Es ist nicht verwunderlich, dass Datenschutzexperten die DSGVO, in ihrem ersten Jahr, als Erfolg werten. Unbestritten ist allerdings: Der Datenschutz ist stärker ins Bewusstsein der Betroffenen gerückt. So formuliert es auch Deutschlands oberster Datenschützer Ulrich Kelber, auf dem Datenschutzkongress 2019 in Berlin: Die Zahl der Beschwerden habe sich vervielfacht. Hinzukommen gemeldete Datenschutzverstöße. Alleine in Bayern hat sich die Zahl der Meldungen von 136 in 2017 auf über 2.470 in Jahr 2018 erhöht.
DSGVO: Die Meldungen an die Aufsichtsbehörden sind drastich gestiegen (Grafik: Hogan Lovells).
»Die DSGVO bringt den Datenschutz im digitalen Zeitalter voran«, sagt der Bundesbeauftragte für den Datenschutz und Informationssicherheit. Sogar in China und den USA orientiere man sich an der DSGVO. Selbst Republikaner, die die DSGVO vorher als Fehler bezeichneten, sind jetzt dafür und wollen etwas ähnliches umsetzen.
Ulrich Kelber, Bundesbeauftragter für den Datenschutz und InformationssicherheitKlar ist aber auch, die Datenschutz-Grundverordnung bleibt auch weiterhin eine Baustelle. Der Start war holprig und es sind noch längst nicht alle Probleme gelöst: »Wir werden über die Zusammenarbeit zwischen den Aufsichtsbehörden in Europa sprechen müssen«, erklärt Kelber. »Dass ein Jahr nach wirksam werden der DSGVO, noch keines der großen Datenschutzprobleme, international agierender Konzerne entschieden wurde, ist eine Schwachstelle. Man wird überprüfen müssen, an welchen Stellen waren das Startschwierigkeiten und an welchen sind es systemimmanente Probleme. Daran macht sich die Glaubwürdigkeit fest. Kein Datenschutzbeauftragter wird seinem Unternehmen oder seiner Behörde erklären können, warum sie sich an die detaillierten Regelungen der DSGVO halten sollen, wenn es Amazon, Google und Facebook und vielleicht in Zukunft chinesische Konzerne nicht tun.«
Ein detaillierter Nachbericht zum Datenschutzkongress 2019 folgt noch, hier auf speicherguide.de. Wir Aufzeichnungen und Material von 13 Vorträgen mitgebracht, diese, rund 43 GByte, müssen wir aber erst noch sichten.
Ansonsten haben sich nun zum 1. Geburtstag der DSGVO viele Experten zu Wort gemeldet. Wir lassen im Folgenden einige davon zu Wort kommen.
Stefan Eigler, TÜV RheinlandLaut dem TÜV Rheinland haben neue Paragraphen oder Gesetzesartikel das Wirtschaftsleben selten so spürbar verändert, wie die DSGVO. Sie räume zwar Verbrauchern mehr Rechte ein, sei aber ein Jahr später immer noch ein Unsicherheitsfaktor insbesondere für mittelständische Unternehmen. Sensible Bereiche sind besonders die Dokumentationspflichten, Protokollierung, Double Opt-In, Auftragsabwicklungsverträge, Zulassungen und Wettbewerbsrecht. Bei Missachtung kann es teuer werden, denn Verfehlungen beim Datenschutz können nun im Gegensatz zu früher mit hohen Strafen belegt werden.
Viele Unternehmen haben zwar die DSGVO teilweise oder vollständig umgesetzt. Doch Standortbestimmung und Identifikation des Umsetzungsgrades und etwaiger Lücken sind oftmals schwierig zu gestalten. Hier kann der neutrale Blick von außen eine große Hilfe bieten. Im Rahmen einer DSGVO GAP-Analyse prüft beispielsweise TÜV Rheinland den Umsetzungsstand der bereits implementierten Maßnahmen auf allen Anforderungsebenen und in allen relevanten Fachbereichen.
Im Rahmen der technischen Prüfung werden alle relevanten IT-Systeme hinsichtlich Datenschutzkonformität verifiziert. Dabei erstellen die Experten von TÜV Rheinland ein umfassendes Bild der IT-Architektur. Diese Befunde erhalten hinsichtlich der spezifischen Risiken eine Klassifizierung und werden so bewertet, dass eine Priorisierung empfohlener Maßnahmen möglich wird. Abschließend erstellen die Experten einen Abschlussbericht mit Maßnahmen- und Behebungsplan.
»Manche Unternehmen haben noch keine Maßnahmen ergriffen, da die Betroffenheit von diesen Anforderungen nicht gesehen wird«, sagt Stefan Eigler, DSGVO-Experte bei TÜV Rheinland. »Unsere Spezialisten-Teams können hier Klarheit und Handlungssicherheit schaffen. Eine DSGVO GAP-Analyse erzeugt Transparenz, zeigt Handlungsfelder auf und gibt klare Empfehlungen, wie die spezifischen Anforderungen an Datenschutz im Zusammenhang mit dem unternehmerischen Handeln umzusetzen sind.
Wir greifen dabei auf eine Vielzahl erfolgreich umgesetzter DSGVO Gap-Analysen in den zurückliegenden Monaten zurück. Dabei hat sich gezeigt, dass besonders viele mittelständische Unternehmen zwar wirksame Einzelmaßnahmen umgesetzt haben, aber die Gesamtsicht über die Konsolidierung in ein integriertes Datenschutzmanagementsystem (DSMS) fehlt.«
Jörg von der Heydt, Skybox SecurityJörg von der Heydt, Channel Director DACH bei Skybox Security, gibt einen Rückblick auf ein Jahr DSGVO, ihre Umsetzung in Unternehmen und die Auswirkungen auf die IT-Sicherheit. Zudem geht er der Frage nach, ob die DSGVO tatsächlich mehr Transparenz geschaffen hat:
»Die 2018 eingeführte DSGVO löste die Richtlinie 95/46/EG von 1995 ab, die zuvor auf europäischer Ebene als Grundlage für die Verarbeitung personenbezogener Daten diente. Ein Großteil der Begrifflichkeiten und Regelungen blieb jedoch erhalten.
Gänzlich neu sind einige Änderungen und Präzisierungen, wie beispielsweise die Zweckbindung der Daten – so dürfen Informationen nur für festgelegte, eindeutige und legitime Zwecke gesammelt und weitergegeben werden. Zudem gilt mit der neuen DSGVO der Grundsatz der Datenminimierung.
Darüber hinaus brachte die DSGVO härtere Sanktionen mit sich. Auch Behörden können nun seit letztem Jahr bei Verstößen abgestraft werden – zuvor betraf dies nur Unternehmen. Außerdem ist nun die Verhängung weitaus höherer Bußgelder möglich, nämlich bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes.
So wurde beispielsweise die Datenkrake Google zu Anfang des Jahres wegen mehrerer DSGVO-Verstöße mit einer Zahlung von 50 Millionen Euro sanktioniert. Bei gravierender Zuwiderhandlung können im europäischen Markt im Extremfall sogar die gesamten Gewinne eines Unternehmens eingezogen werden. In Deutschland beträgt die durchschnittliche Höhe der Strafzahlungen bisher aber nur rund 6.000 Euro.
Mit Einführung der DSGVO haben personenbezogene Daten und ihr Schutz an Wert gewonnen – das spiegelt sich in vielen Unternehmen an neu definierten internen Verantwortlichkeiten und verstärkten Sicherheitsmaßnahmen sowie -kontrollen wider.
Dennoch setzt ein Großteil der deutschen Unternehmen die DSGVO nach eigener Einschätzung nicht vollständig oder ausreichend gründlich um. Eine positive Veränderung wird kaum wahrgenommen, im Gegenteil – mehr als die Hälfte der befragten Unternehmen verspürt Rechtsunsicherheit.
Im Bundesdatenschutzgesetz (BDSG), das die europäische DSGVO auf nationaler Ebene umsetzt, ist genau definiert, wann ein Unternehmen einen Datenschutzbeauftragten benötigt. Für kleine und mittelständische Firmen ist hier oft aus Kostengründen ein Outsourcing der Verantwortung an einen externen Dienstleister sinnvoll. Der Datenschutzbeauftragte wird, von Mitarbeiterschulungen bis hin zur Erstellung von Analysen, mit einer Vielzahl von Aufgaben betraut. Oftmals wird diese Rolle jedoch in größeren Unternehmen CISOs zusätzlich zu ihrer eigentlichen Tätigkeit übertragen, was ein Grund für die mangelhafte Umsetzung der Datenschutzrichtlinien sein kann.
Deutlich größere Bedeutung dagegen kommt dem Schutz der Unternehmen vor Hackerangriffen zu – seit Verabschiedung der DSGVO ist ein Anstieg der Investitionen in Cybersicherheits-Lösungen zu verzeichnen.
Das ist nicht verwunderlich, denn die DSGVO zwingt Unternehmen zur Proaktivität: Um eine zuverlässige Datensicherheit zu gewährleisten, müssen mögliche Angriffe bereits im Vorfeld antizipiert und durch Gegenmaßnahmen minimiert werden. Den Angreifern immer einen Schritt voraus zu sein, sollte das Bestreben jeder IT-Führungskraft sein – und gelingt, indem Schwachstellen aufgespürt sowie sichtbar gemacht werden, Angriffe simuliert und mit geeigneten Maßnahmen abgewehrt werden.
Somit wurde mit der DSGVO lediglich verschriftlicht, was Unternehmen mit ernsthaften Datenschutzabsichten bereits vor dem Inkrafttreten der Verordnung umgesetzt hatten. Es liegt im Interesse eines jeden Unternehmens sowie seiner Kunden, sicherzustellen, dass alle Bereiche seiner IT-Infrastruktur geschützt sind und für sensible Bereiche sinnvolle Zugriffsrechte etabliert sind. Auf lange Sicht vermeidet eine gesunde Cyber-Hygiene so sowohl die Verhängung von Sanktionen aufgrund von Datenschutzverstößen als auch Sicherheitskrisen.«
Ralf Geisler, EfficientIPMit der DSGVO musste so mancher in den vergangenen Monaten sein Einverständnis zur Erhebung und Verarbeitung personenbezogener Daten geben. Doch wie ist es in diesem Zusammenhang um die DNS-Sicherheit bestellt? Hat die DSGVO zu einem Umdenken geführt und sind Firmennetzwerke ausreichend geschützt? Der Security-Spezialist EfficientIP erklärt, wie weit Unternehmen in Sachen DDI sind und warum ein integriertes DNS-, DHCP- und IP-Address-Management für wirklich umfassende und verlässliche Datensicherheit so wichtig ist.
Laut DSGVO-Index des Marktforschungsunternehmens techconsult hatten 18 Prozent der befragten Unternehmen Ende 2018 noch nicht einmal damit angefangen, die Inhalte der DSGVO umzusetzen. Erst 43 Prozent der Befragten sagten zudem, dass ihre unternehmensinternen Prozesse DSGVO-konform seien. Seitdem haben viele Firmen und Organisationen zwar nachgerüstet, insbesondere in Sachen DNS-Sicherheit gibt es aber noch Lücken.
Was hat sich seit Ende Mai 2018 geändert?
Laut aktuellem DNS Threat Report von EfficientIP wollen derzeit 39 Prozent der deutschen Unternehmen Lösungen für die DNS-Sicherheit einführen. Die Analyse und Kontrolle des DNS-Traffics gilt in diesem Zusammenhang als einer der effektivsten Wege, um die Vertraulichkeit personenbezogener und geschäftskritischer Daten sicherzustellen. Wie wichtig das Thema DNS-Sicherheit ist, zeigen auch die folgenden Studienergebnisse: Eine DNS-Attacke kostet ein deutsches Unternehmen demnach durchschnittlich 810.700 Euro. Europäische Unternehmen verzeichneten mit 39 Prozent die meisten Fälle von Datenklau und lagen damit über dem weltweiten Durchschnitt von 33 Prozent. 36 Prozent der deutschen Unternehmen gaben an, dass sie bereits sensible Daten verloren hätten. Zu den fünf häufigsten Cyberangriffen gehören DNS-basierte Malware, Phishing, DNS-DDoS-Angriffe, DNS-Tunneling und Domain-Lock-up. Mit 44 Prozent haben deutsche Firmen im europäischen Raum die meisten Angriffe zu verzeichnen, die auf DNS-basierte Malware zurückzuführen sind. Seit Einführung der DSGVO Ende 2018 zeigt sich ebenfalls, dass Unternehmen vermehrt auf Zero Trust-Architektur, Threat Intelligence und Machine Learning setzen, um neueste Bedrohungen zu erkennen.
Um Daten und Anwendungen vor Angriffen zu schützen, setzen viele Unternehmen noch immer auf zusätzliche Firewalls. Das ist jedoch nicht wirksam genug, da sich traditionelle Firewall-Technologien in erster Linie auf Perimeter-Schutzmaßnahmen konzentrieren und bei einer Bedrohung im Netzwerk wirkungslos werden. Ein Zero Trust-Konzept kann hier Abhilfe schaffen. Hierbei wird der Fokus auf die Nutzer anstelle der Netzwerke gelegt. Da Bedrohungen sowohl innerhalb als auch außerhalb des Unternehmens lauern können, ist dieser mehrschichtige Ansatz für Vorbeugung, Erkennung und Reaktion ratsam.
Außerdem reagieren viele Firmen auf Hackerangriffe immer noch, indem sie die betroffene Anwendung abbrechen. Hierdurch stoppen sie aber keineswegs den Angriff. Stattdessen sollten sie auf die Analyse von Transaktionen im Innersten des DNS-Servers setzen und können somit bereits im Voraus sicherstellen, dass der Angriff nicht erfolgen kann. Das DNS sollte als geschäftsrelevante Netzwerkbasis, die eine Weiterleitung zu jeder App und jedem Service ermöglicht, zentrale Komponente der umfassenden Sicherheitsstrategie sein.
»Unternehmen haben in letzter Zeit vorrangig in die Sicherung von Netzwerk-Geräten, die Überwachung und Analyse des DNS-Verkehrs sowie in Firewalls investiert«, meint Ralf Geisler, Territory Manager DACH and Eastern Europe von EfficientIP. »In Sachen DSGVO-Compliance und Datensicherheit gibt es aber auch ein Jahr nach Einführung der neuen strikteren Vorgaben Nachholbedarf. Nur wenn Unternehmen vermehrt auf ein ganzheitliches Sicherheitskonzept setzen, das hundertprozentige DNS-Absicherung einschließt, lassen sich Informationen im Sinne der Datenschutzgrundverordnung vertrauenswürdig schützen, und Mitarbeiter haben dennoch jederzeit und überall Zugriff auf für sie relevante Anwendungen.«
David Kemp, Micro FocusDie befürchtete Abmahnwelle ist zwar ausgeblieben, allerdings zeigen verschiedene Datenschutzpannen, darunter auch prominente Fälle, dass auch nach einem Jahr noch kein vollumfänglicher Datenschutz in der EU herrscht. Facebook musste eingestehen, Passwörter ungesichert Mitarbeitern zugänglich gemacht zu haben und Amazon gab versehentlich Daten von Alexa an den falschen Nutzer heraus.
Ein großer Streitpunkt ist zudem nach wie vor die Auslegung der Formulierungen wie »angemessener Datenschutz« und »Zweckmäßigkeit der Datenverarbeitung«. So wurde Google von der französischen Datenschutzbehörde CNIL nicht wegen eines Datenlecks zu 50 Millionen Euro verurteilt. Vielmehr nannte die Behörde als Grund mangelnde Transparenz und Verletzung der Informationspflicht sowie dem Zwang, die Nutzungsbedingungen zur Datenverarbeitung zu akzeptieren. Dies war der erste Fall, in dem ein Bußgeld gegen ein global operierendes Internetunternehmen gemäß der DSGVO verhängt wurde.
»Es wird noch einige Zeit vergehen, bis Compliance in ganz Europa zu 100 Prozent gewährleistet ist, allein schon, weil sich die etwas freier formulierten Passagen abhängig vom Unternehmen unterschiedlich umsetzen lassen«, sagt David Kemp, Business Strategist bei Micro Focus. »Dennoch ist zu erkennen, dass die DSGVO den digitalen Alltag inzwischen mitbestimmt, da Privatpersonen und Unternehmen stärker für Datenschutz sensibilisiert sind. Internetnutzer haben sich an die Datenschutz-Hinweise und Opt-In-Notifications auf Webseiten gewöhnt und der `Privacy by Design´-Ansatz, der durch das Regelwerk vorgeschrieben wird, ist nun Bestandteil sämtlicher Entwicklungszyklen neuer digitaler Produkte und Services. Somit ist zumindest langfristig ein höherer Datenschutz gewährleistet. Die DSGVO gibt Unternehmen zudem die Möglichkeit, die Standards zur Datenstrukturierung und –Sicherheit auch auf andere Bereiche zu übertragen und so das allgemeine Sicherheitsniveau und die operative Effizienz über personenbezogene Daten hinaus zu verbessern.«
Um in Zukunft die DSGVO-Standards sinnvoll im Unternehmen umzusetzen, empfiehlt Kemp die folgenden drei Use-Cases:
Haye Hösel, Hubit DatenschutzDie Wirksamkeit der DSGVO jährt sich das erste Mal. Für Haye Hösel, Geschäftsführer und Gründer von HUBIT Datenschutz, Grund genug, Bilanz zu ziehen:
»Während sich im Vorfeld die Kritik an dem Gesetz häufte und in den Medien beispielsweise von Abmahnwellen die Rede war, blieben die Befürchtungen der Unternehmen diesbezüglich weitestgehend unbestätigt. Doch auch ein Jahr nach Inkrafttreten gehört ein DSGVO-konformer Umgang mit sensiblen Daten noch immer nicht zum Alltag vieler Unternehmen. Besonders wenn es um gesetzeskonforme Websites, sichere Passwörter oder die Nutzung von Diensthandys geht, besteht weiterhin Handlungsbedarf. Unternehmen sehen nicht immer den Sinn der DSGVO, sondern lediglich einen größeren Arbeitsaufwand. Aber immerhin schließen wir auch die Tür ab, wenn wir das Haus verlassen, obwohl dies einen zusätzlichen Aufwand bedeutet.
Ziel der DSGVO ist der Schutz personenbezogener Daten. Als personenbezogen beziehungsweise personenbeziehbar gelten dabei nicht nur Namen, sondern ebenfalls Daten wie Telefonnummern, Kfz-Kennzeichen oder IP-Adressen. Unternehmen, die über mehr als zehn Mitarbeiter verfügen, verpflichtet die DSGVO dazu, einen internen oder externen Datenschützer zu benennen. Dieser übernimmt sowohl unterrichtende als auch beratende Tätigkeiten und fungiert als Ansprechpartner für Mitarbeiter, die Geschäftsführung sowie betroffene Personen. Mittlerweile haben die viele Unternehmen diese Vorgabe bereits umgesetzt.
Aber auch wenn die Überwachung der Einhaltung der Datenschutzgesetze sowie der EU-DSGVO zu den Aufgaben eines Datenschützers gehört, müssen Mitarbeiter im Alltag selbst auf die Berücksichtigung achten. Hierfür genügt es nicht, ihnen lediglich DSGVO-konformes Handwerkszeug zur Verfügung zu stellen. Stattdessen gilt es über die Wichtigkeit des Datenschutzes aufzuklären, selbst wenn vieles dabei auf den ersten Blick als selbstverständlich erscheint.
Es empfiehlt sich, laute Telefonate über sensible Firmendaten in der Öffentlichkeit möglichst zu vermeiden und bei der Nutzung von Dienstlaptops unterwegs Blickschutzfilter zu verwenden. Ebenso sollten Mitarbeiter keine öffentlichen WLAN-Netzwerke nutzen, da diese in den meisten Fällen nicht als sicher gelten, sondern stattdessen virtuelle private Netzwerke, sogenannte VPNs.
Jede Homepage verfügt über eine individuelle Struktur mit unterschiedlichen Plug-ins, Cookies oder Tracking-Tools und erfasst beziehungsweise verarbeitet unterschiedlichste Daten. Es genügt daher nicht, eine allgemeine Datenschutzerklärung irgendwo zu kopieren oder automatisiert generieren zu lassen und dann auf der Website zu veröffentlichen. Außerdem stoßen Datenschützer in Unternehmen häufig noch immer auf unsichere Passwörter für Dienstcomputer oder Laptops. Ein sicheres Kennwort besteht aus acht bis zwölf Zeichen in Groß- und Kleinschreibung und enthält sowohl Buchstaben als auch Ziffern und Sonderzeichen. Zudem sollten Mitarbeiter ihre Passwörter regelmäßig ändern. Gleiches gilt auch für den Schutz von Diensthandys, die sich ebenfalls mithilfe eines Passworts statt einer kurzen Zahlenkombination oder eines einfachen Wischmusters schützen lassen.
Ein weiteres Problem, das bei der Nutzung von Diensthandys häufig auftritt, sind Messenger-Dienste. Die deutschen Aufsichtsbehörden für Datenschutz erachten viele von ihnen, darunter WhatsApp, als nicht datenschutzkonform. Manche Dienste haben nicht nur Zugriff auf alle in einem Smartphone gespeicherten Telefonnummern und Kontaktdetails, sondern übermitteln sie zusätzlich in weitere Staaten wie die USA, die als Drittländer gelten. Laut der DSGVO bedarf die Übermittlung personenbezogener Daten aber einer Rechtsgrundlage. Wer nicht auf Kurznachrichten verzichten möchte, kann auf dem Markt andere datenschutzkonforme Apps finden oder SMS versenden.
Bei der physischen Weitergabe von Daten, beispielsweise mit einem USB-Stick, stehen Unternehmen ebenfalls vor einer Herausforderung. Diese Speichermedien verfügen selten über die nötigen Sicherheitsvoraussetzungen, wie beispielsweise einen Sicherheitscode bzw. Verschlüsselung, der bei Verlust oder Diebstahl davor schützt, dass Außenstehende auf sensible Daten zugreifen können.
Häufig fehlt in Unternehmen noch immer das Bewusstsein darüber, dass die DSGVO nicht nur den Umgang mit Kundendaten betrifft, sondern auch Mitarbeiter- sowie Lieferantendaten. So haben Beschäftigte in der Personalabteilung eine besondere Verantwortung. Sie müssen Personalunterlagen unter Verschluss halten und darauf achten, Mitarbeiterdaten per E-Mail ausschließlich verschlüsselt zu übermitteln.
Auch dem Auskunftsrecht kommt eine besondere Bedeutung in der DSGVO zu. Wenn Mitarbeiter Auskunft über ihre Daten fordern – beispielsweise im Falle einer Kündigung – müssen Personalverantwortliche innerhalb eines Monats eine Kopie jeglicher personenbezogenen Daten, deren Verarbeitung erfolgt, aushändigen. Es empfiehlt sich daher, bereits im Vorfeld hierzu bestimmte Prozesse festzulegen. Generell sollten Führungskräfte auch weiterhin beharrlich über die Wichtigkeit des Datenschutzes aufklären. Regelmäßige Schulungen schaffen hier ein allgemeines Bewusstsein.«
Wir nutzen Cookies!
Einige sind notwendig, um Ihnen als Leser von speicherguide.de Inhalte und Funktionen anbieten zu können. Auch hilft uns die Analyse der Zugriffe, unsere Webseite zu verbessern und Ihr Nutzererlebnis zu optimieren.
Sie haben natürlich die Wahl:
Sind Sie einverstanden?
Cookie-Einstellungen | Cookie-Richtlinie | Impressum | Datenschutz
