[datensicherheit.de, 07.03.2021] Ralf Benzmüller, „Executive Speaker“ bei G DATA CyberDefense, erklärt in einer aktuellen Stellungnahme, „warum der kürzlich erfolgte Zusatz zur Klarnamenpflicht keinen Zugewinn an Sicherheit bringt und daher nichts im Telekommunikationsgesetz zu suchen hat“. Mit dem überarbeiteten Telekommunikationsgesetz wolle die Bundesregierung die Digitalisierung in Deutschland durch mehr und bessere Breitbandanschlüsse verbessern – doch in letzter Minute seien einige kritische Änderungen in den Text aufgenommen worden.

Foto: G DATA

Ralf Benzmüller: Mit letzten Änderungen einige kritische Punkte in Gesetzentwurf aufgenommen…

G DATA sieht keinen echten Zugewinn an Sicherheit

Benzmüller kommentiert: „Mit der Novelle des TKG wird ein wichtiges Ziel verfolgt, um den Digitalstandort Deutschland zu stärken. Unternehmen und Privatanwender brauchen endlich einen flächendeckenden Ausbau der Glasfaserinfrastruktur, um die digitale Zukunft souverän gestalten zu können. Doch leider werden mit den letzten Änderungen einige kritische Punkte in den Gesetzentwurf aufgenommen.“
Denn eine Klarnamenpflicht für Messenger, Chats oder Videoplattformen schaffe „nur enorme Bürokratie“, aber keinen echten Zugewinn an Sicherheit. „Und was das Ganze im TKG zu suchen hat, bleibt schleierhaft“, so Benzmüller.

Nur 2 Tage: G DATA moniert knapp gesetzte Frist für Reaktionen

Problematisch sei darüber hinaus auch die sehr knapp gesetzte Frist für Reaktionen, kritisiert Benzmüller. „Nur zwei Tage Zeit für einen Gesetzentwurf von 475 Seiten ist absurd kurz.“ Leider sei dies nicht das erste Mal:
Auch die Entwürfe für das IT-Sicherheitsgesetz 2.0 seien mit einer sehr kurzen Frist versendet worden – „Stakeholder aus Wirtschaft und Zivilgesellschaft sollten innerhalb weniger Tage Stellung nehmen. Die Bundesregierung muss sich fragen lassen, ob sie es mit der Beteiligung von Fachexperten wirklich ernst meint.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.02.2021
BfDI-Kritik: 1.000 Tage DSGVO ohne Anpassung von TKG und TMG / Prof. Ulrich Kelber, der BfDI, moniert Rechtsunsicherheit für Unternehmen und Verbraucher

datensicherheit.de, 10.12.2020
IT-Sicherheitsgesetz 2.0: eco warnt vor vorschneller nationaler Regulierung / Der Verband der Internetwirtschaft (eco) befürchtet hohes Risiko für Unternehmen und private Nutzer

[datensicherheit.de, 20.05.2019] In einem aktuellen Kommentar blickt Rainer Rehm, „DPO EMEA und CISO DACH“ bei Zscaler, auf ein Jahr Datenschutzgrundverordnung (DSGVO) zurück – seiner Ansicht nach brachte dieses Jahr durchaus einen Zuwachs an „Datenhygiene“, aber eben auch an Bürokratie.

Datenbeständen oft über mehrere verschiedene Abteilungen verstreut

Rehm: „Im ersten Jahr der europäischen Datenschutzgrundverordnung (DSGVO) kehrte in die Unternehmen eine größere Datenhygiene ein. Sie waren gezwungen, einen besseren Schutz und eine verantwortungsbewusstere Verwaltung der Daten europäischer Bürger zu gewährleisten.“
Um dies zu erreichen, mussten die Unternehmen laut Rehm den Überblick über die Vorhaltung von Datenbeständen erhalten, die oft über mehrere verschiedene Abteilungen verstreut aufbewahrt wurden. Nur auf einer einheitlichen Datenbasis – oftmals als „data dictionary“ oder „data repository“ bezeichnet – habe festgestellt werden können, „ob die Erlaubnis zur Verwendung der personenbezogenen Daten tatsächlich vorliegt“.

Zuweilen überreagiert und große Datenbestände gelöscht

In vielen Fällen hätten Firmen „überreagiert und große Datenbestände gelöscht“, die nicht dem Anspruch der „Double Opt-In“-Zustimmung entsprochen hätten. „Allzu oft geschah dies aufgrund mangelnder Kenntnisse über den richtigen Umgang mit den Datensätzen“, so Rehm.
Zahlreiche Initiativen zur Einholung der Zustimmung seien zudem erst in letzter Minute gestartet worden. In den meisten Fällen habe das jedoch nicht die gewünschte Wirkung nach sich gezogen und in der Folge zu einer „erheblichen Verkleinerung der Datenbanken“ geführt.

Digitale Assets kontrollieren und schützen

„Darüber hinaus mussten Unternehmen neue Technologien einführen, um digitale Assets kontrollieren und schützen zu können, sowie die oftmals zusammenhanglosen Vorgehensweisen zwischen den Abteilungen in Einklang zu bringen. Daraus abteilungsübergreifend Erkenntnisse abzuleiten, ist für die Aktualisierung des Sicherheitsstatus einer Organisation zwingend notwendig“, unterstreicht Rehm.
Die eingeführten Prozesse zur effektiveren Verwaltung der Daten hätten im ersten Jahr der Grundverordnung zu einem besseren Verständnis in Unternehmen geführt, „wo personenbezogene Daten eigentlich vorgehalten werden und wer darauf Zugang hat“. Die Mitarbeiter seien durch die Erklärungen und Kampagnen besser über die mit der Datenverarbeitung notwendigen Schutzziele und Maßnahmen vertraut gemacht worden, so dass davon ausgegangen werden könne, das zukünftige Datenerhebungen bereits mit „Privacy by Default“ erfolgen würden. „Diese getroffenen Maßnahmen bilden nun die Voraussetzung, um im Falle eines Datenverlustes die gesetzlichen Meldepflichten erfüllen zu können, sorgte aber gleichzeitig für Ordnung“, betont Rehm.

Dokumentationspflicht: Weder Standardisierung der Arbeitsschritte noch einheitliche Vorlagen

Während die DSGVO somit zu einer höheren „Datenhygiene“ geführt habe, „steigerte sich damit einhergehend die Bürokratie“. Um Compliance nachweisen zu können, seien eine Vielzahl von Vorlagen und Formularen erforderlich, die den Verantwortlichen dabei helfen sollten, den Überblick über die implementierten Prozesse zu belegen. Rehm erinnert: „Dokumente für das Datenmanagement und die Datenverarbeitung der gesamten Lieferkette erforderten vor der Umsetzung der Verordnung unzählige Interaktionen zwischen allen beteiligten Parteien und zogen haufenweise Papierstapel nach sich.“
Bisher gebe es noch keine Standardisierung dieser Arbeitsschritte der Dokumentationspflicht oder gar einheitliche Vorlagen. Die möglichen Zertifizierungen auf der Grundlage des Artikels 42 der DSGVO aber würden in der Folge wohl einen freiwilligen Gang zur Vereinfachung des Nachweises auslösen.

Foto: Zscaler

Rainer Rehm: Mögliche Zertifizierungen auf Grundlage des Artikels 42 DSGVO werden wohl zur Vereinfachung des Compliance-Nachweises führen.

DSGVO: Noch zu viel Raum für Interpretationen

Trotz aller Bemühungen bleibe die Unsicherheit jedoch aufgrund der Komplexität bestehen, „ob Unternehmen sich nun konform zur Datenschutzrichtlinie verhalten oder nicht“. Die DSGVO in ihrer anfänglichen Fassung lasse „nämlich noch zu viel Raum für Interpretationen“.
Die ersten, verhängten Bußgelder durch die CNIL in Frankreich und das ICO im Vereinigten Königreich gegen Internet-Giganten wie Google und Facebook zeigten indes, dass der Datenschutz inzwischen aber von Kontrollgremien ernstgenommen werde – „besonders, wenn Unternehmen die Regeln zur geforderten Transparenz für den Anwender nicht einhalten“, so Rehm.

Weitere Informationen zum Thema:

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance