Die EU-Datenschutz-Grundverordnung (DSGVO)
Christiane Peters, Chefredakteurin der markt & wirtschaft westfalen interviewte IT-Sicherheitsberater Dirk Brand unseres Unternehmens SILA Consulting GmbH zum Thema Datenschutzgrundverordnung (DSGVO).
„Der Datenschutz wird ein wichtiger Bestandteil des Risikomanagements in Unternehmen“
Im Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Nach zweijähriger Übergangsfrist wird es nun ernst. Was müssen Unternehmen jetzt tun?
Sicherheitsexperte Dirk Brand von der SILA Consulting GmbH über das neue Gesetz und den Handlungsbedarf.
Herr Brand, Sie sind seit 14 Jahren in der Informationssicherheit tätig. Wie hat sich das Bewusstsein für die IT-Sicherheit in den Unternehmen den letzten Jahren verändert?
Dirk Brand: Noch vor zehn Jahren fristeten AV- und Firewall-Lösungen eher ein Schattendasein in den Unternehmen. Mittlerweile gehört eine technische Grund-IT-Ausstattung, auch bei kleineren Betrieben, zum Standard. Das ist die eine Seite. Notwendig ist jedoch eine organisatorische Regelung, die die Schulung und Weiterbildung der Mitarbeiter und genaue Ablaufpläne festlegt. Dennoch gibt es noch genügend, insbesondere IT-ferne Unternehmen, bei denen die IT oft nur als Appendix nebenherläuft, und das Bewusstsein fehlt, wie abhängig sie tatsächlich von der IT sind. Ebenso wenig sehen sie die Gefahr, selbst Opfer eines Angriffs zu werden. Fragen, wie „Wir entwickeln doch nur Maschinen, wer sollte uns schon angreifen?“ spiegeln die Situation in der Praxis wider.
Jedes Unternehmen sollte ein Notfall-Vorsorge-Konzept haben, dass umgehend greift, wenn ein Angriff geschieht und eine Betriebsunterbrechung droht.
Die Datenschutz-Grundverordnung (DSGVO) löst das alte Bundesdatenschutzgesetz ab. Welche Ziele verfolgt das neue Gesetz?
Dirk Brand: Im Vordergrund steht die Stärkung der Rechte der Betroffenen. Was sich darin zeigt, dass Unternehmen nun verschärfte Vorgaben bei der Verarbeitung personenbezogener Daten beachten müssen.
Mit der neuen EU-DSGVO gibt es einen europaweiten einheitlichen und vereinfachten Standard, der auf der Basis von gleicher Überwachung und gleichen Strafen beruht.
Viele Regelungen der DSGVO basieren auf dem aktuell gültigen Bundesdatenschutzgesetz (BDSG) und können teils sogar übernommen werden. Außerdem erlauben nationale Öffnungsklauseln (BDSG-Neu) eine Differenzierung, zum Beispiel beim Umgang mit sensiblen Daten oder beim Beschäftigtendatenschutz.
Was heißt das nun für die Unternehmen im Umgang mit personenbezogenen Daten?
Dirk Brand: Im Fokus der DSGVO stehen die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Grundrechte und Grundfreiheiten natürlicher Personen und deren Recht auf Schutz ihrer Daten sind hier genau festgelegt. Das heißt, Unternehmen müssen Auskunft darüber erteilen, wo sie personenbezogene Daten gespeichert haben und sicherstellen, dass sie diese verantwortungsvoll verwalten, verarbeiten und sichern. Diese Personen haben außerdem das Recht auf Auskunft, welche Daten ein Unternehmen über sie gespeichert hat. Sie können auch eine Löschung dieser Daten verlangen.
Diese Vorgaben versetzen Verantwortliche in die Pflicht, alle Datenschutzmaßnahmen und Prozessabläufe genau zu dokumentieren, um die Compliance-Anforderungen und die zahlreichen Nachweis- und Rechenschaftspflichten zu erfüllen.
Der Blick auf alle kritischen Geschäfts- und Produktionsprozesse ist zwingend notwendig, schließlich sind sie die Basis für den weiteren Geschäftsbetrieb. Eine Firewall, ein Antivirenschutz und regelmäßige Windows-Updates sind Mindeststandard, aber nicht ausreichend. Wichtiger denn je wird nun ein risikoorientierter Ansatz, dem eine genaue Prozessanalyse vorausgeht und der eine Implementierung eines alle Unternehmensbereiche umfassenden Systems zum Ziel hat. Der Schutz personenbezogener Daten involviert gleichzeitig den Schutz der Unternehmensdaten. Das Argument, der wirtschaftliche Aufwand übersteige bei Weitem den Nutzen, zählt hier nicht.
Stichwort Kontrolle: Wer überwacht die Einhaltung datenschutzrechtlicher Vorgaben und wie sehen die Sanktionen bei Missachtung aus?
Dirk Brand: Den Datenschutzaufsichtsbehörden des jeweiligen Bundeslandes obliegt die Kontrolle.
Nicht zuletzt wegen der hohen Bußgelder wird die Einhaltung datenschutzrechtlicher Vorgaben künftig einen ganz anderen Stellenwert haben, als es heute der Fall ist. Damit wird der Datenschutz ein wichtiger Bestandteil des Risikomanagements in Unternehmen. Die Sanktionen können empfindlich hoch ausfallen. Der Bußgeldrahmen liegt bei zwei bis vier Prozent des erzielten Jahresumsatzes bzw. 20 Millionen Euro, je nachdem was höher ist. Das gilt auch bei unzureichender Umsetzung des Datenschutzes.
Wie müssen Unternehmen künftig reagieren, wenn Sie Opfer eines Cyberangriffs geworden sind?
Dirk Brand: Bei Datenschutzvorfällen ist eine Meldung an die Aufsichtsbehörde verpflichtend, wenn davon auszugehen ist, dass personenbezogene Daten verletzt wurden. Ein Beispiel: Der Virenbefall durch einen Trojaner, der nun fleißig Daten sammelt, stellt ein hohes Risiko dar. Die betroffenen Personen und die Aufsichtsbehörden müssen über den Vorfall informiert werden.
Unternehmen, die im Vorfeld präventiv gehandelt und eine Verschlüsselung der personenbezogenen Daten umgesetzt haben, sind von der Meldepflicht befreit.
Was müssen Unternehmen jetzt tun, um bis zum Stichtag die Vorgaben der neuen Verordnung umzusetzen und mit welchen Kosten ist zu rechnen?
Dirk Brand: Unternehmen sind gut beraten, ein Datenschutzmanagement-System zu implementieren, das einen risikoorientierten Ansatz verfolgt. Dazu gehört eine Datenschutz-Richtlinie, die im Unternehmen implementiert ist und regelmäßig überprüft bzw. zertifiziert wird. Die Beweislast liegt nun beim Unternehmen, vorher musste ein Betroffener die Verletzung des Datenschutzrechts durch das Unternehmen nachweisen.
Auch ist eine Datenschutzorganisation aufzubauen, die Verantwortlichkeiten klärt und Ressourcen bereitstellt. Die Einbindung des Datenschutzbeauftragten und die Kooperation mit den Aufsichtsbehörden sind ebenso zu gewährleisten wie die Implementierung von Prozessen zur Wahrung der Betroffenenrechte.
Unternehmen haben künftig die Pflicht zur Datenschutz-Folgeabschätzung, das heißt sie müssen die Eintrittswahrscheinlichkeit und Schadenshöhe für jedes Verfahren mit sensiblen personenbezogenen Daten dokumentieren und zudem die Vertraulichkeit, Verfügbarkeit und Integrität von Systemen sicherstellen. Ein Datensicherungs- und Notfallkonzept ist ebenso verpflichtend wie auch ein Verfahren zur Überprüfungen und Bewertung der technischen und organisatorischen Maßnahmen in Form von Audits. Da mit der EU-DSGVO auch ein Nachweis eben dieser Anforderungen und Vorgehensweisen gefordert ist, bietet sich eine Zertifizierung nach ISO 27001 an.
Wenn diese Maßnahmen fortlaufend dokumentiert werden, können nicht nur die Nachweis- und Rechenschaftspflichten gewahrt werden. Die Dokumentation ist auch ein Kontrollinstrument, das zeigt, wie effektiv das System arbeitet.
Ein Mittelständler mit 200 Mitarbeitern muss mit Gesamtkosten (externe und interne) zwischen 150.000 und 300.000 Euro rechnen – die Investitionen stehen jedoch in keinem Verhältnis zu den Bußgeldern.
Die Zeit bis Mai nächsten Jahres ist knapp: Wie kann ein Umsetzungsplan konkret aussehen?
Dirk Brand: Jedes Unternehmen sollte sich zunächst einen Überblick über die Ist-Situation verschaffen. Folgende Fragen stehen hierbei im Mittelpunkt: Welche personenbezogenen Daten werden verarbeitet? Gibt es eine Übermittlung von Daten an Dritte, welche sind das und wohin gelangen diese?
Die bestehenden Datenschutzvereinbarungen sind zu sichten und zu überarbeiten. Das gilt intern und auch extern, wie zum Beispiel für die Webseite.
Weitere Schritte sind die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten und die Erfassung aller Verarbeitungstätigkeiten.
Wichtig ist zudem die Dokumentation der Datenschutz-Folgeabschätzung.
Bestehende Verträge mit Mitarbeitern und Auftragsverarbeitern sind zu überarbeiten und gegebenenfalls anzupassen. Letztendlich gilt es, die Technik für vorhandene Software, bzw. bei der Anschaffung für vorhandene Software zu prüfen.
Kontext
Die SILA Consulting GmbH ist ein IT-Beratungshaus für Informations- und Datensicherheit. Als Schwesterunternehmen der NETGO Unternehmensgruppe werden die Spezialisten immer dort aktiv, wo technische Datenschutzmaßnahmen ihre Grenzen erreichen. SILA betrachtet sämtliche informationsverarbeitenden Stellen und Prozesse eines Unternehmens ganzheitlich auf Informationssicherheitsrelevante Schwachstellen, übernimmt die Schulung der Mitarbeiter und entwickelt ein Notfallmanagement-Konzept.
Das in Borken ansässige Unternehmen berät branchenunabhängig. Zu den Kunden zählen Kleinunternehmen, der Mittelstand sowie DAX-notierte Konzerne und Einrichtungen der öffentlichen Hand.
(Quelle: mit freundlicher Genehmigung von markt & wirtschaft westfalen, Autorin: Christiane Peters)