Zu treffende Maßnahmen
Die Anzahl und Komplexität der einzuführenden Maßnahmen sollte dabei nicht unterschätzt werden. Zum Beispiel erfordert die neue Regelung die Nutzung von Sicherheitsmaßnahmen nach dem Stand der Technik. Dazu gehören etwa belastbare Abwehrmechanismen gegen größere DDoS-Attacken, Antiviren- und Antimalware-Software sowie strenge Identifizierungs- und Authentifizierungsmechanismen. Eine Next-Generation Firewall entspricht beispielsweise dem Stand der Technik. Dies bedeutet, dass eine IP-Table-Firewall, die nicht mehr zeitgemäß ist, aufgrund konkreter gesetzlicher Anforderungen ausgetauscht werden muss. In welchen Bereichen Maßnahmen nötig und sinnvoll sind, sollte zudem eine Schutzbedarfsanalyse zeigen. Die EU-DSGVO erfordert hier zwar ein höheres Anforderungsprofil an das Risikomanagement, jedoch können Unternehmen dann auch die Effizienz ihrer Schutzmaßnahmen erhöhen. Zudem erhalten sie damit den Vorteil, dass sie bisherige Redundanzen oder unnötige Maßnahmen und Lizenzen einsparen können.
Ein weiterer positiver Aspekt der EU-DSGVO ist die Möglichkeit auf etablierte Vorgehensweisen zurückzugreifen. Wer zum Beispiel bereits ein funktionierendes, ständig aktualisiertes Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einsetzt, hat die halbe Arbeit schon erledigt. Er muss hier lediglich den Anwendungsbereich erweitern und gemäß der Regelung erforderliche Prozesse für den Datenschutz und die rechtlichen Prüfungen ergänzen. Dies funktioniert relativ einfach, wenn die bisherigen Prozesse in der Praxis gut umgesetzt werden.
Trotzdem müssen die Unternehmen auch dann den Ist-Status ermitteln, gemeinsam mit den Fachbereichen die Prozesse prüfen, die erledigten und noch zu erledigenden Aufgaben auflisten und eine Prioritätenliste erstellen. Dabei können sie auch externe Berater einbinden, welche die genutzten Verfahren, Daten und IT-Systeme analysieren sowie rechtlich prüfen, ob sie erlaubt und zweckgebunden sind. Dazu gehören neben Auftragsdatenverarbeitung auch Einwilligungen von Kunden, Risikomanagement, Dokumentationen, Betriebsvereinbarungen sowie IT-Sicherheits- und Datenschutzrichtlinien. Anschließend werden die durchzuführenden Aufgaben aufgezeigt und priorisiert, die zur technischen und rechtlichen Absicherung nötig sind.
Auf weitere Änderungen vorbereiten
Unternehmen sollten sich schon von Anfang an darauf vorbereiten, dass sich die Rechtsprechung ständig weiterentwickelt. So sind nach dem 18. Mai 2018 diverse Gerichtsurteile zu erwarten, welche die Auslegung der EU-DSGVO stärker präzisieren. Diese werden von Verwaltungsgerichten und dem Europäischen Gerichtshof erlassen. Es ist auch nicht auszuschließen, dass die EU selbst die Datenschutz-Grundverordnung immer wieder aktualisiert und neuen Entwicklungen anpasst. Auch aufgrund vieler offener Fragen und gewisser Lücken im aktuellen Text sollten sich Unternehmen auf einen dauerhaften Prozess einstellen.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Für deutsche Firmen ist dabei besonders wichtig, dass die EU-Verordnung mit dem neuen Bundesdatenschutzgesetz (BDSG) verzahnt ist. In dessen Geltungsbereich bleiben zum Beispiel die Themen Arbeitnehmerdatenschutz oder eine stark ausgeweitete Videoüberwachung, auch am Arbeitsplatz. Auch bisherige Regelungen wie die Bestellpflichten für den Datenschutzbeauftragten bleiben bestehen. Auch wenn viele Experten die EU-Verordnung aufgrund ihrer zahlreichen Öffnungsklauseln eher für eine Richtlinie halten, müssen sie Unternehmen wegen der möglichen hohen Strafen befolgen.
Jetzt starten
Aufgrund der zahlreichen Herausforderungen und zu bearbeitenden Themen sollten Unternehmen schon jetzt mit dem Projekt "EU-DSGVO Compliance" starten. Dabei sind die bestehenden Prozesse zu prüfen, um sie zu erweitern oder nach Möglichkeit auch zu vereinfachen. Zum Beispiel lässt sich jetzt ein ausreichender Passwortschutz über Single-SignOn und Zwei-Faktor-Authentifizierung realisieren. So müssen sich die Mitarbeiter nicht mehr verschiedene komplexe Passwörter merken, wodurch sich gleichzeitig ihre Zufriedenheit und die Sicherheit für das Unternehmen erhöhen. Werden die Vorgaben der EU-DSGVO konsequent und nachweisbar eingehalten, lässt sich dies auch für Marketing und Vertrieb nutzen. Denn selbst die Kunden von kleinen Handwerksbetrieben möchten heute sicher sein, dass sich ihre persönlichen Daten in guten Händen befinden. So eröffnet die neue EU-Regelung auch neue Geschäftsmöglichkeiten.