EU-Datenschutzverordnung: Die Rahmenbedingungen und Folgen für Cybersicherheit

Im Jahr 2016 waren laut dem Europäischen Parlament 80 Prozent der europäischen Unternehmen mit mindestens einem Cybersicherheitsvorfall konfrontiert. So erschreckend diese hohe Prozentzahl ist, wird zugleich deutlich, dass gehandelt werden muss – insbesondere wenn sensible, personenbezogene Informationen gestohlen werden. So tritt am 25. Mai 2018 die EU-Datenschutzverordnung in Kraft, mit dem Ziel, das europäische Datenschutzrecht zu vereinheitlichen und Einzelpersonen mehr Rechte zu geben.

Dass die Umsetzung im Unternehmen nicht leicht von statten geht, zeigt eine aktuelle Studie von NetApp: Mehr als 70 Prozent der IT-Entscheider haben Bedenken, fristgerecht mit der Umsetzung der DSGVO fertig zu werden. Und auch Jan Albrecht, Abgeordneter des Europäischen Parlaments bemerkte bereits im März 2016 zur Tragweite des Gesetzes:

"Die EU-Datenschutzverordnung wird nicht nur die europäischen Datenschutzgesetze ändern, sondern nicht weniger als die ganze Welt, wie wir sie kennen."

1. Zentrale Rahmenbedingungen der DSGVO
Warum die neue Gesetzgebung solche Superlative mit sich bringt wird beim Blick auf einige Kernelemente der DSGVO deutlich:

  • Im Gegensatz zur EU Datenschutzrichtlinie ist die DSGVO eine Verordnung. Darum wird sie ab dem 25. Mai 2018 mit sofortiger Wirkung umgesetzt.
  • Die DSGVO hat, mit Ausnahme von Öffnungsklauseln, die nationale Konkretisierungen und Anpassungen erlauben, Vorrang vor der nationalen Gesetzgebung: Jeder EU-Mitgliedsstaat muss sie umsetzen.
  • Die DSGVO erlegt Unternehmen Meldepflichten auf. Diese haben das Ziel, dass Unternehmen eine proaktive Strategie zur Gewährleistung der Informationssicherheit entwickeln:
    • Datenlecks müssen „unverzüglich“ und ohne unangemessene Verzögerung – als Richtwert gelten 72 Stunden – an die zuständigen nationalen Behörden gemeldet werden.
    • Informationspflicht besteht, wenn besonders „sensible“ Daten von einem Sicherheitsvorfall betroffen sind.
  • Auch Unternehmen mit Sitz außerhalb der EU müssen die DSGVO befolgen, wenn sie mit personenbezogenen Daten von EU-Bürgern arbeiten.
  • Die Sanktionen können für Unternehmen immens werden und bis zu 4 Prozent des jährlichen weltweiten Umsatzes des Unternehmens betragen.

In der Praxis bedeutet das, dass ab Mai 2018 Unternehmen personenbezogene Daten rechtskonform nach den Vorgaben der DSGVO verarbeiten müssen – und Datenschutz viel stärker mitdenken müssen. Doch wird auch Kritik an dieser Verordnung laut, denn sie enthält Öffnungsklauseln, die für bestimmte Fälle der nationalstaatlichen Gesetzgebung Spielräume geben und damit aber auch Zuständigkeiten aufweichen. So legt die DSGVO zwar das Zeitfenster (72 Stunden) für die Benachrichtigung der Behörden nach einem Cyberangriff fest, definiert aber nicht den Auslöser, ab dem die Zeit läuft. In der EU tätige Unternehmen müssen sich also sehr detailliert informieren, welche Regelungen in welchem EU-Mitgliedsstaat gelten.

2. Die Folgen für Cybersicherheit unter der DSGVO
Trotz der vielen Neuerungen, der nicht einfachen Umsetzung und der kurzen verbleibenden Zeit bis Inkrafttreten der Verordnung, schieben viele Unternehmen die Umsetzung der DSGVO noch zu sehr auf. Folgende Punkte sollten in punkto Cybersicherheit bei der Umsetzung der EU-Datenschutzverordnung unbedingt beachtet werden:

  1. Cybersecurity ist endgültig nicht mehr nur ein IT-Thema, spätestens jetzt müssen sich auch Vorstände, Aufsichtsräte und Führungsebene mit diesem dynamischen Risiko vertraut machen. Hierbei stehen die          folgenden Fragen im Vordergrund:
    • Welche personenbezogenen Daten werden verarbeitet?
    • Wo und wie werden diese personenbezogenen Daten verarbeitet?
    • Ist die Sicherheit der Daten gewährleistet?
    Gerade Aufsichtsräte werden ihren Druck auf das Management erhöhen. Zu erwarten sind kritische Fragen beispielsweise zu möglichen Sicherheitslücken in Software, zur Nutzung von Multifaktor-Authentifizierung seitens der Anwender und zur Durchführung von Risikobewertungen von Partnern sowie Lieferanten.
  2. Schwachstellenanalysen sind unerlässlich. Jedes Unternehmen sollte eine regelmäßige Schwachstellenbewertung durchführen:
    • Was sind die kritischsten Assets?
    • Ist die Organisation in erster Linie auf proprietäre Daten oder industrielle Steuerungssysteme angewiesen?
    • Wurden die immensen finanziellen Konsequenzen einer schweren Sicherheitslücke ausreichend bemessen?
    • Wurden im Zuge einer Datenschutz-Folgeabschätzung die Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen bewertet?
  3. Unternehmen sollten mit externen Stakeholdern zusammenarbeiten. In den USA werden Sicherheitsvorfälle aufgrund der unterschiedlichen Gesetzgebung schon jetzt wesentlich öffentlicher diskutiert, als dies derzeit in Europa der Fall ist. Dies kann sich durch die Datenschutzgrundverordnung ändern. Deshalb ist es jetzt an der Zeit, Vertrauensverhältnisse zu Strafverfolgungsbehörden, politischen Entscheidungsträgern und Pressevertretern aufzubauen um im Schadensfall schnell reagieren zu können. Unternehmen sollten in Betracht ziehen, hochkarätige externe Sicherheitsexperten beratend einzusetzen.

Es ist nicht einfach als Führungskraft zuzugeben, nicht ausreichend vorbereitet zu sein – egal bei welchem Thema. Jetzt ist die Zeit für jedes Unternehmen gekommen, einen ehrlichen und kritischen Blick auf seine Richtlinien und Prozesse zu werfen und sich schnellstens auf den Weg zur Umsetzung der EU-Datenschutzverordnung zu begeben. Bei Cybersicherheit sind der Einsatz und die Strafen zu hoch, um die EU-Datenschutzgrundverordnung nicht anzugehen – und letzten Endes erwarten auch wir als Privatpersonen, dass mit unseren Daten verantwortungsbewusst umgegangen wird. Jetzt ist der perfekte Zeitpunkt, die Grundlagen hierfür im Unternehmen zu legen!

Sie möchten mehr über Cybersecurity unter der EU-Datenschutzgrundverordnung erfahren? Lesen Sie mehr dazu auf unserer Website (EN)!