DSGVO: Datenschutz der fünften Generation

gen-v-logo-458×431-1

Ein Beitrag von Noa Katz, Product Marketing bei Check Point

Mit dem Übergang zum „Datenschutz der fünften Generation” steigen auch die Erwartungen an den Datenschutz. Gleichzeitig entwickeln sich großangelegte Multivektor-Cyberbedrohungen schneller denn je. Mit der Einführung der DSGVO haben wir beim Datenschutz einen perfekten Sturm erreicht.

 

Standardmäßig wird die DSGVO als „ein Umbruch für Datenschutz und Datensicherheit” beschrieben. Doch verankert in der Gesetzgebung aus dem 19. Jahrhundert sowie in Richtlinien der jüngeren Vergangenheit, sollte diese Art Verordnung nur noch für wenige eine Überraschung sein.

Die DSGVO könnte, und wird sich wohl auch, als Durchbruch erweisen. Mit ihrem hochgesteckten Ziel, einen kulturellen Umbruch einzuleiten und den Bürgern die Kontrolle über ihre personenbezogenen Daten zurückzugeben, strebt die DSGVO die Herbeiführung einer großen und zweifellos positiven Veränderung an.

Allerdings sollte man die DSGVO nicht als Blitz aus heiterem Himmel betrachten. Die Forderungen nach besserem individuellem Datenschutz und klarerer Verantwortlichkeit sind in den letzten zwei Jahrzehnten lauter geworden. Tatsächlich kann die Zeitachse der Entwicklung hin zur DSGVO und den sogenannten „Datenschutz der fünften Generation” noch viel weiter zurückverfolgt werden.

Datenschutz der ersten Generation

Die DSGVO ist (in vielerlei Hinsicht) die unausweichliche Konsequenz einer Bewegung, die in das Jahr 1890 zurückführt. In jenem Jahr veröffentlichten Samuel Warren und Louis Brandeis im Harvard Law Review, was als der erste Artikel zur Geltendmachung des Rechts auf Privatsphäre erachtet wird. Und seither gilt diese bahnbrechende Abhandlung als die einflussreichste in der amerikanischen (und später in der internationalen) Gesetzgebung.

Privatsphäre ist ein Menschenrecht

Der Datenschutz der ersten Generation trat eine Kette von Ereignissen los, die dazu führte, dass Privatsphäre sich zu einem Grundrecht entwickelt hat. Am 10. Dezember 1948 wurde das Recht auf Privatsphäre in Artikel 12 der Allgemeinen Erklärung der Menschenrechte der Vereinten Nationen ausdrücklich gefordert:

„Niemand soll willkürlichen Eingriffen in seine Privatsphäre, sein Familienleben, sein Heim oder seine Korrespondenz oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden. Jeder hat das Recht auf gesetzlichen Schutz vor solchen Ein- oder Angriffen.“

Die Datenschutzdebatte

Von 1980 an verlagerte sich der Fokus rund um die Privatsphäre auf die Frage, wie Daten verarbeitet und übertragen werden. Datenschutz der dritten Generation kam in Form der OECD-Richtlinien, die im September 1980 verabschiedet wurden und die Grundprinzipien festlegten, die den Umgang mit personenbezogenen Daten regeln sollten.

Diese enthielten die Beschränkungen zu den Fragen, wie Daten erfasst würden, wofür sie verwendet würden, welche Sicherheitsmaßnahmen zu ihrem Schutz vorhanden sein sollten sowie die Rechte, die eine Privatperson hat, um feststellen zu können, welche Informationen über sie gespeichert wurden. Die OECD-Richtlinien waren jedoch nicht verbindlich, was zu einer Ungleichheit in ganz Europa (und erst recht weltweit) führte und letztlich in vielen Regionen den freien Datenfluss behinderte.

Im Jahr 1995 trat dann die Datenschutzrichtlinie der EU in Kraft. Sie stellte den Anfang der vierten Datenschutzgeneration dar und versuchte, die Herausforderungen des Datenflusses anzugehen, indem sie eine gemeinsame Basis für ganz Europa schuf (und durch Erweiterungen auch größere Übereinstimmung weltweit). Mit den zentralen Grundsätzen von Transparenz, legitimem Zweck und Verhältnismäßigkeit sehen wir hier die gleichen Kernelemente, die sich in der DSGVO abzeichnen.

Die Ära der DSGVO

Die DSGVO stellt die fünfte Etappe einer Reise dar, die vor über 100 Jahren an der Universität von Harvard begann. Ab dem 25. Mai 2018 muss jede Organisation, die personenbezogene Daten von EU-Bürgern bearbeitet, sehr spezifische (und erstmals gesetzlich verbindliche) Pflichten erfüllen. Und das ganz gleich, ob sie in der EU tätig ist oder nicht. Die DSGVO wird daher eine durchschlagende Wirkung haben, und zwar weltweit, nicht nur in Europa.

Der zentrale Grundsatz der DSGVO ist der Schutz der Privatsphäre des Einzelnen. Artikel 5 der Verordnung legt dies einfach und prägnant dar:

„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, … einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust.“

Eine positive Kraft für Bürger und Unternehmen

Neben dem Schutz der Privatsphäre von Personen soll die DSGVO durch die Festlegung gemeinsamer Grundsätze zur Regelung und Förderung des sicheren freien Datenflusses

auch Unternehmen helfen. Diese unausgereiften Initiativen, mit deren Hilfe Daten sicher zwischen den in „Generation drei und vier“ festgelegten Grenzen fließen können, wurden dank der durch die DSGVO gewährleisteten Einheitlichkeit vollständig umgesetzt.

Unter den vielen stärkenden Aspekten für Einzelpersonen wie für Unternehmen gibt es aber auch eine ernüchternde Verantwortung, die denjenigen auferlegt wird, die Daten nach dem 25. Mai verarbeiten. Eine der primären Anforderungen der DSGVO an Organisationen ist die Einführung angemessener Sicherheitsprotokolle oder „Security by Design and by Default“, wie sie auch genannt werden. Eine wesentliche Forderung ist hier die Integration von Sicherheitsmaßnahmen in IT-Systeme zum Zeitpunkt ihrer Entwicklung, anstelle einer Nachrüstung.

Datenschutz der Gen V trifft auf Cyberbedrohungen der Gen V

Angesichts schlagzeilenträchtiger potentieller Strafen, wie Zahlungen von bis zu 4 % des weltweiten Umsatzes, gehen Unternehmen verständlicherweise vorsichtig vor, was im Zeitalter von Cyberbedrohungen der fünften Generation (Gen V) besonders kritisch ist.

Die komplexe Art dieser Bedrohungen bedeutet, dass Organisationen jetzt angesichts großangelegter Multivektor-Angriffe versuchen müssen, den steigenden Datenschutzerwartungen gerecht zu werden. Diese fortschrittlichen Cyberbedrohungen der Gen V gehen von mehreren Plattformen aus, bewegen sich sehr schnell voran und infizieren innerhalb von Stunden eine Vielzahl von Unternehmen in aller Welt.

Natürlich gibt es Gegenmaßnahmen. Cyberbedrohungen der Gen V begegnet man am besten mit architekturbasierten Cybersicherheitsmaßnahmen, die Bedrohungsinformationen teilen und Angriffe konstant und in Echtzeit über Netzwerke, Clouds und Mobilgeräte hinweg verhindern.

Unsere Studie  zeigte jedoch auf beunruhigende Weise, dass lediglich 3 % der Organisationen solche Sicherheitspraktiken eingeführt haben. Im Rahmen eines Gen-V-Sicherheitskonzepts müssen Unternehmen auch weitergreifende organisatorische Veränderungen vornehmen und vollständig umsetzen, um sicherzustellen, dass sie den gesetzlichen Bestimmungen gerecht werden (und dies auch so bleibt). Das kann zwar ein weitreichender Prozess sein, der viele Faktoren beinhaltet, doch gibt es auch einige kritische Schritte, die zu berücksichtigen sind: Personalausstattung, Datenauditing und -klassifizierung, Risikoanalyse, Protokollierung und grundsätzliche Kontrollen.

Eine schwierige Zeit für Datenschutz

Kurzum, es gab noch nie eine schwierigere Zeit für Privatsphäre und Datenschutz. Organisationen in aller Welt stehen vor der Aufgabe, auf die ausufernden Datenschutzerwartungen der Bürger (und der Gesetzgebung) zu reagieren, während gleichzeitig neue, hochentwickelte Bedrohungen aufkommen. Deshalb ist es wichtiger denn je, mithilfe einer universellen, aber umfassenden Plattform dafür zu sorgen, dass die Dinge einfach und sicher bleiben.