Abmahnwelle und Bußgelder in Millionenhöhe: So lauteten die Schlagzeilen vor einem Jahr zum Start der DSGVO. Weder das eine noch das andere ist allerdings in größerem Umfang in Deutschland eingetreten. Muss also eine negative Bilanz gezogen werden? Keineswegs, insgesamt überwiegen die positiven Aspekte, auch wenn vielfach noch Handlungsbedarf besteht – gerade hinsichtlich der Bereitstellung der erforderlichen Budgets für IT-Sicherheit.
Seit rund einem Jahr gilt das neue Datenschutzrecht, die Datenschutz-Grundverordnung (DSGVO), in sämtlichen EU-Mitgliedsstaaten. Die Meinungen zur DSGVO gehen nach wie vor weit auseinander: Sie reichen von Ernüchterung bis zu Begeisterung. Vielfach werden Erfolg oder Misserfolg der DSGVO jedoch auf das Verhängen von Bußgeldern reduziert. Das komplexe und umfangreiche Thema verdient aber eine weit differenziertere Betrachtung.
Ganz allgemein ist bezüglich DSGVO-Umsetzung eine positive Bilanz zu ziehen. Die vielfach skizzierten Horrorszenarien in den Medien mit Blick auf Reputationsschäden und hohe Bußgeldstrafen haben dazu geführt, dass auf Unternehmensseite ein großer Handlungsdruck entstanden ist und infolgedessen viele Cyber-Security-Programme aufgesetzt und gestartet wurden. Der Schutz persönlicher Daten ist ein Grundpfeiler der Digitalisierung, das ist mittlerweile jedem klar und auch die Unternehmen haben erkannt, dass Datenschutz „gesellschaftsfähig“ geworden und Datensicherheit ein „Bestseller“ ist. Die bisher reaktiv und operativ agierenden „Compliance Keeper“ werden zu „Business-Enablern“; ein Unternehmen muss alles tun, Kundendaten gewissenhaft zu schützen und so das Vertrauen der Kunden nicht zu enttäuschen, anderenfalls drohen große Image- und finanzielle Schäden. Viele neue Sicherheitsprojekte machen dieses Umdenken deutlich. Bisherige Projektschwerpunkte sind nach unserer Erfahrung die Ermittlung der schützenswerten Daten, die Datenklassifikation und vor allem die Analyse von Datenflüssen, um Transparenz zu schaffen. Das Problem bei vielen dieser Projekte – selbst in großen Unternehmen – ist aber, dass die Umsetzung von Maßnahmen im DSGVO-Umfeld in der Regel mit einem sehr hohen Aufwand verbunden ist – etwa hinsichtlich der Etablierung neuer Verfahren – und Unternehmen einfach die dafür erforderlichen Ressourcen fehlen, sowohl hinsichtlich Manpower als auch in Bezug auf Fachwissen, Expertise und Erfahrung. Als Entschuldigung dürfen diese Gründe aber nicht dienen. Viele Unternehmen müssen nach wie vor deutlich mehr tun, und sie dürfen keineswegs auf halbem Wege stehen bleiben. Aufgesetzte Programme und gestartete Projekte müssen konsequent fortgesetzt werden und etwaigen Hindernissen wie fehlenden Ressourcen ist mit der Bereitstellung der erforderlichen Budgets für den Aufbau von eigenem Know-how oder der Zusammenarbeit mit einem externen Security- und GRC-Spezialisten zu begegnen. Fehlende Budgets sind nach wie vor oft ein Hauptgrund für eine unzureichende DSGVO-Abdeckung.
Hinsichtlich des DSGVO-Umsetzungsgrades gibt es zwischen verschiedenen Unternehmen natürlich noch Unterschiede. Generell ist zu beobachten, dass in Bezug auf DSGVO-Konformität oft noch Schulungsbedarf bei den Mitarbeitern herrscht. Auch besteht bei der Implementierung durchgängiger Prozesse über mehrere Fachbereiche hinweg häufig noch Optimierungsbedarf. Das größte Manko aber besteht bei den meisten Unternehmen prozessual betrachtet beim Incident Response. Vielfach ist noch kein Incident-Response-Verfahren etabliert, das bei einem erfolgreichen Cyberangriff abgerufen werden kann, um die Schäden – inklusive eines Reputationsverlusts – zu minimieren.
Auch wenn viele Unternehmen inzwischen einen soliden DSGVO-konformen Stand erreicht haben, gilt zu beachten, dass die DSGVO-Einhaltung ein permanenter Prozess ist, alle Verfahren und die Effizienz der Maßnahmen müssen regelmäßig überprüft werden. Das heißt, Unternehmen sollten immer wieder Readiness-Checks und Gap-Analysen durchführen und kontinuierlich überwachen, ob ein risikoorientiertes Vorgehen durchgängig und flächendeckend eingehalten wird. Die DSGVO darf dabei nicht nur unter organisatorischen und Compliance-Gesichtspunkten betrachtet werden, auch technologische Aspekte sind zu berücksichtigen. Schließlich fordert die DSGVO Sicherheitsmaßnahmen, die dem Stand der Technik entsprechen. Das heißt, technische Weiterentwicklungen oder neue Standards müssen Berücksichtigung finden. Auch hierfür müssen die notwendigen Budgets bereitgestellt werden.
Vielfach wird im Zusammenhang mit der DSGVO bemängelt, dass die Überwachung der Anwendung dieser Verordnung unzureichend ist und auch kaum eine Verhängung von Geldbußen stattfindet. Dazu ist zunächst zu sagen, dass zwar eine externe Meldepflicht besteht, aber bei Weitem nicht alle Datenschutzvorfälle auch öffentlich werden. Der Europäische Datenschutzausschuss (EDSA) hat zuletzt berichtet, dass bisher fast 56 Millionen Euro an Bußgeldern verhängt wurden, davon entfallen allerdings allein 50 Millionen Euro auf den Internetkonzern Google. Gegen diese Entscheidung der französischen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat Google nach eigenen Angaben inzwischen Berufung eingelegt. Detaillierte Zahlen für Deutschland liegen nicht vor. In 14 von 16 Bundesländern sollen nach Aussagen der jeweiligen Datenschutzbeauftragten aber rund 75 Bußgelder in einer Gesamthöhe von etwa 450.000 Euro verhängt worden sein.
Es gibt mehrere Gründe, dass weder eine Abmahnwelle noch eine Verhängung von Strafen eintrat, die über Einzelfälle hinausging. Zum einen waren die Unternehmen besser vorbereitet, als die allgemeine Einschätzung widerspiegelte, und zum anderen sind die zuständigen Aufsichtsbehörden nach wie vor unterbesetzt, sodass vielfach keine Nachverfolgung von Datenschutzvorfällen stattfinden konnte.
Auch wenn die DSGVO keine Serie von Bußgeldverfahren nach sich gezogen hat, ist sie kein zahnloser Tiger. Sie ist maßgeblich dafür verantwortlich, dass Datensicherheit und -schutz in den meisten Unternehmen inzwischen eine deutlich gewichtigere Rolle spielen als in der Vergangenheit. Und der Weg hin zu mehr Cyber-Security ist noch lange nicht zu Ende. Vor der Tür steht mit der ePrivacy-Verordnung der EU bereits die nächste Ergänzung der DSGVO, die umfassende Regelungen zum Datenschutz in der Privatsphäre und der elektronischen Kommunikation enthalten wird.
* Kai Grunwitz ist Senior Vice President EMEA bei NTT Security