Nach jahrelangem Hin- und Her haben EU-Rat und -Parlament Mitte des Jahres nun endlich die neue Datenschutzgrundverordnung durchgewunken. Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen und löst die geltenden nationalen Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie ab. Das neue Gesetz gilt ab 2018 und Unternehmen jeder Größe haben demnach nur knapp zwei Jahre Zeit, die Einhaltung der neuen Vorschriften zur Speicherung und Verarbeitung von Kundendaten zu gewährleisten; andernfalls drohen ihnen massive Bußgelder. In unserem Blog beleuchten wir die Kernelemente der Reform und erläutern, worauf Unternehmen achten sollten.
– Anforderungen an Unternehmen im Kontext der neuen EU-Datenschutzgrundverordnung
In Bezug auf die personenbezogenen Daten, ist das Jahr 2016 von spannenden Entwicklungen geprägt. Nach dem gekippten Safe-Harbour Abkommen haben EU-Rat und –Parlament Mitte April 2016 nach jahrelangem Hin- und Her das neue europäische Datenschutzgesetz, die „Datenschutz-Grundverordnung“ (DS-GVO) verabschiedet, welches die bisher geltende Datenschutzrichtlinie von 1995 ab sofort ersetzt. Die Politik verfolgt damit das Ziel, die Datenschutzrechte von EU-Bürgern zu stärken, das Vertrauen in die digitale Wirtschaft wiederherzustellen und Kundendaten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser zu schützen.
Im Gegensatz zur Richtlinie ist die neue Grundverordnung kein Rahmen, der in nationale Gesetzgebung umgesetzt werden soll, sondern eine unmittelbare Verpflichtung für alle Mitgliedstaaten – ein EU‐weit geltendes Gesetz, das über den nationalen Gesetzen steht und Anpassungen dieser Gesetze erfordert. Derzeit ist Regelung des Umgangs mit sogenannten personenbezogenen Daten in den Mitgliedsstaaten der EU noch unterschiedlich ausgeprägt. In Deutschland gilt das Bundesdatenschutzgesetz (BDSG), in Österreich das Bundesgesetz über den Schutz personenbezogener Daten und in der Schweiz gilt das Bundesgesetz über den Datenschutz. Allein schon diese drei Gesetze zeigen, dass die Datenschutzrichtlinie von 1995 einen Flickenteppich aus nationalen Gesetzen geschaffen hat, der vor dem Hintergrund der digitalen Globalisierung mehr und mehr zu rechtlichen Grauzonen und Rechtsunsicherheit führte. Hinzukommt wie schon im letzten Blog erwähnt, eine zunehmende Erhebung personenbezogener Daten zu Geschäftszwecken. Daten sind heute mehr denn je Wirtschaftsgut statt Schutzgut, mit denen eine Vielzahl von Unternehmen Geld verdient – genau das rückt Daten wie Unternehmen in das Fadenkreuz von Cyber-Kriminellen. Rechtsunsicherheit, gesteigertes Datenaufkommen, mehr Kriminalität – fast täglich gelangen neue Fälle von Verlust oder Missbrauch personenbezogener Daten an die Öffentlichkeit. Vor diesem Hintergrund ist die neue europaweit einheitliche Regelung des Datenschutzes absolut notwendig.
Kernelemente der Reform – Worauf sollten Unternehmen achten
Stellvertretend für alle Änderungen, die mit der EU-Datenschutz Grundverordnung einhergehen, betrachten wir nachfolgend drei Aspekte, die für IT-Abteilungen von besonderem Interesse sind.
Infographic, Europäische Union 2015
Recht auf Vergessen
Bislang liegt bei den meisten Unternehmen der Fokus darauf, wie man möglichst erfolgreich viele Daten sammeln kann – die wenigsten beschäftigen sich damit, wie sie diese gegebenenfalls auch wieder aus ihren Systemen löschen können. Dies wird eine Herausforderung für viele Firmen, denn angesichts der riesigen Mengen an gesammelten und teils auch unstrukturierten Daten wird es schwieriger den Überblick zu wahren, wo welche Daten verzeichnet sind. Um interne Datenflut rechtzeitig in den Griff zu bekommen, ist es wichtig, relevante Informationen aufzubewahren und unbedeutende Daten gleichzeitig rechtskonform zu beseitigen. Ein manuelles Sichten und Filtern des kompletten Datenbestands in einem Unternehmen ist in der Realität aber schier unmöglich, geschweige denn effizient. An dieser Stelle können jedoch Data-Governance-Tools Abhilfe schaffen, indem der vollständige elektronische Datensatz eines Unternehmens durch ein intelligentes und automatisiertes System geordnet und bereinigt wird.
Technische und organisatorische Anforderungen
Die Anforderungen an Unternehmen personenbezogene Daten technisch und organisatorisch gegen Verlust, Veränderung und Manipulation abzusichern wurden erheblich verschärft. Waren bisher offene und eher allgemeine Formulierungen in nationalen Gesetzen die Grundlage für die Verpflichtung der Unternehmen, gibt es jetzt detaillierte Vorgaben, wie die Absicherung der IT–Systeme vor ungewollten Zugriffen zu erfolgen hat. Die zu implementierenden technischen und organisatorischen Sicherheitsmaßnahmen orientieren sich an den Schutzzielen der Vertraulichkeit, der Integrität und Authentizität der personenbezogenen Daten – oder einfacher gesagt, man verlangt, dass Kundendaten zu jederzeit dem Risiko entsprechend angemessen geschützt sind. Unternehmen müssen sicherstellen, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten und das gespeicherte oder übermittelte personenbezogene Daten weder unbeabsichtigt noch unrechtmäßig zerstört werden. Ferner sind die Daten vor unbeabsichtigtem Verlust, unbeabsichtigter Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen. Die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten muss stets gewährleistet sein. Kurzum: Diese Vorgabe schreibt vor, dass Unternehmen dem aktuellen Stand der Technik entsprechende Kontrollmechanismen zum Schutz von Daten einführen müssen ( Stichpunkt : Multi-Faktor-Authentifizierung )
Anzeige bei Verstößen – hier ist Echtzeit- Sicherheitsintelligenz gefragt
Ein weiteres Kriterium für die Bemessung des Bußgeldes und eventueller Sanktionen bei Verstößen gegen die neue Grundordnung ist die unverzügliche Meldepflicht bei einer Verletzung des Schutzes personenbezogener Daten. Unternehmen sind verpflichtet die jeweilige Aufsichtsbehörde sowie die Betroffenen möglichst ohne unangemessene Verzögerung und spätestens binnen 72 Stunden über die Datenpanne zu benachrichtigen. Neben dem Zeitpunkt sowie der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde – insbesondere wird hier auf die Selbstanzeige hingewiesen – spielt der Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen eine besondere Rolle bei der Bemessung der Sanktionen. Unternehmen sind besonders gefordert denn angesichts immer stärker verfeinerter Pishing-Methoden, neuer Bedrohungen durch Ransomware und aufgrund erodierender Außengrenzen des Netzwerkes, bieten sich den Cyber-Kriminellen immer mehr Einfallstore für ihre Angriffe. Erschwerend kommt hinzu, dass gerade professionelle Angreifer ihre Angriffe so geschickt verschleiern und weitestgehend keine oder nur wenige Spuren hinterlassen, die mit herkömmlichen Kontrollmechanismen nur schwer aufzudecken sind. Bei der forensischen professionellen Analyse von Datenmissbrauch hingegen ergeben sich in der Regel klare Nachweise für schädliche Aktivitäten in den Audit-Protokollen. Wenn IT-Sicherheitsteams diese Aktivitäten erkennen würden, wären sie sicher in der Lage, sie zu unterbinden oder die Bedrohung zumindest zu verringern. Ohne eine Echtzeitlösung zur Überwachung von Änderungen und automatisieren Alarmierung, ist es äußerst schwierig festzustellen, welche Aktivitäten potenzielle Bedrohungen darstellen und näher untersucht werden müssen. Ganz gleich, ob Unternehmen Ihre IT-Umgebung lokal, virtuell oder in der Cloud verwalten, Sie benötigen eine Methode, um Richtlinienverletzungen in der gesamten Umgebung zu erkennen und zu korrigieren und somit Lücken bei der IT-Compliance zu schließen.
Fazit:
Unternehmen müssen deutlich mehr Aufwand für Risikoanalysen, Verfahrensdokumentationen, Folgeabschätzungen und IT-Compliance Lösungen einplanen. Wer zukünftig nicht über die geeigneten Prozesse und Systeme zum Schutz sensibler Daten verfügt, wird dafür unter Umständen teuer bezahlen müssen – direkt an die Aufsichtsbehörde und indirekt infolge einer Schädigung der Reputation, des Firmen-und Geschäftswertes und des Vertrauens der Kunden. Die Themen Compliance und Sicherheit gehören bereits in diesem Jahr auf die Agenda eines jeden Unternehmens, damit man in zwei Jahren für die neue Verordnung gerüstet ist. Die neuen gesetzlichen Bestimmungen sind jedoch nicht nur als Herausforderung zu verstehen, sondern bieten Unternehmen auch Chancen: wer sich um die Sicherheit personenbezogener Daten nicht Sorgen muß, kann schneller auf neue Marktentwicklungen reagieren und Innovationen in der Interaktion mit seinen Kunden und Geschäftspartnern vorantreiben ohne dabei Risiken einzugehen. Positive Beispiele findet man bereits heute im eCommerce, wo für es Online-Händler seit Jahren einen verpflichtenden Sicherheitsstandard (PCI DSS) für die Speicherung, Weiterleitung und Entgegennahme von Zahlungsdaten gibt. Gleiches gilt auch für die Finanzindustrie, die ebenfalls dem erwähnten verpflichtenden Sicherheitsstandard unterliegt. Wie in einem unserer letzten Blogs bereits berichtet, wird die HSBC Bank in UK ab Sommer diesen Jahres eine Kombination aus Sprachbiometrie- und Fingerabdruckverfahren für die Authentifizierung beim eBanking für über 15 Millionen Kunden einführen, um den Zugriff auf das eigene Bankkonto sicherer zu machen. (mehr Details finden Sie hier)
Christoph Stoica
Regional General Manager DACH
Micro Focus
