DSGVO: Die Stunde Null – was jetzt?
Nach Jahren der Arbeit an einem Gesetzesentwurf und weiteren 24 Monate seit ihrer offiziellen Ratifizierung ist die EU-Datenschutz-Grundverordnung (DSGVO) nun in vollem Umfang in Kraft getreten. Im Mittelpunkt der dazugehörigen Diskussion steht jetzt weniger das Bewusstsein der Unternehmen um ihre Anforderungen sondern ihre Durchsetzung durch die Behörden.
Auch wenn das Gesetz in der derzeitigen Form fest steht, existieren noch einige Unklarheiten: Wie rasch werden die Behörden die vorgesehenen Strafen verhängen? Welche Technologien und IT-Sicherheitsmaßnahmen werden dem „Stand der Technik“ gemäß gesetzeskonform sein? Wird die Verordnung Innovationen begünstigen oder hemmen?
Fakt ist, die Verordnung lässt Unternehmen keine Wahl: Wenn auch nur einer ihrer Kunden EU-Bürger ist, müssen sie sich an die Vorgaben halten. Welche Ereignisse im Zusammenhang mit der DSGVO können wir also für die nahe Zukunft erwarten?
Keine hohen Strafen – zumindest noch nicht
Die DSGVO verleiht Behörden die Befugnis, Unternehmen im Falle der Nichteinhaltung mit bis zu vier Prozent ihres globalen Gesamtumsatzes, oder mindestens 20 Millionen Euro, je nachdem was höher ist, zu bestrafen. Doch im Gegensatz zu vielen öffentlichkeitswirksamen Schlagzeilen und angstgetriebenen Werbekampagnen ist es unwahrscheinlich, dass Behörden diese Befugnis von Beginn an nutzen werden.
Tatsächlich sagte das britische ‚Information Commissioner’s Office‘ in einem öffentlichen Statement: „Die Vorstellung, dass wir frühzeitig ein Exempel an Unternehmen wegen geringer Verstöße statuieren grenzt an Panikmache, genauso wie die Vorstellung dass Höchststrafen die Norm werden. Wir bevorzugen das Zuckerbrot gegenüber der Peitsche.“
Für Deutschland erwarten wir eine ähnliche Handhabe. Nichtsdestotrotz sind die Strafen alles andere als symbolisch. Die Toleranz der Behörden gegenüber Verstößen wird im Laufe der Zeit sicherlich geringer werden und dadurch werden die Chancen für große Strafzahlungsforderungen steigen. Die 20-Millionen-Euro-Frage ist, wann dieser Fall eintreten wird. Wir gehen davon aus, dass die ersten richtigen Bußen Unternehmen treffen werden, die mit Daten fahrlässig umgehen und sich nicht ausreichend gegen den Zugriff durch Cyberkriminelle schützen.
Erpressung im Zusammenhang mit der DSGVO
Cyberkriminelle erweisen sich immer wieder als findig. Wie wir besonders am starken Anstieg von Ransomware beobachten konnten, werden Erpressungsversuche immer beliebter, wobei Opfer bisher oft gezwungen werden ein Lösegeld zu bezahlen, um den angedrohten Datenverlust abzuwenden. Es ist durchaus plausibel, dass Kriminelle ein Unternehmen angreifen, dort Kundendaten abgreifen oder Malware platzieren, mit dem Ziel Geld von dem Unternehmen zunächst für ihr Stillschweigen zu erpressen.
Es ist zwar immer noch unklar, welche Strafen die Behörden für einzelne Angriffe verhängen werden. Dennoch könnten Hacker mögliche Strafen durch die DSGVO in Aussicht stellen, die durch ihren Angriff entstehen, um dann eine niedrigere Summe von den Unternehmen für die Vertuschung zu fordern. Die Frage ist, wie viele CEOs zahlen würden, um den Vorfall zu verschweigen.
Datenschutzvorfälle im Zusammenhang mit Lieferketten
Die DSGVO macht einen schrittweisen Wandel im Umgang mit den Dienstleistungen Dritter, wie Zulieferern und Partnern, erforderlich. Tatsächlich sind Datenverarbeiter wie Cloud Service Provider unter der DSGVO gleichermaßen haftbar für Verstöße wie diejenigen, die über die Daten verfügen. Die Lieferketten moderner Unternehmen sind oft komplexe und interdependente Netzwerke die schwer abzubilden und zu sichern sind.
Dadurch ist ein großer Vorfall im Zusammenhang mit Lieferketten sehr wahrscheinlich – womöglich mit Zulieferern aus Drittländern außerhalb der EU, in denen regionale Datenschutzgesetze weniger strikt sind. Unternehmen sollten daher sicherstellen, dass Subunternehmer, Zulieferer und Datenverarbeiter dieselben Vorgaben, Prozeduren und Sicherheitskontrollen befolgen, um die DSGVO einzuhalten.
Nur die halbe Wahrheit sagen
Trotz oder gerade wegen drohender Strafen, Rufschäden und Betriebsausfällen mögen manche Unternehmen versucht sein, schwerwiegende Verstöße gegen die Verordnung unter Verschluss zu halten. Offensichtlich wäre das Vertuschen der Wahrheit eine folgenschwere Fehlkalkulation, die unter Garantie gravierende Konsequenzen nach sich ziehen wird. Ein zentraler Punkt der DSGVO ist die Forderung nach Offenheit, Transparenz und Verantwortung seitens der Unternehmen. Die Verheimlichung von unsachgemäßem Umgang mit Kundendaten bedeutet die bewusste Missachtung dieser Prinzipien.
Gleichzeitig kann es immer sein, dass Unternehmen Datenverluste nicht melden, weil ihnen darüber einfach keine Informationen vorliegen. Vor dem Hintergrund der 72-stündigen DSGVO-Meldefrist sind stetiges Netzwerk-Monitoring, fortschrittliche Breach Detection und Reaktionspläne für den Ernstfall von großer Wichtigkeit.
Der Meldepflicht nicht oder nur teilweise nachzukommen ist eine ernsthafte Verletzung des Gesetzes. Die Behörden sollten daher baldmöglichst klarstellen, was genau einen Vorfall ausmacht und Unternehmen sollten Handlungsempfehlungen dazu suchen.
Eine Orientierungsphase
DSGVO-Konformität ist keine einmalige Angelegenheit. Im Gegenteil handelt es sich dabei um einen kontinuierlichen Prozess der ständig evaluiert und weiterentwickelt werden muss. Das sind insofern gute Neuigkeiten für Unternehmen, da es wahrscheinlich in einer Schonfrist resultieren wird, während derer Behörden und Unternehmen sich mit dem neuen Gesetz vertraut machen.
Um langfristig erfolgreich zu sein, müssen Vorstände die Verordnung als Geschäft betrachten und weniger als Sicherheitsrisiko. Eine Strategie muss formuliert werden, die Stakeholder aus dem gesamten Unternehmen beinhaltet – inklusive IT, Rechtsabteilung, Compliance und den Dateninhabern selbst. Die DSGVO wird uns erhalten bleiben. Deshalb müssen Unternehmen auf den Zug aufspringen, den Wandel mit offenen Armen begrüßen und lernen, welche neuen Möglichkeiten die neue Verordnung für Innovation, Wachstum und Wettbewerbsfähigkeit bietet.
Unser Autor
Richard Werner, Business Consultant bei Trend Micro
Weiterführende Informationen über das Unternehmen:
Aufmacherbild / Quelle / Lizenz
Pixabay / CC0 Creative Commons