Das müssen Unternehmen bei der DSGVO beachten

Am 25.05.2018 tritt das europäische Datenschutzgesetz (DSGVO) in Kraft. Darin hat das EU-Parlament festgeschrieben, wie Unternehmen künftig mit personenbezogenen Daten umzugehen haben. Zwar werden noch geringfügige länderspezifische Anpassungen vorgenommen, betroffene Firmen sollten sich allerdings schon jetzt mit der Umsetzung befassen. Wer die Anforderungen nicht erfüllt, muss mit empfindlichen Strafen rechnen.

Was Firmen im Umgang mit Kundendaten jetzt beachten müssen, hat com! professional den Experten Thorsten Krüger, Director Sales IDP DACH & CEE bei der IT-Security-Firma Gemalto, gefragt.

com! professional: Die DSGVO, was genau ist das denn eigentlich?

Thorsten Krüger

(Quelle: Kafka Kommunikation )

Thorsten Krüger: Dabei handelt es sich um ein europaweites Gesetz zum Schutz von privaten Nutzerdaten. Das soll mit dem neuen Gesetzt deutlich stärker durchgesetzt werden, als es früher der Fall war. Bisher hieß es nur, es müssten organisatorische und technische Vorkehrungen getroffen werden. Wenn das Unternehmen angegeben hat, dem Folge zu leisten, wurde das ohne weitere Kontrolle akzeptiert. Jetzt besteht eine Dokumentationspflicht, was mit welchen Daten wie und wo passiert. Kommt es doch zu einem Hackerangriff auf die Daten und das Unternehmen kann eben diese Dokumentation nicht vorweisen, kann das ganz schön teuer werden. Die Höchststrafe liegt bei entweder 20 Millionen Euro oder vier Prozent des weltweiten Gesamtumsatzes. Je nachdem, welcher Betrag höher ist.

Ein Beispiel: Hat ein Unternehmen etwa einen Jahresumsatz von 150 Milliarden Euro, dann läge die Höchststrafe entsprechend dieser 4 Prozent bei 6 Milliarden Euro. Das ist aber wie gesagt, die Höchststrafe. Sicherlich wird diese nicht in allen Fällen wirklich voll ausgeschöpft. Aber theoretisch ist das schon eine extreme Summe, die da aufgerufen wird.

com! professional: Was kommt denn jetzt genau auf die Unternehmen zu? Welche Maßnahmen müssen getroffen werden, um die gesetzlichen Vorgaben zu erfüllen?

Krüger: Jedes europäische Land nimmt in geringem Umfang noch eigene Spezifikationen vor und die Deutsche wurde bisher noch nicht veröffentlicht. Bekannt ist allerdings jetzt schon, dass den wesentlichen Grundsätzen der EU-Fassung entsprochen wird. Die Firmen können und müssen also eigentlich jetzt schon anfangen sich mit der Thematik zu beschäftigen. Das fängt schon damit an, dass sie überlegen müssen, welche ihrer gespeicherten Daten überhaupt betroffen sind. Dann müssen sie natürlich analysieren, wo sich diese Daten befinden und auf welche Sätze sie sich konzentrieren müssen. Kurz gesagt: Die Identifikation der relevanten Daten im Unternehmensnetzwerk.

com! professional: Und dann?

Krüger: Wenn die Daten nicht schon verschlüsselt sind, ist das der nächste Schritt. Und da kommen wir eigentlich auch schon zur ersten Stolperfalle. Viele Unternehmen verschlüsseln ihre Daten zwar vorschriftsgemäß, machen sich aber keine Gedanken über das Key-Management. Also wer Zugriff auf die Daten hat und sie natürlich auch entsprechend entschlüsseln kann. Es bringt nicht viel, die Daten zu verschlüsseln, den Key dazu aber auf demselben Server abzulegen. Kommt es dann nämlich zu einem Hackerangriff liefert man den Schlüssel ja gleich mit. Dann hätte man sich die komplette Verschlüsselung eigentlich sparen können. Man kann den Unternehmen beziehungsweise den verantwortlichen IT-Mitarbeitern hier aber auch gar keinen Vorwurf machen. Oft mangelt es einfach an Know-how oder am begrenzten Budget. So gesehen liegt das aber auch außerhalb der Kernkompetenz dieser Unternehmen.

com! professional: Und was können gerade solche Unternehmen jetzt machen?

Der jährlich veröffentlichte Breach Level Index zeigt die gemeldeten Datenvorfälle des jeweiligen Vorjahres.

(Quelle: Gemalto )

Krüger: Verschlüsselung und Keymanagement kann man sich auch kaufen. Wir nennen das zum Beispiel „Data Protection-as-a-Service“. Das Problem ist nur, dass viele Firmen ein gewisses Maß an Furcht an den Tag legen, wenn es um dieses Thema geht. Sie haben einfach Angst, dass sie selbst nicht mehr auf ihre Daten zugreifen können, wenn der Schlüssel zum Beispiel weg ist. Und sie haben nicht unrecht damit. Verschlüsselung funktioniert. Die Alternative ist hier eben, einen Service mit einem sauberen Konzept anzubieten. Im Endeffekt bleibt den Unternehmen ja auch eigentlich gar nichts anderes übrig. Entweder sie sorgen selbst für eine vernünftige Verschlüsselung inklusive Key-Manament, oder sie nehmen einen entsprechenden Service in Anspruch. Da müssen die allermeisten Unternehmen noch etwas tun.

Der sogenannte Breach-Level-Index (BLI) der Gemalto wertet Datenvorfälle jährlich aus. Im aktuellen BLI sind rund 1.800 Attacken verzeichnet. Dabei wurden etwa 1,4 Milliarden Datensätze kompromittiert. Das fatale daran: Gerade mal 4 Prozent dieser Daten waren verschlüsselt. Die übrigen 96 Prozent waren in Klartext gespeichert. (Anm. d. Red.: Bei den aufgezeichneten Vorfällen handelt es sich vorwiegend um Attacken aus den USA, da es dort eine entsprechende Meldepflicht für solche Angelegenheiten gibt. Die neue DSGVO sieht dies nun allerdings auch für Europa vor.)

com! professional: Was muss ein Unternehmen aufgrund der DSGVO denn nun tun, wenn es tatsächlich zu einem Hacker-Angriff auf die Daten gekommen ist?

Krüger: Grundsätzlich gilt: Werden die Daten eines Unternehmens gehackt, muss jeder einzelne Nutzer über die Attacke informiert werden. Außerdem muss der Datenschutzbeauftragte des jeweiligen Landes über den Angriff innerhalb von 72 Stunden informiert werden. Der sogenannte „Data Security Officer“. In Deutschland sind das zum Beispiel die Landesbeauftragten der Datenschutzbehörde. Dann gibt es eine Ermittlung.

Kann das Unternehmen in einem solchen Fall dann die geforderte Dokumentation nicht lückenlos vorlegen beziehungsweise geht aus dieser hervor, dass die Verschlüsselung und das Key-Management nicht ausreichend waren, kann das für das Unternehmen teuer werden. Aber auch wenn es zu keinem Angriff kommt, ist die Dokumentation essentiell. Theoretisch hat nämlich jeder das Recht von den Unternehmen Auskunft zu verlangen, welche Daten über ihn gespeichert sind. Für eine solche Anfrage hat die Firma dann gerade einmal 1 Monat Zeit. Wird dem nicht nachgekommen, kann der Kunde einen Fall eröffnen lassen. Dann würde das Unternehmen auditiert und die Dokumentation überprüft.

Das jetzt jeder seine Daten anfragt, ist sicherlich nicht im Sinne des Erfinders, aber dennoch eine Sache, die jetzt auf die Firmen zukommt. Problematisch ist das nur, weil ich denke, dass diese ganzen Anforderungen der DSGVO nicht so schnell umsetzbar sind. Jedenfalls nicht binnen eines Jahres. Zwei bis drei Jahre wären da schon realistischer. Ob es eine Pufferzeit gibt, weiß ich nicht. Ich kann mir aber vorstellen, dass es zu Beginn ein bis zwei Präzedenzfälle geben wird um den Unternehmen wirklich klar zu machen, dass sie die Vorgaben wirklich umsetzen müssen.