Dunkle Daten-Wolken

Fallstricke der EU-Datenschutz-Grundverordnung

| Autor / Redakteur: Fabian Sander* / Stephan Augsten

Die neue GPDR-Richtlinie soll lückenlosen Datenschutz für alle europäischen Bürger ermöglichen.
Die neue GPDR-Richtlinie soll lückenlosen Datenschutz für alle europäischen Bürger ermöglichen. (Bild: Archiv)

Die EU-Datenschutz-Grundverordnung dient dem Schutz der personenbezogenen Daten aller Europäer. Für Unternehmen, die Daten sammeln, speichern und verarbeiten, bringt sie höhere Verantwortung und umfangreichere Rechenschaftspflichten mit sich. Gibt es einen Grund zur Panik?

Spätestens 2018 tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO oder General Data Protection Regulation, GDPR) in Kraft. Als erstes einheitliches Datenschutzgesetz für alle 28 EU-Mitgliedsstaaten berücksichtigt sie aktuelle IT-Entwicklungen wie Big Data, Soziale Netzwerke und die Cloud.

Die bisher geltende EU-Datenschutzrichtlinie (95/46/EG) diente als Basis für unterschiedliche, teils sich wiedersprechende nationale Regelungen in den einzelnen Mitgliedstaaten. Dabei wurden weder die Globalisierung noch technologische Entwicklungen wie soziale Netzwerke und Cloud Computing ausreichend berücksichtigt.

In den vergangenen Jahren ist die Datensammlung außerdem geradezu explodiert – oft, ohne dass die EU-Bürger ihre Einwilligung gegeben hätten. Daher ist es an der Zeit für eine weitreichende Vereinheitlichung der Datenschutzrichtlinien für personenbezogene Daten. Die Sammlung von Daten durch Unternehmen und Organisationen – On-Premise oder in der Cloud – wird dadurch strikt geregelt und ist nur noch für einen legitimierten Zweck erlaubt.

Eines der Grundprinzipien der neuen EU-Verordnung ist die „Rechenschaftspflicht“. Organisationen müssen nachweisen, dass sie die Anforderungen der Datenschutz-Grundverordnung erfüllen und die notwendigen Maßnahmen hierfür getroffen haben. Konkret bedeutet das, dass ein Unternehmen immer rechtlich für diese (unstrukturierten) Daten verantwortlich ist – auch, wenn sie verloren gehen oder gestohlen, verändert oder ohne Genehmigung verwendet werden.

Stolperfallen

Als Anbieter zur Absicherung von Cloud-Anwendungen (Cloud Access Security Broker/CASB), sehen wir folgende vier Stolperfallen für Unternehmen, die Cloud-Storage und Services nutzen.

  • 1. Viele – wenn nicht die meisten – personenbezogenen Daten, für die ein Unternehmen verantwortlich ist, werden unstrukturiert abgelegt. Mit anderen Worten: Die Daten sind nicht in vordefinierten Datensystemen oder Cloud-Services gespeichert, die die gesetzlichen Anforderungen erfüllen und als Teil eines Management-Zyklus regelmäßig aktualisiert, gepatcht und geprüft werden.
  • 2. Im Zusammenhang mit Collaboration-Lösungen wie Sharepoint werden innerhalb einer Organisation häufig unstrukturierte Daten genutzt. Diese Daten können auf mobilen Geräten gespeichert und über nicht autorisierte Anwendungen und Cloud-Speicherplätze ausgetauscht werden, die sich der direkten Kontrolle der Organisation entziehen. Der BYOD-Trend (Bring Your Own Device) hat dieses Problem noch verstärkt.
  • 3. Die Nutzung nicht genehmigter Cloud-Services kann ernsthafte rechtliche Risiken für das Unternehmen nach sich ziehen und sowohl Geschäftskontinuität als auch Reputation beeinträchtigen.
  • 4. Es besteht eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten, die mit einer saftigen Strafe von bis zu vier Prozent des Jahresumsatzes eines Unternehmens belegt werden können – gefolgt von einer strengen Kontrolle der Erhebung, Speicherung, Sicherung und die Anwendung personenbezogener Daten im Unternehmen.

Zusätzlich zur Datenschutz-Konformität müssen sich die Unternehmen auch mit dem „Recht auf Vergessen“ und den neuen Datenschutzprinzipien „Data Protection by Design“ und „Data Protection by Default“ auseinandersetzen.

Data Protection by Design bedeutet, dass neue Dienste und Geschäftsprozesse, die personenbezogene Daten nutzen, diese Daten im Sinne der neuen Verordnung behandeln müssen. Ein Unternehmen muss nachweisen, dass es angemessene Maßnahmen ergriffen hat, um der Verordnung zu entsprechen. In der Praxis bedeutet dies, dass die IT-Abteilung Datenschutz und Privatsphäre in das gesamte System bzw. den Prozess-Lebenszyklus integrieren muss.

Data Protection by Default bedeutet, dass automatisch die strengsten Datenschutzeinstellungen angewendet werden, wenn ein Kunde ein neues Produkt oder eine Dienstleistung kauft. Mit anderen Worten, Kunden und Nutzer müssen ihre Privatsphäre-Einstellungen nicht mehr manuell anpassen.

Was kann ein Unternehmen tun, um diese Stolperfallen zu vermeiden?

  • 1. In Erfahrung bringen, welche Benutzer oder Cloud-Services im Unternehmen personenbezogene Daten verarbeiten.
  • 2. Eine Bestandsaufnahme aller Cloud-Anwendungen erstellen, die innerhalb und außerhalb der Organisation genutzt werden.
  • 3. Verhindern, dass personenbezogene Daten in nicht genehmigten Cloud-Diensten gespeichert und verarbeitet werden.
  • 4. Personenbezogene Daten schützen, während sie in Cloud-Services gespeichert oder verarbeitet werden.
  • 5. CIOs sollten besonderes Augenmerk auf dieses Problem haben und Maßnahmen ergreifen, um Daten in Cloud-Services sichtbar zu machen.

Fabian Sander
Fabian Sander (Bild: Netskope)

Nein, die neue EU-Datenschutz-Grundverordnung ist kein Grund zur Panik. Aber nur ein gut vorbereiteter Unternehmer und Manager kann sich zurücklehnen und entspannen. Er muss sich lediglich ausreichend informieren und die richtigen Fragen stellen, um kostspielige Überraschungen zu vermeiden.

* Über den Autor

Fabian Sander ist Director CEUR bei Netskope.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43848473 / Compliance)