Fast ein Jahr ist es her, dass am 25. Mai 2018 die europäische Datenschutzgrundverordnung (DSGVO) in Kraft trat. Mit ihr wurde ein gemeinsamer Rahmen für Datenschutzrechte in Europa geschaffen und Orientierung in Zeiten der Digitalisierung für alle Unternehmen geboten, die mit der Verarbeitung personenbezogener Daten befasst sind. Hat die DSGVO tatsächlich mehr Transparenz geschaffen? Was hat sich verändert? Jörg von der Heydt, Channel Director DACH bei Skybox Security, gibt einen Rückblick auf ein Jahr DSGVO, ihre Umsetzung in Unternehmen und die Auswirkungen auf die IT-Sicherheit.
Wenige Neuregelungen, verschärfte Sanktionen
Die 2018 eingeführte DSGVO löste die „Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ von 1995 ab, die zuvor auf europäischer Ebene als Grundlage für die Verarbeitung personenbezogener Daten diente. Ein Großteil der Begrifflichkeiten und Regelungen blieb jedoch erhalten.
Gänzlich neu sind einige Änderungen und Präzisierungen, wie beispielsweise die Zweckbindung der Daten – so dürfen Informationen nur für festgelegte, eindeutige und legitime Zwecke gesammelt und weitergegeben werden. Zudem gilt mit der neuen DSGVO der Grundsatz der Datenminimierung.
Darüber hinaus brachte die neue Datenschutzgrundverordnung härtere Sanktionen mit sich. Auch Behörden können nun seit letztem Jahr bei Verstößen gegen die DSGVO abgestraft werden – zuvor betraf dies nur Unternehmen. Außerdem ist nun die Verhängung weitaus höherer Bußgelder möglich, nämlich bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes.
So wurde beispielsweise die Datenkrake Google zu Anfang des Jahres wegen mehrerer DSGVO-Verstöße mit einer Zahlung von 50 Millionen Euro sanktioniert. Bei gravierender Zuwiderhandlung können im europäischen Markt im Extremfall sogar die gesamten Gewinne eines Unternehmens eingezogen werden. In Deutschland beträgt die durchschnittliche Höhe der Strafzahlungen bisher aber nur rund 6.000 Euro.
Auswirkungen auf Unternehmen
Mit Einführung der DSGVO haben personenbezogene Daten und ihr Schutz an Wert gewonnen – das spiegelt sich in vielen Unternehmen an neu definierten internen Verantwortlichkeiten und verstärkten Sicherheitsmaßnahmen sowie -kontrollen wider.
Dennoch setzt ein Großteil der deutschen Unternehmen die Datenschutzgrundverordnung nach eigener Einschätzung nicht vollständig oder ausreichend gründlich um. Eine positive Veränderung wird kaum wahrgenommen, im Gegenteil – mehr als die Hälfte der befragten Unternehmen verspürt Rechtsunsicherheit.
Im Bundesdatenschutzgesetz (BDSG), das die europäische DSGVO auf nationaler Ebene umsetzt, ist genau definiert, wann ein Unternehmen einen Datenschutzbeauftragten benötigt. Für kleine und mittelständische Firmen ist hier oft aus Kostengründen ein Outsourcing der Verantwortung an einen externen Dienstleister sinnvoll. Der Datenschutzbeauftragte wird, von Mitarbeiterschulungen bis hin zur Erstellung von Analysen, mit einer Vielzahl von Aufgaben betraut. Oftmals wird diese Rolle jedoch in größeren Unternehmen CISOs zusätzlich zu ihrer eigentlichen Tätigkeit übertragen, was ein Grund für die mangelhafte Umsetzung der Datenschutzrichtlinien sein kann.
Höhere Ausgaben für Cybersecurity seit Inkrafttreten der DSGVO
Deutlich größere Bedeutung dagegen kommt dem Schutz der Unternehmen vor Hackerangriffen zu – seit Verabschiedung der DSGVO ist ein Anstieg der Investitionen in Cybersicherheits-Lösungen zu verzeichnen.
Das ist nicht verwunderlich, denn die DSGVO zwingt Unternehmen zur Proaktivität: Um eine zuverlässige Datensicherheit zu gewährleisten, müssen mögliche Angriffe bereits im Vorfeld antizipiert und durch Gegenmaßnahmen minimiert werden. Den Angreifern immer einen Schritt voraus zu sein, sollte das Bestreben jeder IT-Führungskraft sein – und gelingt, indem Schwachstellen aufgespürt sowie sichtbar gemacht werden, Angriffe simuliert und mit geeigneten Maßnahmen abgewehrt werden.
Somit wurde mit der DSGVO lediglich verschriftlicht, was Unternehmen mit ernsthaften Datenschutzabsichten bereits vor dem Inkrafttreten der Verordnung umgesetzt hatten. Es liegt im Interesse eines jeden Unternehmens sowie seiner Kunden, sicherzustellen, dass alle Bereiche seiner IT-Infrastruktur geschützt sind und für sensible Bereiche sinnvolle Zugriffsrechte etabliert sind. Auf lange Sicht vermeidet eine gesunde Cyber-Hygiene so sowohl die Verhängung von Sanktionen aufgrund von Datenschutzverstößen als auch Sicherheitskrisen.