Suchen

Kommentar von Arne Jacobsen, Director D/A/CH, Varonis Systems Die Vorteile der EU-Datenschutzverordnung erkennen

Redakteur: Ulrich Roderer

Bei der Angleichung von Internet-Datenschutzrichtlinien zwischen unterschiedlichen Staaten sind Meinungsverschiedenheiten vorprogrammiert. Die Zusammenarbeit zwischen der EU und den USA wird im Laufe der Zeit jedoch nicht nur immer wichtiger, sondern auch zunehmend harmonisch.

Firmen zum Thema

Erstmalig soll jetzt eine gemeinsame Datenschutzvorschriften für Organisationen in der gesamten Europäischen Union eingeführt werden.
Erstmalig soll jetzt eine gemeinsame Datenschutzvorschriften für Organisationen in der gesamten Europäischen Union eingeführt werden.

Das Abkommen zur Auslieferung mutmaßlicher Terroristen an die USA ist sicherlich zu begrüßen. Die Kontroverse innerhalb Europas geht allerdings weiter. Denn Internethändler vertreten nach wie vor den Standpunkt, dass ihre Kunden durch die neue Gesetzgebung zu vielen einzelnen Punkten zustimmen müssten. Zudem wären sie gezwungen, auf wichtige Informationen zu verzichten, wenn Nutzer der Datenerfassung widersprächen. Eine genauere Begutachtung der Datenschutzverordnung für das Internet zeigt jedoch, dass die USA hier einiges von Europa lernen könnten.

Erstmalig soll jetzt eine gemeinsame Datenschutzvorschriften für Organisationen in der gesamten Europäischen Union eingeführt werden. Die geplanten Regelungen beinhalten auch die sofortige Meldung von Sicherheitsvorfällen und sonstigen „Datenverlusten“. Dies ist die erste wesentliche und längst überfällige Aktualisierung der Datenschutzverordnung seit 1995.

Die Maßnahmen werden derzeit von der Europäischen Kommission ausgearbeitet und die Details sind noch nicht vollständig geklärt. Anschließend müssen die nationalen Regierungen zustimmen. Insbesondere Deutschland wird nicht bereit sein, seine bisherigen Datenschutzgesetze auf Anordnung aus Brüssel aufzulockern. Bis die Richtlinien in Kraft treten, kann es deshalb noch zwei bis vier Jahre dauern.

Schwieriges Europa

Trotz der Wirtschaftskrise, die in den letzten Monaten für Schlagzeilen gesorgt hat, bleibt Europa für nordamerikanische Unternehmen ein wichtiger Markt. Er stellt einen Stützpunkt für die Märkte im Nahen Osten und in Afrika dar, und London ist nach wie vor einer der wichtigsten Finanzzentren der Welt. Was finanzielle Integrität angeht, hat die Koalitionsregierung des Vereinigten Königreichs in Europa eine Vorreiterrolle übernommen.

Europa hat jedoch die Angewohnheit, sich selbst Steine in den Weg zu legen, und einige sind der Ansicht, dass dies auch auf die neuen Richtlinien zutrifft.

Laut der vorgeschlagenen Verordnung soll die EU künftig Unternehmen einfacher bestrafen können, die größere Datenschutzverletzungen nicht verhindern oder Kundendaten ohne deren Einwilligung an Dritte verkaufen. Außerdem sollen Informationen in sozialen Netzwerken und Cloud-Computing-Services besser geschützt werden. Sobald persönliche Daten gefährdet wurden, müssen Organisationen Datenschutzbehörden sowie die betroffenen Personen innerhalb von 24 Stunden benachrichtigen.

Die Verordnung wird auch für europäische Niederlassungen außereuropäischer Konzerne gelten, so dass diese gezwungen sein werden, ihre Datenschutzrichtlinien zu verschärfen. Alle Unternehmen mit mehr als 250 Mitarbeitern müssen zudem Datenschutzbeauftragte ernennen. Die neuen Vorschriften verleihen der EU ähnliche Befugnisse wie bei Wettbewerbsangelegenheiten – hier können bei Verstößen Strafen in Höhe von bis zu 10 Prozent des Jahresumsatzes verhängt werden.

Vorbild europäisches Modell

Bei einer Telekonferenz zwischen den Mitgliedern der Europäischen Kommission und dem US-Handelsministerium in Washington letzte Woche legte Kommissionsvizepräsidentin Viviane Reding den USA nahe, das europäische, weitaus strengere Modell zu übernehmen. Als Ziel dieser Verhandlungen zwischen den Regulierungsbehörden nannte sie „regulatorische Konvergenz“. Damit deutete sie an, dass sich die Gesprächspartner auf beiden Seiten des Atlantiks auf einen gemeinsamen Tenor ihrer Gesetze einigen sollten, die den Schutz persönlicher Daten durch ISPs und Content-Anbieter regeln.

Sie sagte außerdem, dass es nun an Washington liege, mit Europa aufzuschließen und den bereits von der EU gesetzten „Goldstandard“ zu erreichen. Während sich Europa und Washington über die Auswirkungen des Patriot Act der USA von 2001 und den angemessenen Schutz für europäische Daten und amerikanische Rechenzentren streiten, müssen US-amerikanische Organisationen, die auf dem europäischen Markt tätig sind, entsprechende Maßnahmen zur Erfüllung der Richtlinien einleiten.

Guter Kompromiss

Sollten wir uns also vor der EU-Bürokratie fürchten oder die Trommel für einen wasserfesten Datenschutz rühren? Unserer Ansicht nach stellen die neuen Bestimmungen einen hervorragenden Kompromiss zwischen den realen Datenschutzanforderungen der Bürger und den praktischen Herausforderungen des Datenmanagements im modernen Unternehmensumfeld dar.

Viele IT-Sicherheitsexperten haben Bedenken über die technischen Probleme geäußert, die bei der Verwaltung, Einschränkung und Überwachung des Zugriffs auf ihre wachsenden Datenspeicher auftreten könnten. Diese Bedenken sind zwar verständlich, doch mit der richtigen Technologie lassen sich diese Schwierigkeiten in der Praxis ganz einfach beheben.

Dank dem Safe-Harbor-Modell zwischen den USA und der EU sind auch US-amerikanische Organisationen in der Lage, die EU-Datenschutzrichtlinien zu erfüllen. Dieses Programm ermöglicht es Unternehmen, die nach den Safe Harbor Principles zertifiziert wurden, personenbezogene Daten aus der EU in die USA zu übermitteln, obwohl die gesetzlichen Datenschutzregelungen der USA nicht dem europäischen Standard entsprechen. Die Safe Harbor Principles enthalten die sieben grundlegenden Prinzipien der EU-Datenschutzrichtlinien: Informationspflicht, Wahlmöglichkeit, Weitergabe, Zugangsrecht, Sicherheit, Datenintegrität und Durchsetzung.

Metadaten-Frameworks

Viele Organisationen standen bisher vor dem Problem, dass ihre Datenspeicher über keine oder nur sehr eingeschränkte Berechtigungsmanagement-, Klassifizierungs- und Auditing-Funktionen verfügen. Neue Metadaten-Framework-Technologien ermöglichen nun jedoch ein intelligentes, automatisiertes und kontrolliertes Datenmanagement über mehrere Plattformen hinweg, das C-Level-Führungskräfte endlich ruhig schlafen lässt.

Natürlich würden wir die gesetzlichen Vorschriften auch ohne die Androhung von Strafen erfüllen – oder? Vertrauliche Informationen sollten nur für diejenigen Nutzer zugänglich sein, die diese unbedingt benötigen. Doch wie viele Unternehmen verfügen tatsächlich über die erforderlichen Sicherheitsprozesse, um dies zu gewährleisten?

Die Wahrheit ist: nicht viele. In der Praxis ist es für viele IT-Abteilungen äußerst schwierig, die Berechtigungen auf dem aktuellen Stand zu halten – also sicherzustellen, dass sich die richtigen Nutzer in den richtigen Gruppen befinden und die richtigen Gruppen den richtigen Datenressourcen wie Ordnern, Sites und Postfächern zugeordnet sind.

Dies ist äußerst wichtig, denn Nutzer verändern häufig ihre Position innerhalb der Organisation und benötigen Zugriff auf immer mehr Daten.

Die Prozesse zum Erteilen, Überprüfen, Analysieren und Aufheben von Zugriffsrechten sowie die Identifizierung sensibler Daten müssen jedoch automatisch erfolgen, und die Zugriffe sollten überwacht und analysiert werden. Denn nur dann ist eine Organisation in der Lage, ihr Berechtigungsmanagement auf dem aktuellen Stand zu halten, Zugriffsaktivitäten zu beobachten und mögliche Bedrohungen aufzuspüren.

Problem unstrukturierter Daten

Das Problem der wachsenden Mengen unstrukturierter Daten – also der Informationen, die in jedem Unternehmensnetzwerk exponentiell ansteigen – müssen wir proaktiv angehen. In Bezug auf unstrukturierte Daten ist die Einführung einheitlicher Datenschutzvorschriften für die gesamte EU längst überfällig. Die Tatsache, dass dies komplexe Migrationsprozesse für einige multinationale Konzerne sowie Unternehmen darstellt, die neue Märkte erschließen, sollten wir als Chance und nicht als Bürde betrachten.

Ein wichtiger Punkt in den neuen Regelungen ist, dass sie von allen Unternehmen erfüllt werden müssen, die personenbezogene Daten wie Kundeninformationen, interne Personalverzeichnisse oder andere Listen speichern. Außerdem müssen alle Organisationen nachweisen können, wie und weshalb sie diese Daten verwenden.

Dies ist ein Service gegenüber dem Kunden, und in jedem gut organisierten Unternehmen sollten die dafür erforderlichen Prozesse ohnehin bereits vorhanden sein. Ein weiterer umstrittener Aspekt der neuen Verordnung ist das „Recht auf Vergessenwerden“: Unternehmen können Informationen, die sie nicht mehr benötigen und auf deren Nutzung sie keinen legitimen Anspruch mehr haben, nicht einfach in ihrer Infrastruktur behalten – ansonsten drohen ihnen hohe Strafen.

Unterschiedliche Datenscfhutzgesetze

Hier wird der Unterschied zwischen den US-amerikanischen und europäischen Datenschutzgesetzen deutlich: Während in den USA laut einem Bericht von Forrester Research vom September 2011 („Q&A: EU Privacy Regulations“ von Chenxi Wang, Ph.D.) „(...) in der Regel die Belange der Industrie im Vordergrund stehen, richtet die EU den Fokus mehr auf das Recht des Einzelnen auf Schutz der Privatsphäre.

Daraus ergeben sich einige Unterschiede in der Art und Weise, wie in der EU bzw. in den USA mit Daten umzugehen ist, insbesondere wenn es um die Übermittlung von Daten zwischen Ländern mit verschiedenen regulatorischen Standards geht.“

Einige befürchten, dass die geplanten Strafen von fünf Prozent des Jahresumsatzes zu hoch sein könnten. Eine Beschränkung auf zwei Prozent würde zwar vielen Branchenbeobachtern entgegenkommen, doch höhere Strafen dienen als positive Abschreckung für Unternehmen, die mit ihren alten Datensicherheitssystemen einfach weitermachen wie bisher.

Durch die vorgeschriebene Ernennung von Datenschutzbeauftragten wird die Aufmerksamkeit vieler Unternehmen auf dieses große Problem des digitalen Zeitalters gerichtet. Außerdem kann so sichergestellt werden, dass die meisten Organisationen in Bezug auf die neuen Regelungen nicht nur Lippenbekenntnisse ablegen.

Keine Sonderbehandlung

Ein weiterer positiver Aspekt ist, dass die Regelungen auch für außereuropäische – insbesondere US-amerikanische – Unternehmen gelten, die ihre Waren und Dienstleistungen in der EU anbieten möchten. Denn so können ähnliche Anforderungen wie die US-amerikanischen Sarbanes-Oxley-Regeln für die Unternehmensführung ausgeglichen werden. Amerikanische Firmen können nicht erwarten, in Europa eine Sonderbehandlung zu erhalten.

Aufgrund ähnlicher Fälle in der Vergangenheit lässt sich mit einiger Sicherheit behaupten, dass zahlreiche Gegner der neuen Gesetze schlichtweg schlecht informiert sind. Wir gehen davon aus, dass die kritischen Stimmen wie bei den PCI-Regeln für den Zahlungsverkehr bereits nach kurzer Zeit verstummen werden. Was jetzt noch als „unmöglich“ gilt, wird einfach zu einem Teil der täglichen Datenschutz- und -Management-Praxis. Und sobald die Führungsebenen der großen Unternehmen erkennen, was auf dem Spiel steht und dass die neue Verordnung dem Schutz ihrer Kundeninformationen dient, werden sie die Sache gleich viel positiver sehen.

(ID:33858610)