnung ab 25. Mai 2018 umgehend gültig und bedarf keiner Ratifizierung der deutschen Regierung mehr. Das Datum kommt unausweichlich und Unternehmen sollten ihre Prozesse entsprechen anpassen, denn die Herausforderung ist groß: Datenschutz im „always online“-Zeitalter mit IoT und BYOD ist kein leichtes Unterfangen.

Datenschutz ist ein Allgemeingut

Die organisatorische Herausforderung ist groß: Neben der „Deadline“ ist es wahrscheinlich, dass die Bundesregierung ebenfalls reagieren wird und Datenschutznormen anpasst. Zudem können auch nicht-staatliche Akteure ihre Compliance-Richtlinien ändern und neue Anforderungen an die IT-Sicherheit von Geschäftspartnern stellen.

Regierungen der Mitgliedsstaaten und die EU-Institutionen debattierten fast fünf Jahre, bevor die DSVGO verabschiedet wurde. Grund dafür sind die zahlreichen neuen Szenarien, in denen Daten von EU-Bürgern geschützt werden müssen. 1995 waren Cyberattacken und digitaler Identitätsdiebstahl eher eine Randerscheinung; der Großteil der Finanztransaktionen bestand in persönliche Meetings mit Bankangestellten.

Heute hat sich dies grundlegend verändert. Durch die digitale Integration entstehen neue Angriffsvektoren für Kriminelle und neue Gesetze nehmen Unternehmen in die Verantwortung. Daher braucht es Schutzmechanismen, die Onlinebetrug und Hackerangriffe vorbeugen und diese unterbinden.

Organisationen sind auf die Speicherung von persönlichen Daten angewiesen, um Transaktionen zu validieren und die Nutzerfreundlichkeit zu erhöhen. Gerade deshalb müssen sie beweisen, dass sie vertrauenswürdig mit den Informationen umgehen können. Besonders Nutzerinnen und Nutzer in Deutschland sind kritisch bei der Weitergabe ihrer Daten. Persönliche Details werden von ihnen in der Regel nur weitergegeben, wenn ein entsprechender Gegenwert durch einen besseren Service oder mehr Komfort entgegensteht – und selbst dann bleiben die Konsumenten kritisch.

Allgemein geht es aber um mehr als Produktentwicklung und Customer Relation Management. Durch Analyse von großen Datenmengen können Angreifer schnell einer derart großen Menge von Informationen habhaft werden, dass dies eine Gefahr für die öffentliche Sicherheit werden kann. Datenschutz ist ein Allgemeingut, das geschützt werden muss.

IT-Sicherheit als Grundlage für Erfolg

Unternehmen müssen laut DSGVO im Falle eines Datenverlusts die verantwortliche Behörde und die Betroffenen umgehend informieren. In Deutschland wäre der erste Ansprechpartner das BSI, sowie die lokalen Datenschutzbeauftragten der Bundesländer. Eine Verheimlichung ist nicht mehr möglich und es besteht eine Informationspflicht.

Die Verordnung legt großen Wert darauf, dass IT-Sicherheit als grundlegendes Konzept angesehen wird. Security-by-Design und Security-by-Default sind zwei wichtige Schlagworte für Unternehmen: Schutzmechanismen sollten nicht erst im Nachhinein implementiert werden, sondern müssen als Grundlage vorhanden sein. Daher sind die Strafen im Falle eines Verstoßes besonders hoch angesetzt.

„Durch die Digitalisierung entstehen viele neue Geschäftsmöglichkeiten und genau wegen des neuen Territoriums müssen Unternehmen richtige Sicherheitsmechanismen als Grundlage bereitstellen.“

 Jason Hart, Gemalto

 

Im Falle eines erfolgreichen Hacks drohen Strafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes, je nachdem was höher ausfällt. Die Bußgelder werden angewandt, wenn keine entsprechenden Prozesse wie End-to-End-Sicherheitsmechanismen eingeführt wurden.

Die Zahlen erscheinen hoch und setzen Unternehmen unter Druck, denn ein Aussitzen ist jetzt nicht mehr möglich. Allerdings bestehen auch Chancen, denn langfristig lohnt sich eine Verbesserung der IT-Sicherheitsstandards. Durch das in Kraft treten der DSGVO gelten in allen 28 EU-Ländern die gleichen Normen, dadurch fallen grenzüberschreitende Interaktionen deutlich leichter als zuvor.

Dies schafft Vertrauen und wirkt der veränderten Gefahrenlandschaft entgegen. Laut des Breach Level Index wurden allein im Jahr 2015 700 Millionen Datensätze kompromittiert und es kam zu 1650 Dateneinbrüchen. Eine Verbesserung der Datenschutzrichtlinien ist in anbetracht solcher Fakten notwendig, da sonst wirtschaftliche Interaktionen am mangelnder Zuversicht und fehlender Sicherheit scheitern könnten. Die neue Verordnung ist ein wichtiger Schritt hin zu besserem Schutz.

Fazit

Viele Geschäftsführungen unterschätzen das Ausmaß an IT-Prozessen in ihren Unternehmen und betrachten Datenschutz und Datensicherheit immer noch als kleine Randthemen. Dabei sollte das Thema spätestens mit der kommenden DSGVO Priorität haben. Es gibt entsprechende Technologien, mit den Organisationen ihre Daten schützen können: Zwei-Faktor-Authentifizierung, richtige Datenverschlüsselung, intelligentes Schlüssel-Management sind essenzielle Technologien und helfen bei der Compliance mit der neuen EU-Verordnung.

Durch die Digitalisierung entstehen viele neue Geschäftsmöglichkeiten und genau wegen des neuen Territoriums müssen Unternehmen richtige Sicherheitsmechanismen als Grundlage bereitstellen. Andernfalls werden Konsumenten und Partner nicht auf Angebote zurückgreifen, da sie Angst vor Cyberattacken haben.

Über den Autor:
Jason Hart ist CTO Data Protection bei Gemalto.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Februar 2017 aktualisiert

Erfahren Sie mehr über Datenschutz und Compliance

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close