[datensicherheit.de, 16.10.2019] Die deutschen Datenschutzbehörden haben heute ihr Modell zur Festlegung von wirksamen und abschreckenden Bußgeldern nach Art. 83 EU-Datenschutz-Grundverordnung (DSGVO) vorgestellt. Damit wird die Bemessung von Bußgeldern nach der DSGVO künftig auf eine neue verbindliche Grundlage gestellt. Das Bußgeldmodell der Datenschutzbehörden kann gerade für größere Unternehmen und Konzerne zu sehr hohen Bußgeldern führen, denn die Behörden berechnen die Bußgelder auf der Basis des Umsatzes der „wirtschaftlichen Einheit“, also oftmals der Unternehmensgruppe.

Bußgeldrisiken müssen identifiziert und einkalkuliert werden

Für Vorstände, Datenschützer und Risikomanager bedeutet dies, dass sie zukünftig Bußgeldrisiken identifizieren und einkalkulieren müssen. „Das neue Modell ermöglicht es, die Höhe drohender Bußgeldrisiken nun deutlich präziser als bislang zu berechnen“, erläutert Tim Wybitul, Datenschutzexperte der Kanzlei Latham & Watkins, und ergänzt: „Für Vorstände bringt das neue Bußgeldmodell neue Anforderungen mit sich. Denn Risiken beim Datenschutz lassen sich nun deutlich genauer berechnen. Daher sollten Vorstände auch dafür Sorge tragen, dass das Risikomanagement eingebunden wird, um Bußgeldrisiken bei möglichen Verstößen gegen die DSGVO zu identifizieren und zu bewerten. Gegebenenfalls müssen Unternehmen, auch Rückstellungen bilden oder Anleger nach den Vorgaben des Wertpapierhandelsrechts informieren. Das hängt von der Höhe der im Einzelfall zu erwartenden Bußgelder und der Eintrittswahrscheinlichkeit solcher Risiken ab.“

Bußgelder werden zukünfitg höher ausfallen

Mit dem neuen Modell werden Bußgelder wegen Datenschutzverstößen nun auch in Deutschland deutlich höher als bislang ausfallen. So hat die Berliner Datenschutzbehörde bereits im August angekündigt, ein möglicherweise zweistelliges Millionenbußgeld zu verhängen. In anderen Ländern der Europäischen Union sind solche Beträge nichts Neues mehr. Die britische Datenschutzbehörde ICO hat in diesem Jahr Bußgelder in Höhe von etwa EUR 200 Millionen und in einem anderen Fall von EUR 100 Millionen angekündigt. Die französische Behörde hatte zuvor bereits ein Bußgeld in Höhe von EUR 50 Millionen verhängt. Das neue deutsche Bußgeldmodell ist darauf ausgelegt, die sehr hohen Bußgeldrahmen der DSGVO bei schweren Verstößen voll auszuschöpfen. Aber auch bei leichteren Übertretungen der DSGVO drohen großen Unternehmen schon Millionenbußgelder.

Latham & Watkins hat Mandanten in der Vergangenheit bereits mehrfach erfolgreich bei Bußgeldverfahren beraten. So hat das Team um Tim Wybitul beispielsweise die Knuddels GmbH & Co. KG, Betreiber der deutschsprachigen Chatcommunity Knuddels.de, erfolgreich in einem DSGVO-Bußgeldverfahren um gestohlene Nutzerdaten verteidigt. Der maximale Bußgeldrahmen der DSGVO sieht pro einzelnem Verstoß Geldbußen von bis zu EUR 20 Mio. oder 4% des Umsatzes des vorangegangenen Geschäftsjahres vor. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg verhängte dennoch nur ein sehr niedriges Bußgeld in Höhe von EUR 20.000 gegen die Latham & Watkins-Mandantin.

„Das neue Datenschutzmodell ist nur für deutsche Aufsichtsbehörden verbindlich. Weder Gerichte noch andere EU-Behörden sind an die Vorgaben des Berechnungsmodells gebunden. Allerdings stimmen sich die Behörden auch auf EU-Ebene intensiv miteinander ab, um ein gemeinsames Bußgeldmodell anzuwenden. Wenn sich die Bußgeldpraxis in der EU an dem deutschen Modell orientieren sollte, müssen sich Unternehmen in allen europäischen Mitgliedsstaaten auf gravierende Bußgelder einstellen“, so Wybitul.

Weitere Informationen zum Thema:

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

datensicherheit.de, 15.08.2019
Datenschutz: Latham & Watkins rät Unternehmen zu guter Vorbereitung

datensicherheit.de, 25.07.2019
Ein Jahr DSGVO: Immer noch Unsicherheit über die rechtlichen Auswirkungen

Von unserem Gastautor Jason Hart, Cybersecurity Evangelist bei Thales

[datensicherheit.de, 26.06.2019] Die wichtigste Änderung der Datenschutzvorschriften in den letzten zehn Jahren feiert einjähriges Jubiläum: Die DSGVO bildet den Rahmen für den Umang mit personenbezogenen Daten sektor- und branchenübergreifend. Nach einem Jahr stellt sich die Frage, wie die neue Verordnung angenommen wurde. Wie managen Unternehmen die Umsetzung der strengeren Datenschutzverordnung? Wissen Firmen, was von ihnen verlangt wird, um Compliance zu erreichen? Sind sich die EU-Bürger ihrer neuen Rechte bewusst? Wie gehen die Datenschutzbehörden (Data Protection Authorities, DPAs) gegen Verstößen vor und wie hat sich die DSGVO auf andere globale Datenschutzbestimmungen ausgewirkt?

DSGVO – Ein Rückblick

Im Mai dieses Jahres veröffentlichte die Europäische Kommission eine Infografik zur Einhaltung und Durchsetzung der DSGVO für den Zeitraum Mai 2018 bis Mai 2019. Darunter waren einige interessante Erkenntnisse:

• 67 Prozent der Europäer haben von der GDPR gehört, 57 Prozent wissen, dass es in ihrem Land eine Einrichtung gibt, die für den Schutz ihrer Rechte an personenbezogenen Daten zuständig ist.
• Aber nur 20 Prozent wissen, welche Behörde das dann tatsächlich ist. Insgesamt wurden 144.376 Anfragen und Beschwerden bei den DPAs gemeldet, die sich vor allem auf Telemarketing, Werbe-E-Mails und Videoüberwachung belaufen.
• 89.271 Benachrichtigungen gab es zu Datenschutzverletzungen, 446 Fälle davon sind grenzüberschreitend.
• Bis auf Griechenland, Slowenien und Portugal haben alle EU-Mitgliedsstaaten die erforderlichen nationalen Rechtsvorschriften erlassen.

Andrus Ansip, Vizepräsident für den digitalen Binnenmarkt, und Věra Jourová, Kommissar für Justiz, Verbraucher und Gleichstellung der Geschlechter, erklärten in einer Pressemeldung der Europäischen Kommission: „Diese wegweisenden Regeln haben Europa nicht nur fit für das digitale Zeitalter gemacht, sie sind auch zu einem globalen Bezugspunkt geworden.“ Und: „Neue Zahlen zeigen, dass fast sechs von zehn Personen wissen, dass es in ihrem Land eine Datenschutzbehörde gibt.“

Bild: Thales

Jason Hart, Cybersecurity Evangelist bei Thales

Die Meldung erläutert zudem die Arbeit der EU in Bezug auf die Regulierung von Zukunftstechnologien: „Das neue Gesetz ist zum regulatorischen Boden Europas geworden, der unsere Reaktion in vielen Bereichen prägt. Von der künstlichen Intelligenz über die Entwicklung von 5G-Netzwerken bis hin zur Integrität unserer Wahlen tragen strenge Datenschutzbestimmungen dazu bei, unsere Richtlinien und Technologien auf der Grundlage des Vertrauens der Menschen zu entwickeln.“

Die Zukunft des Datenschutzes

Die Verabschiedung und das Inkrafttreten der DSGVO brachten viel Unsicherheit in der gesamten Geschäftswelt hervor – vor allem in Bezug auf die damit verbundenen Anforderungen und Verpflichtungen. Einige Vorbehalte sind verschwunden, da mittlerweile ein besseres Verständnis für den Datenschutz herrscht. Es wurde ein größeres Bewusstsein geschaffen und bisherige, etablierte Verfahren überdacht und angepasst.

Die Schonfrist für Organisationen ist bald vorbei und es ist ziemlich sicher, dass DPAs künftig weit höhere Geldbußen und Strafen verhängen werden. Unternehmen müssen deshalb darüber aufgeklärt werden, welche Art der personenbezogenen Daten in welcher Form verarbeitet werden dürfen und was zu tun ist, damit alle Vorschriften eingehalten werden können.

Im ersten DSGVO-Jahr waren die DPAs in allen EU-Mitgliedstaaten eher tolerant, wenn es um Verstöße gegen die Vorschriften ging, und sie leisteten vielen Unternehmen Hilfestellung bei der Einhaltung dieser. In manchen Fällen wurden aber dennoch hohe Geldbußen verhängt und alle Beteiligten sollten sich darüber bewusst sein, dass es auch andere Strafen gibt, die bis zur Aussetzung der Datenverarbeitung führen können.

DSGVO beeinflusst die Datenschutzgespräche weltweit

Viele Länder in Europa, die nicht der EU-Gesetzgebung unterliegen, haben ebenfalls Compliance-Vorschriften erlassen, die der DSGVO sehr ähneln: darunter Norwegen, die Schweiz, Island, Liechtenstein und Großbritannien (bei der Vorbereitung auf einen No Deal Brexit). Ebenso überarbeiten einige Regionen mit engen Beziehungen zu Europa, wie Asien und Afrika, ihre Datenschutzbestimmungen. Andere Datenschutzgesetze scheinen von der DSGVO stark beeinflusst zu werden, vor allem dann, wenn es um die Rechte der betroffenen Personen, die Erkennung beziehungsweise Verhinderung von Datenschutzverletzungen und die Rechenschaftspflicht geht. Beispiele hierfür sind unter anderem der California Consumer Privacy Act (CCPA) und das kommende LGPD (General Law of Data Protection) in Brasilien.

Fazit

Die DSGVO verändert den Datenschutz weltweit und zwingt Organisationen bei der Verarbeitung von personenbezogenen Daten umzudenken. Auch Länder, die nicht von der europäischen Datenschutzgrundverordnung betroffen sind, setzen sich nun mehr mit diesen Themen auseinander und nehmen entsprechende Gespräche auf – Beispiel: USA. Gerade Firmen, die multinational oder multiregional tätig sind, werden mit den unterschiedlichen rechtlichen Rahmenbedingungen konfrontiert, die gegebenenfalls zu Konflikten mit der eigenen Gesetzgebung führen können.

Weitere Informationen zum Thema:

datensicherheit.de, 03.06.2019
Unternehmen und DSGVO: Mangelndes Wissen und viel zusätzliche Arbeit

datensicherheit.de, 27.05.2019
DSGVO-Jahrestag: Viele Unternehmen tun sich immer noch schwer

datensicherheit.de, 25.05.2019
IT: Risiko trotz DSGVO in Deutschland weiterhin hoch

datensicherheit.de, 21.05.2019
Papier: Datenschutz gilt auch für analoge Daten

datensicherheit.de, 20.05.2019
DSGVO brachte mehr Datenhygiene und auch Bürokratie

datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 12.10.2018
Gemalto Breach Level Index: 4,5 Milliarden Datensätze im ersten Halbjahr 2018 kompromittiert

[datensicherheit.de, 15.10.2018] Nach der Anfrage- und Beschwerdeflut seit Inkrafttreten der DSGVO im Mai rechnen die Datenschutzbehörden in Deutschland auch im vierten Quartal mit hohen beziehungsweise weiter ansteigenden Anfragezahlen. Das geht aus einer Umfrage unter den 16 Länderbehörden im Auftrag des Münchner Unternehmens ER Secure GmbH hervor. Insgesamt gingen seit Mai in Deutschland mehr als 70.000 Anfragen und Beschwerden ein. Spitzenreiter mit knapp 5.000 Anfragen und Beschwerden ist Nordrhein-Westfalen. Fragen zum Online-Datenschutz dominieren dabei. „Unternehmen, über die Beschwerden eingehen, müssen damit rechnen, dass die Behörden diesen Fällen schrittweise nachgehen. Wer das Thema bisher nicht ernst genommen hat, sollte sich von der scheinbaren Ruhe und der bisher fehlenden Rechtsprechung nicht täuschen lassen“, sagt René Rautenberg, Geschäftsführer bei ER Secure.

Die DSGVO bleibt Dauerbrenner in 2018. 60 Prozent der befragten Datenschutzbehörden in den Bundesländern sehen eine gleichbleibend hohe Tendenz der Anfragen und Beschwerden im vierten Quartal. 20 Prozent sehen sogar eine deutliche Zunahme. Rheinland-Pfalz erwartet eine Verfünffachung der Kontaktaufnahmen. Gegensätzlich dazu vermuten nur die Behörden der Bundesländer Hamburg, Nordrhein-Westfalen und Saarland eine Abnahme.

Mit rund 4.700 Anfragen und Beschwerden im Monat liegt Nordrhein-Westfalen auf Platz eins der Rangliste, gefolgt von Berlin mit mehr als 2.400 und Bayern mit 2.380 monatlichen Kontaktaufnahmen von besorgten Bürgern, Vereinen und Unternehmen. Nur in Bremen liegt der monatliche Durchschnitt mit je 25 Anfragen und Beschwerden im unteren zweistelligen Bereich.

Laut der Erhebung betreffen diese Anfragen und Beschwerden aktuell mehrheitlich Onlinethemen. Die meisten Anfragen und Beschwerden, die die Behörden erreichen, kommen demnach aus der Rubrik Internetnutzung. „Videoüberwachung, Telemedien, Werbung und datenschutzkonforme Ausgestaltung von Webseiten sind ebenso häufige Gründe für Anfragen sowie Beschwerden“, erklärt Rautenberg. Außerdem interessieren sich Bürger und Institutionen nach Auskunft der Behörden für den Datenschutz im Gesundheitsbereich. Zudem ersuchen Betroffene die 16 Datenschutzbehörden wegen Fragen zu Informationspflichten, Auskunftsrechten, Betroffenenrechten sowie Beschäftigtendatenschutz.

Datenschutzbehörden haben die Zahl der Mitarbeiter aufgestockt

Die stark beanspruchten Behörden haben seit dem 25. Mai 2018 die Zahl ihrer Mitarbeiter weiter aufgestockt. Mit 66 Angestellten stellt Nordrhein-Westfahlen aktuell die größte Behörde, dicht gefolgt von Baden-Württemberg (55), Berlin (51) und Niedersachsen (49). Die Behörden Hamburg, Nordrhein-Westfahlen und Schleswig-Holstein erklären zudem, im nächsten Jahr noch weitere Stellen schaffen zu wollen. „Die Behörden werden zunehmend handlungsfähig. Nachdem Unternehmen in den vergangenen Monaten eine Art Schonfrist hatten, nimmt die Wahrscheinlichkeit der Konsequenzen nun zu. Denn: Jetzt können die Behörden sukzessiv und nach Priorität allen Beschwerden nachgehen, die sie erreicht haben. Unternehmen, die die DSGVO bisher auf die leichte Schulter genommen haben, müssen die Zeit nutzen, sich gesetzeskonform aufzustellen“, erklärt René Rautenberg. Das Unternehmen ER Secure GmbH bietet eine Online-Lösung, mit der Unternehmen, Verbände und Vereine die DSGVO Schritt für Schritt auf ihre Bedürfnisse angepasst umsetzen können.

Die Auswertung beruht auf einer Umfrage im Auftrag der ER Secure GmbH im Zeitraum September und Oktober 2018 per Telefon und E-Mail.

Weitere Informationen zum Thema:

datensicherheit.de, 18.09.2018
DSGVO: „Wird schon gutgehen“ ist definitiv die falsche Einstellung

datensicherheit.de, 20.08.2018
Datenhoheit versus Datenschutz in der digitalen Kommunikation

datensicherheit.de, 29.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

datensicherheit.de, 25.07.2018
Nutzer klagen über nachlässigen Datenumgang von Facebook

datensicherheit.de, 23.03.2018
Die sieben häufigsten Fehler der digitalen Kommunikation

Von unserem Gastautor Terry Ray, CTO von Imperva

[datensicherheit.de, 25.07.2018] Der 25. Mai kam und ging. Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) ist jetzt verbindlich. Die ersten Klagen im Zusammenhang mit der DSGVO wurden bereits eingereicht. Und die Welt dreht sich trotzdem weiter.

Die DSGVO dürfte das weitreichendste und komplexeste Datenschutz-Regelwerk sein, das die Welt je gesehen hat. Das hat folgende Gründe:

• Die DSGVO stellt enorm hohe Sicherheits- und Datenschutzanforderungen an Unternehmen, die personenbezogene Daten besitzen. Dabei spielt es keine Rolle, ob ein Unternehmen diese Daten durch Dritte verarbeiten lässt oder nicht.
• Bei Verletzungen der Vorschriften sieht die DSGVO schwindelerregende Höchststrafen vor. In manchen Fällen könnten diese bis zu 20.000.000 Euro oder 4 % des Jahresumsatzes des zuwiderhandelnden Unternehmens betragen, je nachdem, welcher Betrag höher ist.
• Wenn es um personenbezogene Daten von Bürgern in der EU geht, ist die DSGVO de facto eine globale Verordnung, mithilfe derer die EU ihre Vorstellungen von Datenschutz nahezu weltweit verbreitet.

In Zeiten, in denen regelmäßig spektakuläre Datenpannen Schlagzeilen machen, haben indessen viele Führungskräfte und IT-Administratoren Sorge, dass ihre Unternehmen außerstande sein könnten, die DSGVO einzuhalten.

Bild: Imperva

Terry Ray, CTO von Imperva

Die schlechte Nachricht ist, dass sie wahrscheinlich recht haben. Meine persönliche Prognose lautet, dass neun von zehn Unternehmen ihren ersten DSGVO-Audit nicht bestehen – und dass viele auch bei den nachfolgenden Audits durchfallen werden.

Die gute Nachricht ist, dass sie wahrscheinlich recht haben. Wenn nämlich so große Teile der Welt nicht in der Lage sind, den strengsten Interpretationen der DSGVO gerecht zu werden (am 25. Mail reagierten viele große US-Websites auf die DSGVO damit, dass sie EU-Besucher einfach blockierten), werden die Datenschutzbehörden der EU-Mitgliedsstaaten ihr Vorgehen in der Praxis daran anpassen müssen. Solange sich in einem Unternehmen kein Datendiebstahl oder ein ähnlicher Vorfall ereignet hat, ist es äußerst unwahrscheinlich, dass die Datenschutzbehörden mit voller Härte und Strafgewalt zuschlagen, nur weil die DSGVO-Compliance Lücken aufweist. Zwar werden sich kleinere Delinquenten, bei denen es zu keinem Datenmissbrauch gekommen ist, zweifellos auf Abmahnungen und/oder geringere Geldbußen einstellen müssen, doch darf man davon ausgehen, dass sich die Datenschutzbehörden (wie alle Regulierungsbehörden) auf die Jagd nach den größten, nachlässigsten, glücklosesten und politisch unbeliebtesten Missetätern konzentrieren werden.

Der DSGVO davonlaufen

In den ersten Jahren der DSGVO dürften die meisten Unternehmen keine allzu großen Schwierigkeiten hinsichtlich Compliance-Problemen bekommen, sofern sie nicht (a) mehrmals mit den gleichen Verstößen auffallen, (b) fahrlässiges Verhalten an den Tag legen oder (c) Opfer eines Datenmissbrauchs werden. Denn die Regulierer halten es ein wenig wie die Hacker: Sie konzentrieren sich zunächst sich zuerst die „einfachen Ziele“.

Zum Beispiel schreibt die DSGVO eine sehr grundlegende Datenhygiene vor: Die Unternehmen, die der Verordnung unterliegen, müssen wissen, welche DSGVO-relevanten Daten sie wo gespeichert haben, sie müssen diese Daten klassifizieren sowie überwachen und schützen. In vielen großen und mittleren Unternehmen mangelt es allerdings schon an diesen „Basics“ der Datenhygiene. Wenn Konzern X sicher weiß, dass er DSGVO-relevante Daten auf, sagen wir mal, 10 Prozent seiner Server speichert und zugänglich macht, dann dürfte er mit diesem dokumentierten Wissen der Konkurrenz in puncto Compliance also schon ein gutes Stück voraus sein.

Wahrscheinlich ist jedoch, dass irgendwann ein externer Prüfer feststellt, dass es zwar von Vorteil ist, dass das Unternehmen auf diesen 10 Prozent ihrer Server DSGVO-relevante Daten speichert, hier allerdings der Nachweis fehlt, dass auf den anderen 90 Prozent ihrer Server keine DSGVO-relevanten Daten liegen.

Datenschutz erfordert spezifische Übersichtsdaten

Was den sicheren Entwicklungszyklus (SDLC) angeht, haben sensible Daten ein Talent, an Orte zu gelangen, an denen sie nichts verloren haben. IT-Administratoren verbringen oft viel Zeit damit, sich auf das zu fokussieren, was sie wissen – und kümmern sich viel zu wenig um das, was sie nicht wissen. Schon viel zu viele gravierende Datendiebstähle sind möglich geworden, weil Angreifer Speicherorte mit sensiblen Daten aufspürten, dessen sich das betreffende Unternehmen nicht bewusst war – weswegen es auch keine angemessenen Maßnahmen getroffen hatte, um die Daten zu schützen, zu verfremden oder Bedrohungen anderweitig zu entschärfen.

Einem Prüfer einfach 75.000 Seiten mit Datenbankabfragen in die Hand zu geben, wird nicht ausreichen, denn kein Prüfer der Welt kann hiermit etwas anfangen. Stattdessen benötigt ein Unternehmen spezifischere, detailliertere und gezieltere Überblicksdaten, die zeigen, wer wann mit welchen Dateiservern oder Datenbanken zu tun hatte. Und was noch wichtiger ist: Aus diesen Überblicksdaten muss hervorgehen, worauf genau zugegriffen wurde.

Dies wird die große Cybersecurity-Lernkurve werden, welche die DSGVO mit sich bringt. Derzeit kursieren so viele Worst-Case-Compliance-Szenarien (kein Datenschutz, keine Datenverfremdung, Produktionsdaten überall), dass Unternehmen es wohl ohne allzu große Mühe vermeiden können, im – sagen wir mal – ersten bis dritten Jahr der DSGVO auf die Fahndungslisten der Datenschutzbehörden zu geraten. Nur werden es viele weiterhin daran fehlen lassen, Best Practices für Datenschutz und Datenhygiene zu befolgen und Vorschriften umfassend einzuhalten.

DSGVO: Eine Datenschutz-Nebelkerze

Dies ist der Grund, warum die DSGVO in gewisser Weise fast keinen Unterschied macht. Unternehmen, die auf der Suche nach Datenschutzlösungen sind, erkundigen sich bei den Anbietern häufig, ob diese (und deren Kunden) mit irgendeinem bestimmten Regelwerk konform sind. Das ist zwar eine berechtigte Frage, allerdings gilt hier für Unternehmen zu bedenken, dass es im Grunde nicht entscheidend ist, um welche spezifische Vorschrift es sich handelt und ob der Betrieb Kunden hat, die diese Vorschrift einhalten, oder nicht. Der Grund dafür ist, dass die Vorschriften – allesamt – relativ ähnlich sind. Der zentrale Grundsatz absolut jeder existierenden Datenschutzvorschrift lautet:

Sie müssen wissen, wer auf bestimmte Informationen wann, wo und wie (und in welchem Umfang) zugreift.

Sicherlich gibt es verschiedene Arten von Daten und Vorschriften mit jeweils unterschiedlichen Anforderungen an die Berichterstattung und Nachverfolgung. Doch entweder kann Ihnen ein Anbieter helfen, den obigen zentralen Grundsatz zu befolgen – oder eben nicht.

Der größte Haken an der DSGVO – und der Auslöser für die Panik bei zahlreichen Unternehmen – besteht darin, dass es um ein so breites Spektrum an Daten geht und sehr viele Abteilungen betroffen sein können, ganz gleich in welchem Sektor oder Wirtschaftszweig. Schließlich reden wir hier von Kundendaten, die praktisch überall zu finden sein können.

Das wirft für Unternehmen, die DSGVO-konform werden wollen, zwei schwierige Fragen auf: Erstens: Wie können wir alle unsere Daten und die Zugriffe darauf überprüfen? Ist das überhaupt machbar? Und Zweitens: Wenn es derzeit nicht machbar ist, alle unsere Daten und die Zugriffe darauf zu überprüfen, wie können wir unsere Daten dann so konsolidieren, dass sie prüfbar werden?

Die einzige mögliche Lösung wird hier oft darin bestehen, gründlich zu ermitteln, (a) wer welche DSGVO-relevanten Daten benötigt, und (b) wie man diese Daten entsprechend zentralisieren kann. Dies sollten Unternehmen jedoch ohnehin tun.

Derzeit sind die meisten Unternehmen von einer guten Datenschutz-Hygiene allerdings weit entfernt. Eine kürzlich veröffentlichte Untersuchung des Ponemon Institute ergab, dass 76 % der teilnehmenden Unternehmen weltweit über keinen formalen und konsequent angewandten Incident-Response-Plan für Cybersicherheit verfügen. Und gleichzeitig haben die Unternehmen nach wie vor Probleme, personenbezogene Daten zu identifizieren, zu finden und zu schützen.

Man denke nur an PCI-DSS – einen recht geradlinigen Datenschutzstandard, der die Art von Daten, die er schützt, sehr genau ausführt und eng begrenzt. Der Datendiebstahl bei TJX zwischen 2005 und 2006 – damals die größte Datenpanne aller Zeiten – fand statt, nachdem bereits mehrmals festgestellt worden war, dass TJX PCI-DSS nicht einhielt. Die Nachwirkungen dieses Vorfalls wurden noch verschlimmert durch das Wunschdenken des CIOs im Hinblick auf die PCI-DSS-Compliance. Und bis zum heutigen Tag gibt es immer noch Unternehmen, die ihre PCI-DSS-Audits nicht bestehen – obwohl PCI-DSS vor mehr als 13 Jahren eingeführt wurde.

Wie also könnten wir etwas anderes erwarten, als dass sich die Geschichte bei der DSGVO – der mit Abstand umfassendsten und komplexesten Datenschutzvorschrift, die es je gab – wiederholen wird?

Dies sollte allerdings nicht falsch verstanden werden: Es ist kaum davon auszugehen, dass die DSGVO nicht durchgesetzt werden wird. Jedoch sollten Unternehmen in der Lage sein, dem DSGVO-Sturm ein paar Jahre lang zu trotzen, sofern sie sich zuallererst insgesamt um DSGVO-Compliance bemühen. Im zweiten Schritt sollten Betriebe anfangen, ausnahmslos alle ihre Daten angemessen zu verfolgen und zu klassifizieren. Im dritten und letzten Schritt sollten sämtliche Zugriffe auf personenbezogene Daten so überwacht werden, dass sie den Prüfern Rede und Antwort stehen können und im Falle einer Datenschutzverletzung schnell die nötigen Informationen zur Krisenbewältigung zur Hand haben. All dies mit dem Ziel, langfristig auch erweiterten behördlichen Kontrollen standhalten zu können.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

datensicherheit.de, 31.03.2016
Imperva Hacker Intelligence Initiative Report: Insiderbedrohungen in 100 Prozent der untersuchten Umgebungen