Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung endgültig in Kraft. Dann endet eine zweijährige Übergangszeit – und damit die Schonfrist für Unternehmen und Behörden. Doch obwohl die Zeit drängt, haben viele noch immer keinen Plan für die Umsetzung. Ihnen bleibt nun gar nichts anderes mehr übrig als Prioritäten zu setzen. Aber wo anfangen?
Laut einer Befragung des Branchenverbandes Bitkom [1] hatten im September 2017 erst 13 Prozent der Unternehmen Maßnahmen zur Umsetzung begonnen oder abgeschlossen, während 33 Prozent noch unvorbereitet waren. Einer Umfrage der Deutschsprachigen SAP-Anwendergruppe (DSAG) vom Oktober 2017 zufolge hatte sogar jedes zweite befragte Unternehmen immer noch keinen Plan für die Umsetzung der Verordnung. Wo man doch denken sollte, dass die Verantwortlichen in den vergangenen 20 Monaten, seit die Verordnung im Mai 2016 in Kraft trat, genügend Zeit für die Umsetzung gehabt haben müssten. Zwar werden sie vielleicht nicht sofort belangt werden – aber wer den Aufsichtsbehörden dann nicht belegen kann, zumindest an einer den Anforderungen entsprechenden Anpassung seiner Prozesse und Tools zu arbeiten, der handelt grob fahrlässig und muss zu Recht mit Strafen rechnen.
Nur noch verschlüsselt kommunizieren?
Aber wo anfangen? Wie wäre es bei den E-Mails? Denn während die DSGVO in vielen Fällen bewusst vage vom »Stand der Technik« spricht, so auch in Artikel 32 (»Sicherheit der Verarbeitung«), fordert sie dort explizit die »Verschlüsselung personenbezogener Daten«. Damit ist natürlich nicht gemeint, dass Unternehmen nur noch über verschlüsselte E-Mails kommunizieren dürfen. Wohl aber, dass Faktoren wie der Schutzbedarf der Daten zu berücksichtigen sind. Die Verordnung bezieht sich ausschließlich auf personenbezogene Daten, aber auch andere vertrauliche Daten sollten diesen Schutz erfahren. Unternehmen müssen Datenschutz durch Technikgestaltung und durch Voreinstellungen (»Privacy-by-Design« und »Privacy-by-Default«) umsetzen, die Rahmenbedingungen sind in Artikel 25 formuliert. Diese Grundsätze erfordern es, Daten wo immer es möglich ist, anonymisiert beziehungsweise pseudonymisiert zu erheben und verschlüsselt zu verarbeiten.
Die E-Mail spielt in der ganzen Thematik eine zentrale Rolle. Einerseits hat sie sich gerade im Unternehmensumfeld seit vielen Jahren als Hauptkommunikationsmittel etabliert, ist einfach zu bedienen und universell verfügbar. Andererseits kommen gerade hier Sicherheitsfragen ins Spiel: E-Mail-Systeme sind ein bevorzugtes Angriffsziel von Kriminellen, Hackern und Wirtschaftsspionen – neun von zehn Cyber-Angriffen starten mit einer E-Mail.
Wie den Cyberkriminellen zuvorkommen?
Hier lauern die Gefahren in der Art, wie Unternehmensmitarbeiter kommunizieren. Daher kommt es für IT-Verantwortliche darauf an, die Angriffsfläche zu verringern. Zumal den Betroffenen nicht nur wirtschaftlicher Schaden entsteht, wenn vertrauliche Informationen – versehentlich oder absichtlich – in die falschen Hände gelangen, auch der potenzielle Reputationsschaden sollte nicht unterschätzt werden.
Eine spezielle Authentifizierung sowie das verschlüsselte Übertragen der Inhalte machen das Mitlesen von E-Mail-Korrespondenz unmöglich. Aber erst wenn auch die Betreffzeilen verschlüsselt sind, können Angreifer nicht erkennen, wer mit wem worüber spricht und daraus Rückschlüsse ziehen – schon diese Informationen (»Bitte Abstimmung wegen Übernahmeangebot Firma X«) können ausreichen, um einen Social-Engineering-Angriff zu starten.
Ein wichtiger Compliance-Standard, den die DSGVO fordert, ist das Klassifizieren von Daten. Mit entsprechenden Lösungen können Unternehmen die gesetzlichen Vorgaben erfüllen sowie eigene Richtlinien umsetzen: So ermöglicht es die E-Mail-Schutz-Klassifizierung den Anwendern, Daten nach dem Grad ihrer Schutzbedürftigkeit einzustufen, um jede ausgehende Nachricht mit einem adäquaten Sicherheitsgrad versenden zu können. Konkret bedeutet dies, dass beispielsweise streng vertrauliche Patientendaten zwingend als verschlüsselter Anhang mit einem Einmal-Passwort und mit nachvollziehbarer Empfangsbestätigung versendet werden müssen.
»Schatten-IT«: Die im Dunkeln sieht man nicht?
Gerade große digitale Datenmengen, die sich nicht per E-Mail versenden lassen, können Mitarbeiter dazu verleiten, andere Hilfsmittel für den Datenaustausch zu verwenden – wie USB-Sticks, File-Sharing-Lösungen oder Cloud-Dienste, die sie vor allem aus dem privaten Bereich kennen. Das Ergebnis: Die oft zitierte »Schatten-IT«, der häufig beim Datenaustausch auftretende Einsatz nicht autorisierter Software im Unternehmen.
Umso wichtiger, dass Sicherheit, Benutzerfreundlichkeit und Kosteneffizienz Hand in Hand gehen. Überhaupt ist die Unterstützung durch technische Lösungen nur die eine Seite der Medaille, die auch nicht isoliert betrachtet werden sollte. Die andere ist die Sensibilisierung der Mitarbeiter, idealerweise in Form von regelmäßigen Schulungen. Sie ist unabdingbar, schließlich spielen die Anwender die zentrale Rolle bei allen Fragen rund um IT-Sicherheit.
Dominik Lehr
Eine Einschätzung anlässlich des Europäischen Datenschutztages am 28. Januar – von Dominik Lehr, Gründer und Vorstand der Befine Solutions AG
[1] https://ap-verlag.de/dsgvo-jedes-dritte-unternehmen-hat-sich-noch-nicht-mit-der-datenschutzgrundverordnung-beschaeftigt/38270/
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
DSGVO: Verbraucher wollen die Kontrolle personenbezogener Daten von den Unternehmen zurück
Schärfere Vorgaben beim Datenschutz: Endspurt für die Vorbereitung auf die DSGVO
EU-DSGVO & personenbezogene Daten: Diese sechs Fragen müssen Unternehmen sich jetzt stellen