Der Stichtag rückt näher: Ist Ihr Unternehmen schon DSGVO-ready?
17. April 2018 / Allgemein, Datenschutz
Jetzt dauert es nur noch fünf Wochen bis die neue Europäische Datenschutzgrundverordnung, EU-DSGVO, am 25. Mai 2018 in Kraft tritt. Bei Verstößen drohen, auch kleinen Unternehmen, außergewöhnlich hohe Bußgelder. Deshalb sollten Sie als Geschäftsführer oder IT-Leiter das Datum gut im Auge behalten und bis dahin die nötigen Maßnahmen umsetzen.
Das Ziel der Datenschutz-Reform ist grundsätzlich zu begrüßen: Sie schafft europaweit einheitliche Rahmenbedingungen. Die Verordnung gilt für jedes Unternehmen, das mit personenbezogenen Daten arbeitet – vom Konzern bis zum Einzelunternehmen. Die meisten Verantwortlichen scheinen sich laut der IDC-Studie „Mobile Security in Deutschland 2017“ der Bedeutung bewusst zu sein. So haben 74 Prozent der CIOsdie DSGVO im Blick und sind fleißig dabei, ihr Unternehmen darauf vorzubereiten. Wie sieht es bei Ihnen aus?
Hohe Bußgelder von bis zu vier Prozent des Jahresumsatzes
Denn als Geschäftsführer stehen Sie in der Pflicht, wenn es um die Umsetzung der Datenschutz-Novelle in Prozessen, Anwendungen und der Organisation geht. Wird sie nicht ordnungsgemäß umgesetzt, haften die Geschäftsführer – auch mit ihrem Privatvermögen. Bei Verstößen oder Unterlassung drohen zum Teil drakonische Strafen, die bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes eines Unternehmens betragen können – je nachdem welcher Betrag höher ist. Begründet werden die hohen Bußgelder damit, dass die maximalen deutschen Bußgeldgrenzen von 50.000 Euro (im Telemediengesetz, TMG) und 300.000 (im BDSG) keine wirkliche Abschreckung darstellten. Bis zum 25. Mai 2018 sollten Sie sämtliche 99 Artikel umsetzen!
Voll im Blick: die Wirtschaft
Obwohl die DSGVO viele Pflichten und hohe Bußgelder bei Verstoß mit sich bringt, berücksichtigt sie auch die wirtschaftlichen Ziele von Unternehmen. So erhöht sie zwar auf der einen Seite die Hürden bei der Einwilligung, verpflichtet zur Datenportabilität und stellt klar, dass pseudonyme Cookies und IP-Adressen als „Online-Kennungen“ personenbezogene Daten sind.
Allerdings schreibt sie auf der anderen Seite den freien Verkehr von Daten und damit wirtschaftliche Interessen im Artikel 1 fest. Das Abwägen zwischen berechtigten wirtschaftlichen Interessen und dem Schutz von Personendaten wird so zum entscheidenden Aspekt der zukünftigen gesetzlich erlaubten Datenverarbeitung.
In der DSGVO zum Beispiel festgeschrieben: Patch-Management
Jede Woche werden neue Sicherheitslücken entdeckt und Patches veröffentlicht, um sie zu schließen. Doch Hacker haben insbesondere bei längst bekannten Schwachstellen oft großen Erfolg. Denn viele Unternehmen vernachlässigen das Patch-Management – ein schwerwiegender Fehler. Hier sollten Sie dringend automatisierte Gegenmaßnahmen treffen, um die personenbezogenen Daten Ihrer Kunden zu schützen und der EU-Datenschutz-Grundverordnung zu entsprechen.
Dieser Aspekt wird in Art. 5 f) EU-DSGVO Grundsätze für die Verarbeitung personenbezogener Daten sowie Art. 32 EU-DSGVO Sicherheit der Verarbeitung aufgegriffen. Denn in der EU-DSGVO wird der State of the Art als Maßstab für die Sicherheit gesehen. Damit besteht Datenschutz in diesem Bereich nicht mehr nur in einer einmaligen Kontrolle am Anfang der Implementierung einer Anwendung, sondern es wird vorausgesetzt, dass alle Systeme auf dem neuesten Stand sind.
Ein Definitions-Versuch: „Stand der Sicherheit“
Was bedeutet aber „Stand der Sicherheit“? Der Begriff ist mehr als weit gefasst. Zur Eingrenzung hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) einen Leitfaden veröffentlicht, der den Stand der Technik aus Sicht des TeleTrusT definiert. So erhalten Sie eine gute Orientierung, die diesen Begriff greifbarer macht. Prüfen Sie Ihre Datensicherheit anhand der einzelnen Aspekte. Erfüllen Sie diese Grundlagen der IT-Sicherheit nicht, sollten Sie dieses Thema dringend angehen.
Dipl. Ing. Markus Loosen von der Schönsee Loosen Datentechnik GmbH & Co. KG empfiehlt einige wichtige IT-Sicherheits-Basics:
- Patch-Management: Einer der wichtigsten Maßnahmen, die das Risiko einer gezielten Attacke um mehr als 80 Prozent reduzieren, sind Patch-Management-Maßnahmen. Jede Schwachstelle, unabhängig davon, ob Betriebssystem, Dienst, Framework, oder Anwendung, muss innerhalb von 24 bis 72 Stunden gepatcht sein, je nachdem wie hoch das Verwundbarkeitsrisiko ist.
- Asset-Management: Erstellen Sie Dokumentationen aller physikalischen Geräte und Systeme, installierter Software und Dienste auf diesen Geräten sowie sämtliche Kommunikationsverbindungen zu und von diesen Geräten, die notwendig sind.
- Schwachstellenmanagement: Ein zentrales Schwachstellenmanagement hilft durch tägliche Scans der IT-Infrastruktur, die Geräte und Systeme zu identifizieren, die über kritische Schwachstellen verfügen oder nicht den Sicherheitsrichtlinien entsprechen.
- Netzwerk-Separierung (wenn möglich): Das Separieren von Netzen hilft bei der Reduktion von Netzausfällen und erschwert das Ausbreiten von Malware oder Angreifern im Unternehmensnetzwerk.
- Verschlüsselung der Kommunikation auf der Transportschicht: Die Verwendung von Transport Layer Security (TLS) ermöglicht es, die Vertraulichkeit, Integrität und Authentizität bei der Übertragung von Daten über unsichere Netzwerke, wie zum Beispiel dem Internet, zu ermöglichen. In Kombination mit Forward Secrecy sind die Daten auch dann noch geschützt, wenn der private Key im Nachgang kompromittiert wurde.
Grundsätzlich gilt bei der Verarbeitung von personenbezogenen Daten:
Erstellen Sie Verfahrensverzeichnisse und führen Sie daraus hervorgehend eine Datenschutzfolgeabschätzung/Risikoanalyse durch. Anhand des Ergebnisses entwickeln Sie TOM´s (technische und organisatorische Maßnahmen) und dokumentieren alles.
Weitere wichtige Artikel der DSGVO
Art. 17 EU-DSGVO – Recht auf Löschung
Neu ist ab Mai 2018 auch das Recht auf Löschung bzw. das „Recht auf Vergessenwerden“. Unternehmen müssen personenbezogene Daten und angefertigte Kopien in allen Systemen löschen. Dies gilt zudem, wenn die Einwilligung zur Datenverarbeitung widerrufen wird. Insbesondere haben Personen das Recht, ihre Daten und Links löschen zu lassen, wenn ihre Daten rechtswidrig verarbeitet oder behandelt wurden.
Diese Regelung schafft eines der größten Probleme: Denn gemäß einer Studie von Compuware kämpfen Unternehmen mit der Kontrolle ihrer Daten. So sagen 76 Prozent der deutschen Unternehmen, die Komplexität moderner IT-Services führe dazu, dass sie nicht immer wissen, wo genau sich Kundendaten befinden. Nur etwas unter zwei Drittel glauben, in der Lage zu sein, alle Daten effizient zu löschen. Auch der Wechsel von ehemals monolithischen Anwendungen zu heute eher Microservice-Architekturen und verteilten Datenbanken ist daran schuld.
Art. 20 EU-DSGVO – Recht auf Datenübertragbarkeit
Durch das Recht auf Datenübertragbarkeit, soll der „Lock-In“ Effekt minimiert werden. Benutzer erhalten durch das Recht, ihre Daten „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln“. Der Artikel bestimmt auch, dass der Benutzer die Daten selbst herunterladen kann. Dies bedeutet, dass Unternehmen entsprechende Schnittstellen in ihren personendatenverarbeitenden Systemen einbauen müssen.
Art. 33 EU-DSGVO Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Laut DSGVO müssen alle Vorgänge, in denen Dritte unberechtigt Kenntnis der Daten erlangen, innerhalb von 72 Stunden gemeldet werden. Allein der Umfang der Meldung bedeutet einen großen Aufwand innerhalb sehr kurzer Zeit. Nicht genug: Zur Meldung gehört ein umfassender Review, auch wenn Sie die Informationen zur Datenpanne leicht verzögert nachreichen dürfen. Unter anderem umfasst dieser die Art der Verletzung, wenn möglich mit Angabe der Daten-Kategorien, der ungefähren Zahl der betroffenen Personen und die wahrscheinlichen Folgen der Verletzung. Außerdem muss eine Angabe zu den vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und gegebenenfalls zur Abmilderung ihrer möglichen nachteiligen Auswirkungen erfolgen. Allerdings stellt sich in der Praxis die umfangreiche Dokumentation noch nicht einmal als größte Herausforderung dar. Noch kritischer ist die Tatsache, dass Datenpannen bei den meisten Unternehmen tage-, wochen- oder gar monatelang unentdeckt bleiben. Der Report „M-Trends“ von FireEye fand heraus, dass sich Hacker durchschnittlich 106 Tage in Unternehmensnetzwerken in der EMEA-Region aufhalten, bevor sie entdeckt werden. Viele Unternehmen sind mit der täglichen Auswertung der Security-Meldungen überfordert.
Wer fleißig ist, wird belohnt
Apropos Dokumentation: Eine große Änderung der EU-DSGVO liegt auf den Rechenschaftspflichten, der „Accountability“. Sie fordert von Unternehmen, die bestehenden Compliance-Anforderungen um eine genaue Dokumentation von Verarbeitungsprozessen sowie Datenschutzfolgeabschätzungen zu ergänzen. Zudem dreht sich die Beweislast um 180 Grad: So müssen Behörden nicht mehr Verstöße gegen den Datenschutz nachweisen, sondern Sie müssen als Unternehmen belegen, dass Sie die Regeln einhalten.
Fazit
Die Novelle birgt viel Diskussionsstoff – seit ihrem Beschluss und noch mehr je näher der Tag der Wahrheit rückt. Sie wird von Experten zwar als nötig angesehen, da sie endlich ein abschließendes Regelwerk für den europaweiten Datenschutz schafft. Allerdings finden sich an vielen Stellen Grauzonen, die keine finale Rechtssicherheit geben. Vor allem deswegen, weil kaum jemand vollends den Durchblick durch dieses „Bürokratie-Monster“ hat.
Der Tipp von Schönsee Loosen Datentechnik: Eine ordnungsgemäße Umsetzung der EU-DSGVO erfordert funktionsübergreifende Anstrengungen in jedem Unternehmen. Stellen Sie dafür am besten ein Team aus den Bereichen Produkt, Sicherheit, Recht, IT und Datenschutz zusammen. Machen Sie stringent dort weiter, wo Sie gerade sind. Oder beginnen Sie spätestens jetzt damit, die DSGVO umzusetzen. Informieren Sie sich ausführlich, bei Unsicherheiten auch bei externen Fachleuten und erarbeiten Sie eine Roadmap.
Es kommt eine Menge Arbeit auf Sie zu.Wir sind zuversichtlich, dass Sie auch diese Herausforderung meistern werden und bis zum 25. Mai 2018 DSGVO-konform aufgestellt sind! Letztlich profitieren wir alle von einem geregelteren Datenschutz!
Wir von Schönsee Loosen Datentechnik helfen Ihnen als Experten gerne bei der Umsetzung der EU-DSGVO. Sprechen Sie uns an!
Wichtiger rechtlicher Hinweis!
Unser Artikel gibt Ihnen einen Überblick über wichtige Punkte der DSGVO. Er ist allerdings kein Ersatz für eine Rechtsberatung. Für die korrekte Umsetzung aller datenschutzrechtlichen Anforderungen lassen Sie sich am besten von einem Anwalt oder Datenschutzbeauftragten beraten.