Die EU-Datenschutz-Grundverordnung eröffnet ein neues Kapitel in der Datensicherheit. Die dafür nötige Technologie ist da – sie muss nur eingesetzt werden. Die Uhr tickt!
In einem Jahr, am 25. Mai 2018, findet der bislang größte Umbruch bei Datenschutzgesetzen statt. Die DSGVO (Datenschutz-Grundverordnung) der Europäischen Union tritt in Kraft. Sie betrifft nicht nur Organisationen, die in den 28 Ländern der EU ansässig sind, sondern jeden, der Daten von Einwohnern dieser Länder hat – das sind über 500 Millionen Menschen. Wenn Sie auf Ihren Websites Informationen sammeln, dann betrifft es vermutlich auch Sie.
Anwälte, Aufsichtsbehörden, die das Gesetz vollstrecken, IT-Security-Anbieter und Marketing-Verbände haben bereits eine Vielzahl von Informationen zur DSGVO veröffentlicht. Das kann Unternehmen schnell überfordern. Deshalb ist jetzt der beste Zeitpunkt, sich mit dem Hintergrund und den allgemeinen Grundlagen des Gesetzes zu beschäftigen. Wenn es in Ihrem Unternehmen immer noch Leute gibt, die der Meinung sind, die DSGVO sei nicht so wichtig, dann sollten Sie sich eines in Erinnerung rufen: Bei Verstößen gegen die Verordnung drohen Bußgelder in Höhe von bis zu 4 Prozent des Umsatzes oder maximal 20 Millionen Euro.
Warum kommt das Gesetz jetzt und warum ist es so detailliert und bindend? Ehrlich gesagt, ist das unsere eigene Schuld. Zum einen ist es die Art und Weise, wie Unternehmen in der Vergangenheit Daten gesammelt und genutzt haben. Zum anderen haben wir den Wert der Daten nicht respektiert und weder die Nutzung noch das Teilen dieser Daten ausreichend kontrolliert.
Datenschutzgesetze gibt es seit Jahrzehnten, sie sind nichts Neues. Kalifornien war Vorreiter beim verpflichtenden Melden von Sicherheitsverletzungen und die EU hat die ursprüngliche Datenschutzverordnung 1995 veröffentlicht. Wir hatten über 20 Jahre Zeit, es richtig zu machen. Doch in dieser Zeit gingen mehr Daten verloren als je zuvor, vor allem weil ihnen zu wenig Bedeutung beigemessen wurde. Dabei muss bedacht werden, welche Bedeutung die verlorengegangenen Daten für denjenigen haben, dem sie gehören. Nur weil die Daten im Unternehmen erfasst und bearbeitet werden, besitzt das Unternehmen die Daten nicht. Wir „leihen“ sie nur von jenen, zu denen sie gehören.
Schauen wir uns also die Grundlagen und den Hintergrund der DSGVO an – ohne zu viele Fachbegriffe zu nutzen und erläutern die übergreifenden Prinzipien, von denen sich alle Inhalte der Verordnung ableiten lassen.
- Die DSGVO bezieht sich auf alle Daten, die einen lebenden Menschen identifizieren können. Selbst wenn diese von verschiedenen Quellen stammen, werden sie als individuelle Daten angesehen.
- Die Daten eines Einzelnen gehören immer dieser Person und dieser muss die Erlaubnis zum Erfassen, Speichern und Verarbeiten seiner Daten geben (Einverständniserklärung). Das muss deutlich klar gemacht werden.
- Es muss dem Einzelnen mitgeteilt werden, wofür seine Daten genutzt werden. Sie dürfen nur für diesen Zweck genutzt und müssen am Ende der Verarbeitung gelöscht werden.
- Der Einzelne hat das Recht, seine Daten zu überprüfen und zurückzunehmen, um sie einem anderen Anbieter zur Verfügung zu stellen. Auch kann er die Löschung seiner Daten verlangen.
- Die Daten sollten sicher aufbewahrt und nicht mit Dritten geteilt werden, außer der Einzelne stimmt dem zu.
- Derjenige, der die Daten sammelt, der “Datenverantwortliche”, ist zu jeder Zeit für die Daten verantwortlich. Ebenso ist jeder, der die Daten im Namen des Verantwortlichen nutzt – also ein “Datenverarbeiter” – verantwortlich und muss mit den Daten sorgfältig umgehen.
- Richtlinien, Prozesse und Technologien sollten gut dokumentiert sein, damit die Verantwortlichen alles nachverfolgen können, insbesondere wenn Daten verloren gehen. Bei Datenverlust muss sowohl die Regulierungsbehörde als auch die einzelne Person informiert werden. Hier kann die Regulierungsbehörde Strafen auferlegen. Diese Strafen basieren teilweise auf den Prozessen und Richtlinien, dem Training und der Technologie, die für den Datenschutz zum Einsatz kommen. Einzelpersonen können Sammelklagen beim Verlust ihrer Daten einreichen.
Daten sollten nur dann die EU verlassen, wenn alle oben genannten Punkte berücksichtigt wurden, unabhängig davon, wohin die Daten gesendet werden. Spezielle, sensible Daten müssen mit noch größerer Sorgfalt behandelt werden. Die IT-Abteilung des Unternehmens sollte daher intern protokollieren, wer wann Zugriff auf welche Daten hat und mit welchen Partnern diese geteilt werden. Für die Absicherung des Datenzugriffs ist beispielsweise ein Least-Privilege-Prinzip geeignet: Jeder Benutzer, jeder Dienst und jeder System erhält bei dieser Lösung automatisch nur die Rechte, die zur Erfüllung der jeweiligen Aufgaben absolut erforderlich sind.
Zur weiteren Absicherung sollten die Unternehmensdaten verschlüsselt oder per Token gesichert werden. Zudem wäre – wenn noch nicht geschehen – die Einführung eines unternehmensweiten Identity- und Access-Management für alle Systeme und Cloud-Services ratsam. Wenn dennoch Daten verloren gehen, hilft es, eine Technologie implementiert zu haben, die den Verlust aufdeckt und die betreffende Person identifiziert.
Unternehmen können sich mit den kommenden Bestimmungen der DSGVO nicht erlauben, erst 2018 mit der Analyse der eigenen Datensicherung zu beginnen und dann zu entscheiden, welche Lösungen zur Unterstützung eingesetzt werden sollten. Es gibt aufgrund der vielen Innovationen im Security-Sektor genügend Anwendungen auf dem Markt, die die notwendigen Anforderungen erfüllen und sich individuell an die vorhandenen Systeme im Unternehmen anpassen lassen.
Autor: Daniel Wolf, Regional Director DACH, Skyhigh Networks