Ein Jahr DSGVO: Immer noch Unsicherheit über die rechtlichen Auswirkungen

Unternehmensnetzwerke als Ziel für Cyberangriffe äußerst attraktiv

Von unserem Gastautor Thorsten Kurpjuhn, European Market Development Manager bei Zyxel

[datensicherheit.de, 25.07.2019] Nach der Flut an Einverständnis- und Widerspruchs-Mails, die im Frühjahr vergangenen Jahres vor der Einführung der allgemeinen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in den Postfächern eingegangen sind, ist es still um das Thema geworden. Bis zu einem gewissen Grad herrscht immer noch die Unsicherheit über die rechtlichen Auswirkungen der Gesetzgebung. Für einige Unternehmen scheint das Thema auch nicht von Bedeutung zu sein – in der Annahme, es würde keine Auswirkungen auf sie haben.

Bußgelder gegen die DSGVO in Höhe von insgesamt 56 Millionen Euro verhängt

Die Folge dieser Haltung gegenüber der DSGVO: Bis heute wurden im ersten Jahr mit mehr als 200.000 Ermittlungen, von denen 64.000 bestätigt wurden, Bußgelder in Höhe von insgesamt 56 Millionen Euro verhängt; 50 Millionen Euro, die die französische Datenschutzkommission CNIL ausgestellt hat, entfallen davon auf Google [1].

Bild: Zyxel

Thorsten Kurpjuhn, European Market Development Manager bei Zyxel

Die Herangehensweise und Reaktionen auf die DSGVO sind innerhalb Europas unterschiedlich. Länder wie die Slowakei und Schweden müssen nur noch eine einzige Geldbuße verhängen, während Länder wie Polen, Portugal oder Spanien Unternehmen mit Sanktionen von mehreren hunderttausend Euro belegt haben. Einige der höchsten Strafzahlungen wurden in Deutschland verhängt: mit 42 Bußgeldern – im Durchschnitt 16.100 Euro – und 58 Verwarnungen [2]. Zum Vergleich: Während die Niederlande mehr als 1.000 Verwarnungen ausgesprochen haben, gab es mit 600.000 Euro auch eine der höchsten Sanktionen in Europa. Ob die Höhe der verhängten DSGVO-Bußgelder in einigen Ländern auf mangelnde Einhaltung oder in anderen auf weniger sorgfältige Datenschutzbehörden zurückzuführen ist, bleibt dabei unklar.

Was machen Unternehmen in Sachen DSGVO-Konformität also falsch?

Achillesferse Unternehmensnetzwerk

Unternehmensnetzwerke sind im Grunde Datenautobahnen und als Ziel für Cyberangriffe äußerst attraktiv. Selbst wenn Datenverarbeitungsprotokolle und -verfahren DSGVO-konform sind, können diese Bemühungen vergebens sein, wenn die Netzwerksicherheit verletzt wird. Die Absicherung des Netzwerks zum Schutz der Daten muss für Unternehmen oberste Priorität haben. So kann vermieden werden, dass Daten abfließen und damit die DSGVO missachtet und möglicherweise mit erheblichen finanziellen Sanktionen geahndet würde.

Unternehmen riskieren Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Wert höher ist –, wenn Verstöße festgestellt werden. Compliance ist und bleibt eine Herausforderung. Dies liegt wohl daran, dass die Durchführung einer E-Mail-Marketingkampagne und die Aktualisierung interner Dokumente viel einfacher sind als konkrete Maßnahmen zum Schutz des Netzwerks und der vertraulichen Informationen.

Cyberkriminelle entwickeln ihre Methoden und Taktiken stets weiter und richten damit katastrophalen Schaden an. Bedrohungsakteure nutzen immer komplexere, neue Wege, um in die IT-Infrastruktur einzudringen; Unternehmen tun sich mit der Verteidigung ihrer Netzwerke und Datensicherheit daher zunehmend schwer.

Die Gesetzgebung schreibt vor, dass Unternehmen alles in ihrer Macht Stehende tun müssen, um die Datensicherheit zu gewährleisten. Dies bedeutet, dass sie eine robuste und zuverlässige Lösung benötigen. So zeigen sie zum einen Entschlossenheit zur Einhaltung der Regularien; zum anderen können sie den Zugriff auf ihre digitalen Assets und deren Schutz kontrollieren. Momentan tun Unternehmen allerdings hierfür nicht genug.

Es ist an der Zeit für starken Schutz

Eine Gesetzgebung, einschließlich der DSGVO, ist nur so mächtig, wie es deren Durchsetzung zulässt. Ernst and Young gehen davon aus, dass die Datenschutzbehörden strenger werden: „Wir erwarten, dass die europäischen Regulierungsbehörden ihre Ankündigungen für 2019 umsetzen und ihre Geldbußen erhöhen“, sagt Ernst-and-Young-Partner Peter Katko [3]. In den nächsten Monaten sollten sich Unternehmen in puncto DSGVO-Konformität ranhalten.

Während große Unternehmen in der Lage sind, Sicherheitsmaßnahmen auszulagern und sie an Managed Service Provider (MSPs) weiterzugeben, fehlt es kleinen und mittleren Unternehmen (KMUs) häufig an den erforderlichen Fähigkeiten und Ressourcen. Für KMUs können die hohen Bußgelder jedoch das Aus bedeuten.

Datenschutzbehörden können und dürfen nicht nur eine Geldbuße verhängen, sondern auch die Verarbeitung von Daten vorübergehend oder auf unbestimmte Zeit aussetzen. Ziel ist es, sicherzustellen, dass während der Ermittlungen keine Daten mehr kompromittiert werden können. Diese Entscheidung allein könnte jedoch die Zukunft eines Unternehmens bedrohen, insbesondere wenn man den Reputationsschaden in Betracht zieht, der sich daraus ergeben würde.

Zur Risikominimierung können KMUs praktische Maßnahmen ergreifen, um zu gewährleisten, dass das Netzwerk den Anforderungen der DSGVO entspricht. Es ist vor allem wichtig, dass sie ihre Netzwerke mit den neuesten Cybersicherheitsstandards und Infrastrukturen aufbauen, statt sich auf einen Standard-Heimrouter mit vorkonfigurierter Antivirensoftware zu verlassen.

Beispielsweise rücken Spezialtechnologien wie Advanced Threat Protection (ATP) in den Vordergrund und ermöglichen es Unternehmen, ihr Netzwerk in Echtzeit zu überwachen und vor Cyberbedrohungen zu schützen, um auch vor komplexen Angriffen geschützt zu sein.

Unternehmen können es sich nicht leisten, länger zu warten. Sie müssen sich nicht nur über die Richtlinien der Aufsichtsbehörden und die Durchsetzungsentscheidungen auf dem Laufenden halten, sondern auch die vorhandenen Netzwerkinfrastrukturen überprüfen, um das Risiko von Cyberangriffen zu verringern. Unternehmen sollten zudem internes Bewusstsein für Cybersicherheit und Aufklärung in den Vordergrund rücken, um sicherzustellen, dass jeder in der Organisation verantwortungsvoll mit Daten umgehen kann und weiß, worauf in Sachen Netzwerkbedrohungen zu achten ist.

Diejenigen Unternehmen, die jetzt handeln und entsprechende Maßnahmen ergreifen, können Sanktionen und Reputationsschäden, die mit Datenverletzungen einhergehen, vermeiden. Das Thema DSGVO muss wieder in den Fokus gerückt werden – und zwar für und bei jedem.

[1] https://9to5mac.com/2019/05/28/gdpr-fines/

[2] https://www.lexology.com/library/detail.aspx?g=c04317e4-4fc9-43b4-ab6d-bb19210c812d

[3] https://www.channelpartner.de/a/2018-nur-42-bussgelder-wegen-dsgvo-verhaengt,3601258

Weitere Informationen zum Thema:

datensicherheit.de, 26.06.2019
Ein Jahr DSGVO – Datenschutz und Durchsetzung

datensicherheit.de, 09.06.2019
Radware: Angriffe auf Managed Service Provider nehmen zu

datensicherheit.de, 03.06.2019
Unternehmen und DSGVO: Mangelndes Wissen und viel zusätzliche Arbeit

datensicherheit.de, 27.05.2019
DSGVO-Jahrestag: Viele Unternehmen tun sich immer noch schwer

datensicherheit.de, 25.05.2019
IT: Risiko trotz DSGVO in Deutschland weiterhin hoch

datensicherheit.de, 22.05.2019
Managed Service Provider: Fokus auf Rolle als strategische Berater