Unternehmen hinken bei EU-DSGVO-Anpassung hinterher

Am 25. Mai 2018 tritt die Europäische Datenschutz-Grundverordnung verpflichtend in Kraft

Von unserem Gastautor Sergej Schlotthauer, CEO von EgoSecure

[datensicherheit.de, 16.03.2018] Am 25. Mai dieses Jahres tritt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) verpflichtend in Kraft. Zwei Jahre hatten Unternehmen Zeit, Arbeitsprozesse und Betriebsabläufe, welche personenbezogene Daten beinhalten, an die neue Rechtslage anzupassen. Die Umstellung gestaltet sich dabei als umfassender Prozess. Denn personenbezogene Daten kommen in so gut wie jedem Unternehmensbereich zur Anwendung. Schon vor einem Jahr haben IT-Entscheider deshalb die erfolgreiche europaweite Umstellung bis zum Stichtag in Frage gestellt. Ihre Prognose scheint sich nun zu bewahrheiten. Viele Unternehmen hinken mit ihren Anpassungsmaßnahmen bereits dem Stichtag hinterher, dabei ist die Umstellung mit der geeigneten Security-Lösung für Betriebe gut machbar.

Wachsende Bedeutung des Themas Datenschutz

Für nicht wenige Unternehmen der EU stellt die Nutzung personenbezogener Daten einen integralen Bestandteil ihres Geschäftsmodells dar. Um der gewachsenen Bedeutung des Datenschutzes seiner Bürger gerecht zu werden, bestätigte im Mai 2016 das EU-Parlament die Datenschutz-Grundverordnung EU 2016/679. Sie soll das Vertrauen der EU-Bürger in ihre digitale Infrastruktur stärken und so den Stand von Digitalisierung und Vernetzung sowie die digitale Wettbewerbsfähigkeit der EU weiter erhöhen. Neben der Kontrolle personenbezogener Daten und dem Datenschutz im Europäischen Binnenmarkt regelt die Verordnung auch die Befugnisse von Strafverfolgungsbehörden und den rechtlichen Rahmen für den Datenverkehr mit dem außereuropäischen Raum. Aus 99 Artikeln und 173 Erwägungsgründen setzt sich die neue Grundverordnung zusammen. In ihnen werden Vorgaben, wie das Recht auf Datenportabilität, auf Datenlöschung und die aktive Informationspflicht von Unternehmen bei Datendiebstahl geregelt. Sämtliche personenbezogenen Daten eines Unternehmens, von den Mitarbeiter-, über die Kunden-, bis hin zu den Lieferanten- und Kooperationspartnerdaten sind betroffen. Namen und Anschriften fallen ebenso unter die neue Regelung, wie Verhaltens- oder auch Standortdaten. Und selbst Maschinendaten von Produktionsanlagen müssen, sofern sie beispielsweise einem Maschinenführer zugeordnet werden können, berücksichtigt werden. Entsprechend umfassend gestaltet sich die Heranführung der Unternehmen an die neuen Bestimmungen.

Stichtag 25. Mai – Unternehmen hinken hinterher

Der mit der Umstellung verbundene Arbeitsaufwand ist enorm. Bereits im letzten Frühjahr äußerten 70 Prozent der von NetApp in einer Studie befragten IT-Entscheider die Befürchtung, dass es ihrem Unternehmen nicht gelingen werde, die Umstellung bis zum Stichtag abzuschließen. [1] Ein halbes Jahr später gaben in einer IDC-Umfrage 44 Prozent der IT-Entscheider an, dass in ihrem Unternehmen bislang noch überhaupt keine, 41 Prozent, dass in ihrem Unternehmen lediglich einzelne Maßnahmen ergriffen worden seien. Nur 15 Prozent der Umfrageteilnehmer gab damals an, das Unternehmen bereits vollständig auf die neuen Richtlinien umgestellt zu haben. [2] Nicht ohne Grund hat die EU-Kommission deshalb kürzlich nochmals Regierungen, Behörden und Unternehmen aufgefordert, sich zügig an die Neuerungen anzupassen. [3] Denn Toleranzschwellen für Unternehmen, die den Stichtag überschreiten, sind nicht vorgesehen. Verstöße gegen die neue Regelung werden mit Geldstrafen von bis zu 10 Millionen Euro beziehungsweise bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorausgegangenen Geschäftsjahres, Verstöße gegen Betroffenenrechte sogar mit dem Doppelten geahndet. Zwar hinken außer Deutschland und Österreich bislang alle EU-Staaten mit der Überführung der Verordnung in ihr nationales Recht hinterher, [4] doch ändert dies nichts am verbindlichen Charakter der Verordnung. Denn bei der EU-DSGVO handelt es sich um eine Verordnung, die in allen EU-Mitgliedstaaten direkt rechtlich bindend sein wird.

Umfassende Umstellungen sind erforderlich

Dass viele Unternehmen mit der Umsetzung der neuen Rechtsordnung noch weit zurückliegen, ist verständlich. In der bereits erwähnten NetApp-Umfrage erklärten lediglich 37 Prozent der Umfrageteilnehmer, in ihrem Unternehmen zusätzliche Ressourcen für die Umstellung zur Verfügung gestellt bekommen zu haben. [5] Auch der Datenschutzbeauftragte Martin Esken weist darauf hin, dass gerade mittelständische Industrieunternehmen und Dienstleister auf der Suche nach Unterstützung sind, um das Thema Datenschutz mit möglichst wenig Aufwand entsprechend der geltenden Gesetze in den eigenen Prozessen zu verankern. Im Gegensatz zu Großunternehmen haben KMUs meist keine gut aufgestellte IT-Sicherheitsabteilungen. Das spezialisierte Fachpersonal fehlt. Auch mangelt es an Erfahrungen und fehlenden Maßnahmenkatalogen für solch grundsätzliche Anpassungsmaßnahmen. Entsprechend groß stellt sich für sie die Herausforderung dar, denn es reicht längst nicht aus, lediglich den Umgang mit personenbezogenen Daten im Arbeitsalltag den neuen Datenschutzrichtlinien anzupassen. Dennoch unterstützen geeignete Security-Lösungen, die etwa über Verschlüsselung und eine Auditfunktion verfügen sowie die Sensibilisierung der Mitarbeiter, was mit erfahrener Hilfe schnell umsetzbar ist.

Einrichtung eines Dokumentationssystems wichtig

Wichtig ist, dass Unternehmen ein Dokumentationssystem einrichten, in dem der datenschutzkonforme Umgang mit den personenbezogenen Daten festgehalten wird. Denn mit der Datenschutzgrundverordnung sind Betriebe künftig rechenschaftspflichtig, und das kontinuierlich. Im Streitfall werden sie gegenüber Aufsichtsbehörden nachweisen müssen, dass sie sich an sämtliche Vorgaben gehalten haben. Und schließlich bedarf auch die Sicherheitsinfrastruktur einer Anpassung an die neuen Richtlinien. Das heißt, einerseits müssen Datenverluste nachgewiesen werden können, andererseits darf dies aber nicht dazu führen, dass die Persönlichkeitsrechte der Mitarbeiter, die personenbezogene Daten verarbeiten, verletzt werden. Eine Überwachung der Mitarbeiter darf also nicht stattfinden. Eine Lösung ist ein 4-6 Augenprinzip beim Zugang zu den Verarbeitungsdaten, das moderne Auditlösungen bieten. Nur dann, wenn tatsächlich ein Datenverlust entstanden ist, bei dessen Identifizierung die Protokollierungsdaten benötigt werden, kann unter Zustimmung des Betriebsrates und/oder des Datenschutzbeauftragten, die jeweils ein eigenes Passwort haben, auf entsprechende Daten zugegriffen werden, so Esken.

Sicherungsmaßnahmen, wie die Verhinderung von Angriffen durch Datenverschlüsselung, die Überwachung von Datenverletzungen ohne Verschlüsselung, die privilegierte Zugriffskontrolle sowie die Erstellung von Audit-Daten und die Verwaltung der Datenübertragung in Echtzeit, sind künftig im Umgang mit personenbezogenen Daten vorgeschrieben.

Insbesondere bei der Verschlüsselung sieht Esken das Problem, dass viele Lösungen einfach zu kompliziert sind – wie etwa die Container-Verschlüsselung. Hier sind umfangreiche Schulungen der Mitarbeiter nötig, um diese korrekt anzuwenden. Dabei sollte Verschlüsselung nicht nur im Hinblick auf das Datenschutzgesetz eine Rolle spielen, sondern auch zum Schutz vor Wirtschaftsspionage eine Selbstverständlichkeit sein.

Unternehmen werden sich entsprechend nach einer neuen Sicherheitssoftware umsehen müssen, welche den Netzwerkschutz EU-DSGVO-konform managen, die datenschutzrelevante Situation im Netzwerk überwachen und über automatische Audit-Verfahren verifizieren kann. All diese Dinge werden IT-Entscheider im Auge behalten müssen, wollen sie ihr Unternehmen bis zum 25. Mai noch fit für die neue Datenschutzgrundverordnung machen.

Weitere Informationen zum Thema:

[1] https://www.netapp.com/de/company/news/press-releases/news-rel-20170508-842365.aspx
[2] https://www.computerwoche.de/a/unternehmen-nehmen-dsgvo-auf-die-leichte-schulter,3331825
[3] http://www.handelsblatt.com/politik/international/datenschutzgrundverordnung-zaehe-vorbereitung-auf-neue-eu-datenschutzregeln/20881966.html
[4] http://www.handelsblatt.com/politik/international/datenschutzgrundverordnung-zaehe-vorbereitung-auf-neue-eu-datenschutzregeln/20881966.html
[5] https://www.netapp.com/de/company/news/press-releases/news-rel-20170508-842365.aspx

datensicherheit.de, 11.02.2018
DSGVO-Umsetzung: Methodisches Handeln, bevor Hektik aufkommt!

datensicherheit.de, 06.09.2017
DSGVO-Vorbereitungen: Deutsche Unternehmen überschätzen sich