Aktuelles, Branche - geschrieben von am Freitag, Dezember 8, 2017 17:00 - noch keine Kommentare

EU-DSGVO ante portas: Über Herausforderungen und Chancen für Unternehmen

Aktuelle Stellungnahme von Dr. Anton Grashion

[datensicherheit.de, 08.12.2017] Nur noch wenige Monate, bis die EU-Datenschutz-Grundverordnung (EU-DSGVO) endgültig in Kraft tritt. Zu den aktuellen Herausforderungen nimmt Dr. Anton Grashion, „Senior Director Product Marketing EMEA“ bei Cylance nachfolgend Stellung.

Jedes Unternehmen sollte eigentlich wissen, was zu tun ist…

Zu der Frage, was Unternehmen generell tun müssen, um den Vorgaben der DSGVO zu entsprechen und was sie inzwischen schon getan haben sollten, erinnert Grashion daran, dass es „jede Menge Beiträge, Empfehlungen und Checklisten“ gibt, die seit Monaten praktisch täglich veröffentlicht werden – eigentlich sollte jedes Unternehmen nun wissen, was zu tun ist.

In einer groben Zusammenfassung gibt er hierzu u.a. folgende Empfehlungen:

  • ein Audit in Bezug auf personenbezogene Daten durchzuführen,
  • sicherzustellen, dass die Firma nachweislich die Vorgaben der DSGVO erfüllt,
  • detaillierte Aufzeichnungen in Hinsicht auf die verarbeiteten Daten zu erstellen und vorweisen zu können,
  • alle Datenschutzhinweise zu überprüfen und zu aktualisieren.

Transparenz, Privacy und Anzeigepflicht

Ferner gilt es laut Grashion, interne Richtlinien und die zugehörigen Prozesse zu überprüfen, denn die DSGVO erfordere neue Prozesse im Hinblick auf die gebotene Transparenz und um die individuellen Rechte jedes Einzelnen im Hinblick auf den Umgang mit seinen Daten umzusetzen. „Privacy by Design“ und „Privacy by Default“ seien zu implementieren.
Die Firmen seien zudem gefordert, bei ihren Mitarbeitern das erforderliche Bewusstsein für die Umsetzung der DSGVO zu schaffen – in diesem Zusammenhang seien Schulungen durchzuführen und Checklisten im Hinblick auf die Datenschutzvorgaben der DSGVO umzusetzen.
Um der Anzeigepflicht bei einem Datenschutzvorfall zu genügen, seien interne Prozesse zu implementieren und Planungen vorzunehmen, was im Falle eines Datenschutzvorfalls zu geschehen hat und in welcher Reihenfolge. Dazu gehöre es, die entsprechenden Compliance-Verantwortlichkeiten personell festzumachen und Budgets anzuweisen. So müsse ein Datenschutzbeauftragter benannt, geschult und in die Lage versetzt werden, dass er seine Aufgabe den Anforderungen entsprechend erfüllen kann.

Zwei Jahre waren Zeit, um die DSGVO-Anforderungen umzusetzen

Dr. Grashion ist nach eigenen Angaben davon überzeugt, dass die gesetzte Frist ausreicht – die Firmen hätten auch jetzt noch Zeit, rechtzeitig zum Stichtag im Mai 2018 fertig zu werden. Natürlich hänge das von der Größe des Unternehmens und dem individuellen Anforderungsprofil ab.
Zu den mit der Umstellung verbundenen Kosten führt er aus, dass es im Wesentlichen zwei Arten von Kosten im Kontext der DSGVO-Einführung gebe: „Zum einen die unumgänglichen Fixkosten und zum anderen die variablen Kosten.“ Zu den Fixkosten gehörten die Aufwendungen, die ein Unternehmen für ein Audit seiner PII-Daten (d.h. persönlich identifizierender Informationen) aufbringen muss. Auch alle Arten von notwendig werdenden Assessments fielen in diesen Bereich. Dazu zählten der mit der Benennung und Etablierung eines Datenschutzbeauftragten verbundene administrative und operationale Aufwand. Ebenso wie ein Berichtswesen, das sicherstelle, die inviduellen Verbraucherrechtssanforderungen und Nachweispflichten zu gewährleisten. Dies seien Vorschriften, denen jede Firma Folge leisten müsse. „Was die Panikmache anbelangt, konzentriert die sich eher auf die variablen Kosten. Die Kosten, die potenziell entstehen, wenn es zu einem Datenschutzvorfall kommt, bei dem personenbezogene Daten betroffen sind,“ erläutert Grashion: In einer vom Beratungsunternehmen Accenture jüngst gemeinsam mit dem Ponemon Institute veröffentlichten Studie würden Angaben von über 90 Prozent gemacht, wenn es um die Folgekosten eines potenziellen Datenschutzvorfalls geht. Gemeint seien Folgekosten, durch entgangene Geschäfte, den entstandenen Rufschaden und natürlich die eigentlichen mit der Datenschutzverletzung assoziierten Strafen. „Es ist also ganz offensichtlich, dass Unternehmen ihre Anstregungen darauf konzentrieren, Datenschutzvorfälle so gut wie möglich zu verhindern, wenn die variablen Folgekosten derart unkalkulierbar sind wie in diesem Fall.“
Es gebe eine ganze Reihe von Technologien und Methoden, die helfen würden, die DSGVO regelkonform umzusetzen. Grashion: „Wir konzentrieren uns dabei in erster Linie darauf, Malware vorausschauend abzuwehren, bekannte Malware und, was noch wichtiger ist, bisher unbekannte Schadsoftware.“

Unternehmen ohnehin der Sicherheit und Compliance verpflichtet

Aus seiner Sicht ist es realistisch, dass die Vorschriften umgesetzt werden und ihre Umsetzung tatsächlich kontrolliert werden kann.
Grashion: „Wenn man einigen der aktuellen Studien Glauben schenken darf, haben doch viele Firmen inzwischen die notwendigen Voraussetzungen geschaffen. Die Einhaltung zu überwachen, dabei sind zunächst die Unternehmen selbst gefragt. Sie müssen die entsprechenden Berichte zur Verfügung zu stellen. Und schließlich sind Regulierer und Regulierungsbehörden angetreten, den Forderungen der DSGVO Nachdruck zu verleihen.“ Wie sich das tatsächlich auswirkt, wenn die ersten Fälle in der Praxis auftreten, das sei noch eine ganz andere Sache.
Etliche Firmen hätten indes beim Schutz von PII-Daten bereits sehr gute Praktiken umgesetzt. Vieles davon habe nun die DSGVO formalisiert und für alle EU-Staaten harmonisiert. „Das halte ich unbedingt für eine gute Sache“, so Grashion.

Hauptaufgaben einer IT-Abteilung im Hinblick auf Compliance-Anforderungen:

Zu den Hauptaufgaben einer IT-Abteilung gehöre es, soweit wie möglich zu verhindern, dass personenbezogene Daten von einer Datenschutzverletzung betroffen werden.
Die Anforderungen der DSGVO seien hinsichtlich der „State of the Art“-Technologien allerdings „etwas vage formuliert“, welche die Firmen einsetzen sollten, um Datenschutzverletzungen vorzubeugen und Angriffe abzuwehren. Da gebe es Einiges an Interpretationsspielraum für Kommentare.
Artikel 29 sei beispielsweise kürzlich um einige spezische Reporting-Empfehlungen bei der Anzeigepflicht erweitert worden. Dabei gehe es insbesondere um Ransomware. Grashion: „Wenn es einer Ransomware gelingt, personenbezogene Daten zu verschlüsseln, dann ist das als Datenschutzverletzung meldepflichtig. Ebenso ist es meldepflichtig, sollten Sie kein ausreichendes Backup dieser Daten gefahren haben. Und selbst wenn Sie ein Backup haben, können die Regulierungsbehörden an dieser Stelle nachfassen, etwa ob Sie ausreichende Datenschutzvorkehrungen getroffen haben, was insbesondere den Schutz vor Malware anbelangt.“ Zudem müsse die Lösung nachweislich einen ausreichenden Malware-Schutz bieten.

Datenschutz stärkt Reputation und Wettbewerbsposition

Regulierer und Regulierungsbehören seien sicherlich nicht dazu da, Firmen unnötig zu bestrafen, welche Opfer einer Datenschutzverletzung geworden sind. Aber diese Kontrollinstanzen sollten in der Lage sein, gute Praktiken aufzuzeigen, die zur Umsetzung der DSGVO geeignet sind.
„Jedes Unternehmen, das in der Lage ist zu zeigen, dass und wie es personenbezogene Daten schützt, wird davon profitieren – insbesondere was seinen Ruf und die Position im Wettbewerb anbelangt“, betont Grashion.

Weitere Informationen zum Thema:

datensicherheit.de, 07.12.2017
Mittelstand befürchtet Benachteiligung durch EU-DSGVO

datensicherheit.de, 06.12.2017
EU-DSGVO: Größere Unternehmen in Deutschland bereiten sich vor



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung