EU-Datenschutzverordnung: Schutz der Unternehmensdaten hat höchste Priorität

Durch die geplante neue EU-Datenschutzverordnung entsteht Handlungsdruck für Unternehmen, gespeicherte persönliche Informationen besser zu schützen

Der Schutz des Unternehmens-Netzwerks ist angesichts zunehmender Cyberangriffe notwendiger denn je. Auch die Art der Angriffe hat sich verändert: Breit gefächerte, unkoordiniert eingesetzte Malware hat an Bedeutung verloren, stattdessen nehmen komplexe, zielgerichtete Attacken (so genannte Advanced Persistent Threats) auf Unternehmen und ihre Mitarbeiter, Systeme, Sicherheitslücken und Daten zu. Diese zielgerichteten Angriffe sind versteckter und raffinierter als je zuvor. Auch die Heartbleed-Sicherheitslücke in der Verschlüsselungstechnik OpenSSL zeigt: Es gibt keine hundertprozentige Sicherheit, ein Restrisiko bleibt. Unternehmen müssen dieses Restrisiko minimieren.

Darüber hinaus erhöhen gesetzliche Änderungen, wie die geplante neue EU-Datenschutz-Grundverordnung den Druck auf Unternehmen, die Sicherheit ihrer IT zu verbessern. Noch haben sie Zeit, ihre Sicherheits-Infrastruktur zu optimieren. Juristen gehen davon aus, dass die EU-Verordnung nicht vor 2017 deutsches Datenschutzrecht ersetzen wird. Das ist aber kein Grund, sich zurückzulehnen. Unternehmen sollten IT-Sicherheit als stetigen strategischen Prozess betrachten.

Neil Thacker, Information Security & Strategy Officer bei WebsenseNeil Thacker, Information Security & Strategy Officer bei Websense

EU-Datenschutz-Grundverordnung – die wichtigsten Inhalte

Die geplante EU-Datenschutzverordnung wartet derzeit noch auf die Genehmigung durch EU-Gremien. Die bisher gültige Richtlinie stammt aus dem Jahr 1995 und lässt den 28 Mitgliedstaaten viel Spielraum, wie sie die Vorgaben aus Brüssel umsetzen. Ergebnis ist ein europäischer Flickenteppich aus unterschiedlichen Regelwerken. Die neue Verordnung soll einheitliche und moderne Standards in der EU schaffen - auch um zu verhindern, dass Unternehmen für ihren Sitz den Mitgliedsstaat mit den lockersten Datenschutzbestimmungen wählen. Zur besseren Kontrolle soll ein neues EU-Aufsichtsgremium künftig die Einhaltung des Datenschutzrechts auf europäischer Ebene überwachen.

Unternehmen müssen dieser Behörde Datenverluste oder Sicherheitslücken nach deren Entdeckung innerhalb von 72 Stunden melden. Zudem werden die Sanktionen bei Verstößen gegen den Datenschutz drastisch erhöht. Brechen Unternehmen die Regeln der EU-Verordnung, so drohen ihnen Geldbußen von bis zu fünf Prozent ihres jährlichen weltweiten Umsatzes - ganz zu schweigen vom drohenden Imageschaden.

Unternehmen dürfen zudem persönliche Daten ohne Einwilligung des Nutzers nur noch beschränkt verarbeiten und weitergeben. Ansonsten müssen sie den Nutzer explizit fragen, ob er mit dieser Art von Datenverarbeitung einverstanden ist. Zudem sollen die Firmen keine User-Profile erstellen dürfen, wenn die Nutzer dies verbieten. In Zukunft muss jedes EU-Unternehmen zudem einen Datenschutzbeauftragten berufen, sobald es jährlich die Daten von mehr als 5.000 Menschen verarbeitet. Ziel all dieser Regelungen ist es, den Datenschutz für EU-Bürger zu verbessern.

Unternehmen sind schlecht vorbereitet

Die weltweite Studie „Exposing the Cybersecurity Cracks: A Global Perspective“ des Ponemon Instituts zeigt, dass viele Unternehmen bislang nur unzureichend auf die neue EU-Datenschutzverordnung vorbereitet sind. Vier Fünftel der befragten 5000 IT-Sicherheitsexperten glauben, dass ihre Führungskräfte Datenmissbrauch nicht mit finanziellen Verlusten verknüpfen. Diese Position muss sich schnell verändern. Das Ponemon Institute schätzt, dass heute die durchschnittlichen Kosten eines verlorenen oder gestohlenen Datensatzes bei etwa 180 US-Dollar (rund 140 Euro) liegen; eine Datenlücke innerhalb der Organisation verursacht demnach im Durchschnitt einen finanziellen Schaden von 5,4 Millionen US-Dollar (etwa 4,3 Millionen Euro). Mit der Einführung der neuen EU-Regelungen werden diese Summen stark ansteigen.

Weniger als die Hälfte der befragten IT-Sicherheitsexperten glaubt, die Bedrohungslage ihres Unternehmens gut zu kennen. Und nur ein Drittel der Teilnehmer, die bereits einen Datenverlust erlitten haben (35 Prozent), konnte genau ermitteln, welche Daten dem Unternehmen gestohlen wurden. Dies zeigt, dass viele Firmen in puncto Sicherheit noch großen Nachholbedarf haben. Sie sollten ihr Budget nicht nur in Maßnahmen zum Schutz der IT-Infrastruktur investieren, sondern auch eine risikobasierte, datenzentrierte Sicherheits-Strategie in Betracht ziehen. Die Firmen dürfen außerdem die Schulung der eigenen Mitarbeiter nicht vergessen. Sie müssen diese für die potenziellen Gefahren sensibilisieren und zu einem verantwortungsbewussten Umgang mit Daten und Ressourcen auffordern. Hier sind Vorsicht und Aufklärung wichtige Faktoren.

Bedeutung des Datenschutzbeauftragten steigt

Eine wichtige Rolle spielt dabei der Datenschutzbeauftragte, den in Zukunft jedes EU-Unternehmen berufen muss, sobald es jährlich die Daten von mehr als 5000 Menschen verarbeitet. Er ist verantwortlich dafür, dass sein Unternehmen die Regeln der künftigen EU-Datenschutzverordnung einhält. Dabei sollte er nicht nur die rechtliche Seite im Blick haben, sondern muss eng mit der IT-Abteilung zusammenarbeiten, um die Sicherheits-Technologien zu kennen, mit denen diese das Unternehmen vor Angriffen schützt. Zudem ist es ratsam, für jede Geschäftseinheit einen eigenen Datenschutzbeauftragten zu ernennen, der den unternehmensweiten Datenschutzbeauftragten unterstützt.

Insgesamt gilt: Unternehmen sollten die Zeit bis zum Inkrafttreten der neuen EU-Datenschutzverordnung nutzen, um ihre Sicherheitsrichtlinien anzupassen und ihr Security-System zu optimieren. Nur dann gewährleisten sie den Schutz ihrer Daten und halten die Compliance-Vorschriften ein.

Über den Autor:
Neil Thacker ist Information Security & Strategy Officer bei Websense.

Artikel wurde zuletzt im November 2014 aktualisiert

Erfahren Sie mehr über Datenschutz und Compliance

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close