Europäischer Datenschutztag 2022: lästig, aber wichtig

Corona verändert auch den Datenschutz: Sensible Daten waren schon immer schützenswert, doch mit der zunehmenden Digitalisierung in Verbindung mit Remote-Work zeigt sich, dass vieles nicht selbstverständlich ist. Sein schlechtes Image kriegt er vermutlich nie los, aber selbst Kritiker können ihm seine Wichtigkeit nur schwer absprechen. In diesem Beitrag sammeln wir Stimmen zum Europäischen Datenschutztag 2022 und heben die entscheidenden Datenschutz-Herausforderungen hervor.

Der Europäische Datenschutztag erinnert jährlich an die Unterzeichnung der europäische Datenschutzkonvention. Der europäische Datenschutztag soll am 28. Januar das mitunter lästige Thema wieder ins Gedächtnis rücken. Doch ist es wirklich lästig? Nein, definitiv nicht. Dass Firmen mit personenbezogenen Daten nicht mehr alles tun dürfen, ist ein Gewinn für uns alle. Selbst Marketeers und Vertriebler, die gerne Kundendaten kaufen und verkaufen, müssen zugeben, dass sie selbst nicht möchten, dass jemand mit ihren persönlichen Daten Geschäfte macht.

Natürlich gibt es eine große Bandbreite. Cookie-Banner nerven uns beispielsweise alle. Dass YouTube-Videos und Social-Media-Beiträge von Twitter und Instagram erst nach Einwilligung eingeblendet werden dürfen, verstehen 99,9 Prozent der Nicht-Datenschützer nicht. Das ist echt fragwürdig. Allerdings, will auch niemand über mehrere Webseiten verfolgt werden. Wir können darüber diskutieren, relevante Werbung und Themen angezeigt zu bekommen. Gleichzeitig möchte ich aber nicht, dass irgendjemand meine Interessen auswertet. Nicht ohne mich vorher zu Fragen.

Am wichtigsten ist aber, dass Unternehmen, die ihnen anvertrauten, personenbezogenen Daten bestmöglich schützen. Eine Selbstverständlichkeit ist dies nicht, wie die, mittlerweile sehr vielen, erfolgreichen Cyberattacken belegen. Zuletzt wurde durch eine Cyberattacke beim Internationale Komitee vom Roten Kreuz (IKRK) sensible gesundheitliche Daten von über 500.000 besonders schutzbedürftigen Menschen erbeutet. Die Liste ist schier endlos. Einen Überblick über Angriffe der jüngsten Zeit führt beispielsweise konbriefing.com. https://konbriefing.com/de-topics/cyber-angriffe.html

Als die DSGVO 2018 eingeführt wurde, mochte es sich bei solchen Meldungen noch um Einzelfälle gehandelt haben. Heute gehören sie (leider) zur Tagesordnung. Daher ist die DSGVO kein lästiges Übel oder Innovationsverhinderer, sondern eine selbstverständliche Basis für alle geschäftlichen Aktivitäten.

Laut Digitalverband Bitkom beklagen drei Viertel der Unternehmen in Deutschland mit 20 oder mehr Beschäftigten, dass sie Innovationsprojekte aufgrund von Datenschutzbestimmungen aufgeben mussten oder nicht umgesetzt. Die Bitkom führt dies in ihrem Statement nicht näher aus, wir sagen aber, das ist nicht die richtige Sichtweise. Die DSGVO verhindert die illegale Verarbeitung von personenbezogenen Daten und keine Innovationen. Schaut man genauer in die meisten Projekte rein, hat man sich nicht genug Gedanken gemacht, keine Profis zu Rate gezogen oder die Geschäftsleitung wollte eh nicht investieren und der Datenschutz war ein guter Sündenbock.

Verwunderlich ist diese Denkweise nicht. Die DSGVO hatte seinerzeit keinen guten Start und seitdem hat sich auch nicht viel verändert. Der Datenschutz gilt als Spaßverderber und wird meist nur mit Mahnungen und Verboten in Verbindung gebracht, tu dies nicht, mach das nicht, sonst… Der Datenschutz bräuchte eigentlich eine Charme-Offensive. Fragen Sie uns aber nicht, wie diese aussehen könnte. Vielleicht lassen wir uns für den nächsten Datenschutztag etwas einfallen.

Barracuda: Systeme und Cloud-Datenspeicher proaktiv auf Malware und andere bösartige Inhalte scannen

Charles Smith, BarracudaCharles Smith, Consulting Solution Engineer, Data Protection bei Barracuda: »Unternehmen müssen ihre eingesetzten Lösungen zur Datensicherung regelmäßig überprüfen. Nur so können sie sicherstellen, dass ihr Data-Recovery-Plan zuverlässig funktioniert. Eine gute Backup-Lösung sollte in der Lage sein, die wichtigsten Datentypen wiederherzustellen, beispielsweise Office 365-Daten, Datenbanken, E-Mails und komplette Systeme wie virtuelle Server und physische Altsysteme, die noch genutzt werden. Bei Ransomware-Angriffen besteht oft die einzige Möglichkeit, Systeme sauber wiederherzustellen, also den gesamten bösartigen Code aus der Infrastruktur zu bekommen, darin, ein komplettes Recovery des Systems durchzuführen. Außerdem ist es wichtig, Systeme und Cloud-Datenspeicher proaktiv auf Malware und andere bösartige Inhalte zu scannen, um den Cyber-Kriminellen tunlichst einen Schritt voraus zu sein.«

Bitkom: »Deutschland kann Vorreiter der neuen Datenökonomie in Europa werden«

Susanne Dehmel, Bitkom Anlässlich des Europäischen Datenschutztages erklärt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: »Die EU stellt nächsten Monat mit dem Data-Act die Weichen für Europas technologische Zukunftsfähigkeit. Mit dem Data-Act muss es gelingen, unser hohes Datenschutzniveau rechtlich so auszugestalten, dass die Potenziale der Datenwirtschaft freigesetzt, bestehende Hürden abgebaut und es europäischen Unternehmen ermöglicht wird, international erfolgreiche innovative Geschäftsmodelle zu entwickeln. Zuletzt haben drei Viertel der Unternehmen in Deutschland mit 20 oder mehr Beschäftigten beklagt, dass sie bereits Innovationsprojekte aufgrund von Datenschutzbestimmungen aufgeben mussten oder nicht umsetzen konnten. Die neue Bundesregierung hat jetzt die einmalige Chance, zu einem Vorreiter der neuen Datenökonomie in Europa zu werden – und damit auch bei den Richtungsentscheidungen der Regulierung entsprechend Gehör zu finden. Dazu genügt es nicht, regelmäßig zu betonen, dass wir in Datenschutz und Datenökonomie spitze sein wollen. Vielmehr bedarf es einer genauen Analyse und konkreter Vorschläge, ob und wie die Nutzung und der Austausch von Daten rechtssicher unter den geltenden Datenschutzbestimmungen verwirklicht werden können. Soweit nötig, müssen dafür auch neue rechtliche Grundlagen geschaffen werden.

Entscheidend wird dabei sein, dass alle Ministerien der Koalition mit einer Stimme sprechen und Vorhaben wie die Einrichtung eines Dateninstituts zügig umgesetzt werden. Europa wartet nicht auf uns. Zugleich gilt es Fehler der Vergangenheit zu vermeiden. Nationale Sonderregelungen wie das geplante Forschungsdatengesetz dürfen einen gemeinsamen europäischen Ansatz nicht aushöhlen. Die Weiterentwicklung und Umsetzung der nationalen Datenstrategie muss sich am internationalen Rahmen wie dem EU Data Governance Act und dem kommenden Data Act orientieren. Nationale Sonderwege und Kleinstaaterei gefährden nicht nur die Wettbewerbs- und Innovationsfähigkeit, sondern bringen Europas Datenökonomie auch international aufs Abstellgleis.«

Conpal: Umgang mit Daten bestimmt die Handlungsfähigkeit digitaler Organisationen

Harald Schütz, Conpal»Der Stellenwert des Datenschutzes tritt mit fortschreitender Digitalisierung Jahr für Jahr deutlicher zu Tage«, erklärt Harald Schütz, Corporate Product Manager bei Conpal. »Die vergangenen zwei Jahre haben gezeigt, dass digitale Zusammenarbeit unter nahezu allen Bedingungen möglich ist, die Sicherheit der Daten dabei jedoch keine Selbstverständlichkeit ist. Angesichts flexibler Arbeitsmöglichkeiten kann allein die Absicherung von IT-Umgebungen die Datensicherheit nicht gewährleisten. Gesetzliche Datenschutzstandards wie die DSGVO, ISO27001 oder branchenspezifische Vorgaben wie KHZG und TISAX belegen die vielfältigen Facetten, die in den verschiedenen Ausprägungen automatisierter Datenverarbeitung relevant sind. Für Unternehmen wird damit deutlich, welche Bedeutung ein sicherer Umgang mit Daten für ihre Handlungsfähigkeit als digitale Organisation hat.

Der Verlust oder Diebstahl unternehmenseigener Daten sowie sensibler Kundendaten kann sowohl zu Wettbewerbsnachteilen als auch rechtlichen Konsequenzen führen. Daraus folgt, dass Unternehmen zunehmend den Datenschutz ins Zentrum ihrer Sicherheitsbemühungen stellen müssen. Sie haben erkannt, dass ihre Handlungsfähigkeit von ihrer Kontrolle über die Datenmengen abhängt, die sie verarbeiten. Dafür setzen immer mehr Organisationen auf IT-Sicherheitskonzepte, die sich entlang von Datenschutzrichtlinien entwickeln lassen und außerdem die Durchsetzung von Sicherheits- und Zugriffsrichtlinien bis hinunter auf Dateiebene erlauben. Datenschutz entwickelt sich damit künftig zu einem Dreh- und Angelpunkt im digitalen Geschäftswesen.“

Denodo: Schutz personenbezogener Daten noch nie so wichtig

»Angesichts der immer größer werdenden Bedeutung der Digitalisierung für unsere Gesellschaft und der zunehmenden Bedrohung durch Phishing, Cyberangriffe und digitale Viren war der Schutz personenbezogener Daten noch nie so wichtig und zugleich so schwer umsetzbar wie heute«, meint Charles Southwood, Regional VP bei Denodo. »Der diesjährige Data-Privacy-Day sollte uns nicht nur die Gelegenheit bieten darüber nachzudenken, wie weit wir gekommen sind. Sondern uns vielmehr auch dazu ermutigen, wie wir das Thema Datenschutz in Zukunft bewerten und weiter verbessern können.

In den letzten zwei Jahren hat sich viel getan. Dennoch sehen wir nach wie vor, dass viele Organisationen Schwierigkeiten haben, eine einfache und transparente Verwaltung personenbezogener Daten zu gewährleisten. Eines der Haupthindernisse besteht oftmals darin, dass personenbezogene Daten in verschiedenen und getrennten Datenspeichern innerhalb einer Organisation verteilt sind. Das heißt, an unterschiedlichen Orten, in unterschiedlichen Formaten und Protokollen und mit unterschiedlichen Berechtigungen.

Aus diesem Grund modernisieren Unternehmen zunehmend ihre Dateninfrastruktur und setzen auf Technologien wie die Datenvirtualisierung. Damit können Unternehmen es vermeiden, Daten physisch zu replizieren sowie redundant zu halten und behalten somit die Kontrolle über die Datensätze – ein wichtiger Schritt in Richtung DSGVO-Konformität. So bietet die Datenvirtualisierung einen einfachen und vollständigen Zugang zu allen Datenquellen und -Repositorys über eine einzige logische Datenschicht und ermöglicht es so, dass Daten in Echtzeit nachverfolgt und geprüft werden können. Dies geschieht unabhängig davon, wo sie gespeichert sind, und vor allem ohne die Notwendigkeit von Duplikaten. Sie erleichtert so die Einhaltung der geltenden Rechtsvorschriften und ermöglicht es Unternehmen, ihr wertvollstes Gut, ihre Daten, zu schützen.«

Opentext: Menschen wollen wissen, wie ihre Daten verwendet werden

Bernd Hennicke, Opentext»Die Datenschutzreform hat unsere globale Gemeinschaft für immer verändert«, sagt Bernd Hennicke, Vice President Product Marketing bei OpenText. »Mit Beginn des Jahres 2022 müssen sich Unternehmen mit einer Gesellschaft auseinandersetzen, die von ihnen deutlich mehr Verantwortungsgefühl und Vertrauenswürdigkeit einfordert. Die jüngsten Schritte verschiedener Länder, um den Schutz persönlicher Daten und deren Verarbeitung zu stärken (etwa das chinesische Datenschutzgesetz), werden weltweit weitreichende Folgen für die persönlichen Rechte auf Privatsphäre und Datenschutz haben.

In der heutigen Gesellschaft sind Menschen mehr denn je in der Lage dazu, ihre Rechte wahrzunehmen und Data-Subject-Access-Requests (DSAR) zu stellen – also Anträge auf Einsicht in die über ihn gespeicherten Daten eines Unternehmens. Mehr denn je sind sie auf die Wahrung ihrer Rechte und die Zurückgewinnung der Kontrolle über ihre Daten bedacht. Sie möchten einen Überblick darüber haben, was mit ihren Daten geschieht, und den Zugriff darauf anpassen oder sogar ganz verbieten. Um diesen datenintensiven Anforderungen gerecht zu werden und die Ressourcen-Knappheit zur Unterstützung wichtiger Geschäftsaktivitäten zu überwinden, müssen Unternehmen die Automatisierung von Prozessen zur Datenlöschung in Angriff nehmen und Case-Management-Tools einsetzen, mit denen sich Leistung und Wirksamkeit am besten verfolgen lassen. Ein gut funktionierendes Programm, das mit einer herausragenden Kundenerfahrung überzeugt, wird ein entscheidendes Kriterium sein, um die Kundenzufriedenheit und -treue zu verbessern.«

Check Point: Best-Practices sind nur eine gute Grundlage

Lothar Geuenich, Check Point»Ende 2021 stellte Check Point Research fest, dass die Cyberangriffe auf Unternehmensnetzwerke im Vergleich zum Vorjahr um unglaubliche 50 Prozent zugenommen hatten«, erklärt Lothar Geuenich, Regional Director Central Europe/DACH bei Check Point Software Technologies. »Der Bildungs- und Forschungssektor war mit durchschnittlich 1.605 Angriffen pro Woche am stärksten betroffen, dicht gefolgt von Behörden, Kommunikationsunternehmen und Internetdienstleistern. Sogar die Angriffe auf das Gesundheitswesen stiegen im Vergleich zur Zeit vor der Pandemie um 71 Prozent, was zeigt, dass nichts für Hacker tabu ist. In unserem Sicherheitsbericht 2022 stellten wir außerdem fest, dass E-Mails während der Pandemie zu einem immer beliebteren Verbreitungsweg für Malware geworden sind und nun 84 Prozent ausmachen.

Über die Unternehmenswelt hinaus wurde auch deutlich, dass groß angelegte Angriffe auf kritische Infrastrukturen (KRITIS), wie der Vorfall bei der Colonial Pipeline in den USA, sehr reale Auswirkungen auf das tägliche Leben der Menschen hatten und sogar ihr physisches Sicherheitsgefühl bedrohten. Der Tag der Datensicherheit ist der perfekte Zeitpunkt für Privatpersonen und Unternehmen, ihre Datenhygiene und Sicherheitsprotokolle zu prüfen, um sicherzustellen, dass ihre Daten so sicher wie möglich sind. Check Point beginnt das Jahr 2022 mit einer neuen strategischen Ausrichtung, die dem Motto folgt: Sie verdienen die beste Sicherheit. Dennoch: Die vom Data-Privacy-Day geförderten Sicherheitspraktiken sind zwar von entscheidender Bedeutung, stellen aber nur eine Grundvoraussetzung dar.«

Veeam: Datenschutz benötigt mehr Aufmerksamkeit

Rick Vanover, VeeamLaut Rick Vanover, Sr. Director of Product Strategy bei Veeam, erhält Datenschutz nicht die Aufmerksamkeit, die sie braucht und dennoch ist das Thema wichtiger denn je: »Ich beobachte, dass IT-Organisationen ständig große Datenmengen verwalten, die eigentlich nicht mehr von Bedeutung sind. Ob Redundant, Obsolete oder Trivial – veraltete Daten sollten aus ihrem Speicherlebenszyklus herausgenommen werden. Mein praktischer Rat zum Data Protection Day lautet, zu prüfen, welche Daten sich wo befinden, und zu ermitteln, was entfernt werden muss. Falls die Daten nicht entfernt werden müssen, sollten die Verantwortlichen entscheiden, ob ausgewählte Daten eine andere Priorisierung erhalten sollten oder eine andere Richtlinie. Aus Sicht des Datenschutzes ist nämlich die Frage, wo die Daten vorliegen, ein wichtiger erster Schritt in diesem Prozess.«

Dave Russell, Veeam»Der Datenschutz ist heute einem größeren Risiko ausgesetzt als jemals zuvor«, ergänzt Dave Russell, VP of Enterprise Strategy bei Veeam. »Es gibt Bedenken wegen versehentlicher Datenlecks, die zwar nicht böswillig sind, aber dennoch eine Möglichkeit der Offenlegung darstellen. Cyber-Bedrohungen und Ransomware zielen außerdem zunehmend nicht mehr nur auf die Verschlüsselung von Daten ab, um ein Lösegeld zu erpressen, sondern nutzen zuvor zusätzlich die Datenexfiltration und die gezielte Weitergabe der gestohlenen Daten als Bestandteil eines Cyberangriffs. Dabei können sogar kleine Datenteile wichtig sein und mittlerweile können viele Daten kombiniert werden, wodurch sie ein noch größeres Datenschutzrisiko darstellen. Somit sind häufige Prüfungen, welche Daten wirklich aufbewahrt werden müssen, und die Sicherstellung der Datenverfügbarkeit sehr wichtig und heutzutage erforderlich, um die Sicherheit von Unternehmens- und personenbezogenen Daten zu gewährleisten.«

Datenschutz.org: Datenschutztag 2022 – wie wichtig ist die DSGVO?

Reizthema Datenschutz: »Es gibt sie: Begriffe, deren bloße Erwähnung für Diskussionsstoff sorgt«, sagt Jan Schneider von datenschutz.org. »Der Datenschutz ist einer von ihnen. Mit Inkrafttreten der aktuellen EU-Datenschutz-Grundverordnung (DSGVO) 2018 haben sich neben Unterstützern auch viele kritische Stimmen Gehör verschafft. Und trotz zunehmender Hackerangriffe, trotz teils noch immer unklarer Datenverwendung, trotz stetig ansteigender elektronischer Datenverarbeitungen rund um den Globus verebben diese Stimmen nicht. Doch Datenschutz ist kein gefährlicher Krake, kein Bürokratiemonstrum, das Kleinunternehmen ungebührlich in die Pflicht nimmt und die Meinungsfreiheit einschränkt. Gerade in heutiger Zeit ist Datenschutz wichtiger denn je. Ein Plädoyer.

Wo steht die DSGVO heute?

Als die damals neue DSGVO vor knapp drei Jahren Gesetzeskraft erhielt, bekam sie gleichzeitig zahlreiche Vorschusslorbeeren. Unter anderem vom umfassendsten rechtlichen Datenschutz weltweit war die Rede – und wirklich überzeugen die weitreichenden Regelungen mit einem hohen Standard, der sich über die europäischen Mitgliedsstaaten und den europäischen Wirtschaftsraum hinaus bis nach Übersee erstreckt. Unternehmen wurden zum Umdenken gezwungen, viele Privatanwender nahmen die DSGVO zum Anlass, sich genauer über ihre Rechte und Pflichten auf Auskunft und Verwendung elektronisch übermittelter Daten zu informieren.

Damit hat das Gesetz zwar viel erreicht. Doch ein formell noch so weitreichender Regelungskatalog, ein noch so geschärftes Bewusstseins für das Erfordernis gesetzlicher Vorschriften allein hilft nicht weiter. Seine Anwendung muss auch überprüft werden. Eine Aufgabe, der 2022 Zeit und Mühe gewidmet werden sollte.

Was bleibt wichtig im Jahr 2022?

Gesetze sind nur dann effektiv, werden sie auch konsequent angewendet. Daran hapert es teils noch bei der DSGVO. Noch immer gibt es Lücken bei der Erfassung, Verarbeitung, Speicherung und Weiterleitung von Daten, noch immer wissen viele Internetuser nicht genau, was mit ihren Daten geschieht oder wie sie Löschungsanrechte durchsetzen können. Ein typisches Beispiel sind hier sogenannte Web-Tracker wie Cookies. Zwar hat der EuGH 2019 mit einer Grundsatzentscheidung der uneingeschränkten Zulassung einen Riegel vorgeschoben. Doch die wenigsten Internet-User befassen sich mit konkreten Einstellungen auf Webseiten, möchten sie nur schnell etwas recherchieren. Komfort geht hier vor Datenschutz – ein Themenfeld, das weiterhin auf der Agenda stehen sollte.

Was wird wichtig im Jahr 2022?

Die Digitalisierung schreitet voran. Arbeiten im Homeoffice zählt mittlerweile zum Alltag, Online-Bestellungen laufen Einkäufen in Innenstädten schon lange den Rang ab, sogar immer mehr Geschäftsverträge werden über das Internet abgeschlossen. Umso wichtiger wird ein noch genauerer Blick auf den Umgang mit Daten.

Spartenübergreifend sollten sich vor allem Unternehmen gezielt und detailliert den vielfältigen Facetten und Aspekten datenschutzrechtlich relevanter Prozesse widmen. Ob mithilfe externer Experten oder eigener Datenschutzbeauftragten: Umfassende Analysen der betriebseigenen Ist-Situation sind zur Identifizierung und Behebung möglicher Schwachstellen unumgänglich. Bereits jetzt sind Firmen mit über 50 Mitarbeitern durch die sogenannte Whistleblowing-Richtlinie zur Einrichtung eines internen, datenschutzkonformen Meldekanals verpflichtet. Kleinere Unternehmen sollten sich freiwillig ein Beispiel nehmen und für Arbeitnehmer, Kunden, Lieferanten und Dritte ein datengeschütztes Hinweis-System implementieren.

Ebenfalls weiterhin auf dem Programm stehen wird der Umgang mit der 3G-Nachweispflicht. Gerade Gesundheitsdaten treffen einen empfindlichen Bereich, ihre Offenlegung erfordert maximale Vertraulichkeit. Zwar haben Angestellte bereits jetzt ein Anrecht auf Löschung ihrer Impf- oder Testnachweise nach spätestens sechs Monaten. Doch das Thema ist noch nicht abgeschlossen.

Auch der Staat sieht sich in der Pflicht, und die Ampelkoalition will dieser Pflicht nachkommen. Sie plant die Ausweitung von Techniken zur Anonymisierung sowie die Verabschiedung einer EU-weiten ePrivacy-Verordnung, einer Neuregelung zur Verwendung personenbezogener Daten bei elektronischen Kommunikationen.

Schließlich wird die DSGVO mit der elektronischen Gesichtserkennung künftig einem relativ neuen Aspekt vermehrte Aufmerksamkeit schenken müssen. Noch sind Erhebungen biometrischer Daten grundsätzlich untersagt. Doch Ausnahmen bahnen sich ihren Weg. Hier müssen Datenschützer alles geben, Freiheitsrechte nicht unter dem Mantel der Gefahrenabwehr aufzugeben.

Sie fallen nicht unter die DSGVO, jedoch schwer ins Gewicht: Durch zunehmende Cyberangriffe gelangen immer mehr sensible Daten von Internetnutzern an die Öffentlichkeit. Hier ist jeder gefragt: Nur durch ein gemeinsames Vorgehen von Politik, Wirtschaft und Einzelpersonen werden sich unbefugte Eingriffe in Privatdaten künftig verhindern lassen.

Durch Aktionen aufmerksam machen

Es gibt viel zu tun. Mit internen Aktionen wie groß angelegten Kundgebungen trägt der europäische Datenschutztag zur Erinnerung daran bei. Dafür sollten wir dankbar sein.«