Bis zum 25. Mai 2018 müssen Unternehmen in der EU die neuen Datenschutzregeln umgesetzt haben.
In einem Jahr, am 25. Mai 2018, wird die vieldiskutierte Datenschutz-Grundverordnung (DSGVO) nationales Recht in den europäischen Mitgliedsländern. »Für Unternehmen empfiehlt es sich, die neuen Regeln zeitnah anzugehen«, sagt Markus Mergle, IT-Consultant bei msg.
Rechte der betroffenen Personen werden gestärkt
Ein Bestandteil der Datenschutz-Grundverordnung ist das »Recht auf Vergessenwerden«. Darauf beziehen können sich alle Personen, die von der Datenverarbeitung betroffen sind. Für die Unternehmen erweitern sich damit ihre Löschverpflichtungen. Darüber hinaus wurde ein neues Recht auf Daten-Portabilität geschaffen. Dieses betrifft zum Beispiel die Mitnahme der Daten zu einem neuen Provider. Ebenfalls neu ist die Datenschutz-Folgenabschätzung. Hier muss in Hinblick auf personenbezogene Daten das Risiko bei der Verarbeitung ermittelt werden, von der Eintrittswahrscheinlichkeit bis hin zur potenziellen Schwere eines Schadens für die Rechte und Freiheiten natürlicher Personen.
Maßnahmen müssen den »Stand der Technik« erfüllen
Um die neuen Regelungen umzusetzen, haben die Unternehmen eine Reihe technischer und organisatorischer Maßnahmen zu treffen. Diese haben den »Stand der Technik« zu erfüllen. Aufsichtsbehörden verweisen hierbei meist auf anerkannte Standards wie die des BSI oder die »Top 10 Privacy Risks« des Open Web Application Security Projects (OWASP). »Grundsätzlich gilt, dass der Aufwand bei der Umsetzung der Maßnahmen in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen sollte«, so Markus Mergle. Gemäß der neuen Verordnung ist die Wirksamkeit der ausgewählten Maßnahmen regelmäßig zu bewerten und zu evaluieren. Umsetzen lässt sich das durch Penetrationstests und Datenschutzaudits. »Unternehmen, die über ein Informationsmanagementsystem, zum Beispiel nach ISO 27001, verfügen, haben bei den Vorbereitungen auf den EU-gerechten Datenschutz deutlich weniger Aufwand«, sagt der Datenschutzexperte.
Bußgeldrahmen erhöht sich deutlich
Dass es der EU mit der Neuordnung des Datenschutzes ernst ist, zeigt sich am Bußgeldrahmen: Wo den Unternehmen im BDSG schlimmstenfalls 300.000 Euro Strafe drohten, können die Aufsichtsbehörden ab dem 25. Mai 2018 vier Prozent des gesamten weltweit erzielten Jahresumsatzes einfordern. Angesichts dessen und der zeitlichen Brisanz bei der Umgestaltung des Datenschutzrechts, rät Markus Mergle Unternehmen dazu, die neuen Regelungen schon jetzt in Angriff zu nehmen: »Egal ob Start-Up, mittelständisches Unternehmen oder multinationaler Großkonzern, die Uhr tickt für alle – und der Aufwand zur Umsetzung der neuen Anforderungen wird oftmals unterschätzt.«
Bitkom empfiehlt allen datenverarbeitenden Unternehmen, sich dringend mit dem Thema auseinanderzusetzen.
DSGVO: Vier von fünf deutschen Unternehmen läuft die Zeit davon
81 Prozent der Befragten erwarten Schwierigkeiten bei der rechtzeitigen Umsetzung der Datenschutzgrundverordnung – dennoch hat sie für 58 Prozent der Befragten keine Priorität.
Genau ein Jahr vor Inkrafttreten der DSGVO sieht die überwiegende Mehrheit der Unternehmen weltweit (75 Prozent) große Herausforderungen in der pünktlichen Umsetzung der Vorgaben. Dies ist eines der Ergebnisse einer repräsentativen Umfrage, die von Varonis Systems in Auftrag gegeben wurde. Hierzu wurden 500 IT-Entscheidungsträger aus den USA, UK, Frankreich und Deutschland befragt. Hierzulande stellt sich die Situation sogar noch ein wenig angespannter dar: 81 Prozent der Befragten zweifeln an der fristgerechten Einführung in ihren Unternehmen. Gleichzeitig betrachten 58 Prozent die Umsetzung nicht als Priorität in ihrem Handeln – trotz empfindlicher Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes (je nachdem, was höher ist).
»Diese Diskrepanz zwischen Problembewusstsein auf der einen und mangelndem Engagement auf der anderen Seite ist überaus alarmierend, da die Einführung einer DSGVO-konformen Datenbehandlung eine gewisse Zeit und Commitment des gesamten Unternehmens – und nicht nur der IT-Abteilung – benötigt«, sagt Thomas Ehrlich, Country Manager DACH bei Varonis. »Die Verantwortlichen sollten begreifen, dass gerade jetzt die Zeit ist, die Problematik anzugehen und dadurch auch schnell von den Chancen zu profitieren, welche das neue Gesetz zweifellos schafft.«
Deutsche Unternehmen sehen folgende Punkte als größte Problemfelder:
- 57 Prozent der deutschen Unternehmen sehen beim »Recht auf Vergessenwerden« (Artikel 17) Schwierigkeiten in der Identifizierung und im Auffinden der entsprechenden Daten sowie im automatischen Löschen auf Kundenaufforderung.
- 55 Prozent erwarten bei der Umsetzung eines Privilegienmodells auf Basis der minimalen Rechtevergabe, der Einführung haftbarer Datenbesitzer und der Erstellung entsprechender Nachweise über die Einhaltung von Richtlinien und Prozessen große beziehungsweise sehr große Herausforderungen (Artikel 32).
- Gut jedes zweite Unternehmen in Deutschland (52 Prozent) befürchtet Schwierigkeiten bei der Identifizierung personenbezogener Daten und wer in welchem Umfang hierauf Zugriff hat.
Gut ein Drittel (35 Prozent) der befragten Unternehmen hat in den letzten zwölf Monaten keine Datenbewertung (data impact assessment) durchgeführt, um auf diese Weise herauszufinden, wer Zugriff auf personenbezogene Daten hat. »Dies bedeutet auch, dass viele Unternehmen schlicht und einfach nicht wissen, wo ihre sensiblen Daten gespeichert sind«, so Ehrlich. »Durch die DSGVO wird es jedoch wichtiger denn je, seine Daten zu kennen: Wo sind die vertraulichen Informationen gespeichert? Wer hat Zugriff auf sie? Und vor allem: Wer sollte Zugriff auf sie haben?« Das neue Gesetz setzt dabei einen »Privacy by Design«-Ansatz um: Die Sammlung persönlicher Daten soll dabei minimiert, nicht mehr benötigte gelöscht, der Zugriff nach dem »Need-to-know«-Prinzip eingeschränkt und damit die Daten in ihrem gesamten Lebenszyklus geschützt werden. Die neuen Meldepflichten erfordern zudem eine erhöhte Überwachung und schnelle Alarmierungen, deren Grundlage die Erkennung von abnormalen Nutzer- und Zugriffsverhalten ist.
Weitere Ergebnisse der Befragung:
- 65 Prozent der Unternehmen haben bereits ein Data Assessment beziehungsweise interne Audits durchgeführt, um zu prüfen, wer Zugriff auf personenbezogene Daten hat. Bei 55 Prozent der Befragten trat dabei mindestens ein Fall von übermäßigen Zugriffsrechten auf sensible Daten auf.
- Nur 35 Prozent der Befragten halten ihr Budget für die Einführung DSGVO-konformer Prozesse für ausreichend. Bei den meisten Unternehmen (49 Prozent) müssen die IT-Abteilungen mehr für das gleiche Geld bewerkstelligen, da ihre Mittel für die DSGVO-Projekte aus anderen Datensicherheits-Projekten stammen.
- Die Mehrheit der Unternehmen steht dem neuen Gesetz positiv gegenüber und sieht in ihm auch Chancen. So gaben 50 Prozent an, durch die DSGVO ihre Daten besser unter Kontrolle halten zu können, 48 Prozent erkennen Vorteile in der Lokalisierung personenbezogener Daten und 42 Prozent erwarten ein niedrigeres Risiko für Datenschutzverletzungen. Darüber hinaus versprechen sich 56 Prozent einen Wettbewerbsvorteil durch die Verordnung.
- 39 Prozent der Unternehmen verfügen bereits über einen Data Protection Officer (DPO) o.ä., 20 Prozent werden diese Stelle innerhalb der nächsten sechs Monate, 30 Prozent innerhalb der nächsten zwölf Monate schaffen.
- Sowohl in Deutschland (85 Prozent) als auch weltweit (76 Prozent) herrscht Einigkeit in der Auffassung, dass die Bundesrepublik wohl am strengsten die Umsetzung überprüft und Verstöße ahnden wird.
[1] Die kompletten Ergebnisse können hier heruntergeladen werden. https://www.varonis.com/learn/gdpr-survey-2017/
Herausforderung EU-DSGVO: Verpassen Sie nicht den 7-teiligen Online-Kurs von Troy Hunt: https://info.varonis.com/gdpr-attack-plan.
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
Schlusslicht Deutschland: Unternehmen fühlen sich schlecht auf DSGVO vorbereitet
EU-DSGVO: Datenschutz-Grundverordnung der EU verunsichert Unternehmen
DSGVO und SIEM – Bedeutung für Krankenhäuser in Zeiten von Locky & Co.
EU-DSGVO: Vom neuen EU-Datenschutz nicht verängstigen lassen
Erst 10 % der Unternehmen haben die Datenschutzgrundverordnung bereits umgesetzt
Bundestag verabschiedet Neuerungen beim Datenschutz: Was Unternehmen nun beachten müssen
Europäische Datenschutzgrundverordnung: Drei Tipps für die Cloud-Nutzung in Unternehmen
Deutsches Datenschutzrecht wird an die EU-Vorgaben angepasst