Von Klaus Spiessberger, Teamleiter Datenschutz bei der blu Systems GmbH
1. DSGVO: (politisches) Ziel erreicht?
Art. 1 DSGVO gibt Gegenstand und Ziele der DSGVO vor. Meines Erachtens hervorzuheben ist hier Art. 1 (2) DSGVO, in dem es heißt: „diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“
Ohne Zweifel hat die Thematik „Datenschutz“ im vergangenen Jahr eine deutlich höhere öffentliche Wahrnehmung erfahren. Die Bürger Europas, oder um es im Sprachgebrauch der DSGVO zu formulieren, die „betroffenen Personen“ sind höher sensibilisiert. Dies lässt sich aus der stark gestiegenen Anzahl an Anregungen, Beschwerden und gemeldeten tatsächlichen oder vermeintlichen Datenpannen folgern, die bei den Aufsichtsbehörden eingingen. Einige öffentlich diskutierte Kuriositäten, wie die Episode mit Klingelschildern, lassen gar auf eine Übersensibilisierung schließen. Aus der beruflichen Praxis eines externen DSB bzw. eines Datenschutz-Consultants heraus lässt sich aber festhalten, dass die in diesem Ausmaß nicht erwartete Flut an Beschwerden und ähnlichem von betroffenen Personen nicht nur die Aufsichtsbehörden teilweise überrascht hat, sondern auch viele Unternehmen vor das Problem gestellt hat, zeitliche und personelle Ressourcen diesem Umstand anpassen zu müssen. Die teilweise gängige Praxis, dass (im Prinzip durchaus wünschenswerte) Auskunftersuchen nach Art. 15 DSGVO als Mittel der Gängelung zu missbrauchen, kann hier exemplarisch genannt werden. Einige Unternehmensvertreter berichteten, dass identische (betroffene) Personen teilweise täglich mit (erneuten) Auskunftersuchen an das Unternehmen herangetreten waren. Diese Überreaktion dürfte aber im Laufe der nächsten Monate bzw. Jahre wieder auf ein „normales“ Maß abgeklungen sein.
Zu diskutieren ist aber meines Erachtens, ob ein anderes, eher sekundär impliziertes politisches Ziel der DSGVO erreicht wurde. In einem Interview mit Zeit Online, passenderweise am historisch bedeutsamen Datum 25. Mai 2018, äußerte Jan Philipp Albrecht, dessen Bedeutung für die DSGVO man in diesem Rahmen nicht mehr herausstellen muss, auf die Frage, ob viele Menschen, die scheinbar durch die DSGVO überfordert wären, sich nicht schon früher damit beschäftigen hätten müssen: „Da muss man differenzieren. Bei denjenigen, die aufgrund ihrer Relevanz und dem Umfang der Datenverarbeitung schon seit einiger Zeit wissen, dass dieses Gesetz in Kraft ist, darf man jetzt nicht nachgiebig sein. Gerade große Internetkonzerne sind nach dem 25. Mai zu kontrollieren.“
Unter diesem Gesichtspunkt lässt sich das letzte Jahr bestenfalls als „auf dem richtigen Weg“ umschreiben.
Die von der französischen Aufsichtsbehörde ausgesprochene Strafe von 50 Millionen Euro gegen Google mögen einen auf den ersten Blick aufhorchen lassen. Tatsächlich wäre ein solcher Betrag, sofern er, was bisher nicht passiert ist, als Strafe angenommen worden wäre, für das Unternehmen eher „Peanuts“. Eine unternehmerische Entscheidung für einen Konzern, der mit dem Geschäftsmodell von (eventuell illegal) gesammelten Daten Milliarden verdient und im Gegenzug im worst case 50 Millionen zahlen muss, wird vermutlich immer dahin tendieren, den business case weiter zu betreiben, als das Geschäftsmodell im Sinne der betroffenen Personen einzustellen. Die DSGVO liefert hier die Möglichkeit, deutlich „schärfere“ Maßnahmen zu ergreifen, die dann auch vielleicht einen Großkonzern abschrecken würden.
Sehr kontrovers diskutiert wurden in diesem Kontext zu recht auch die Verlautbarungen von Facebooks CEO Mark Zuckerberg. Man kann diese, wenn man gut gewillt ist, dahingehend auffassen, dass der Konzernlenker verstanden hätte, dass der Umgang mit personenbezogenen Daten nicht unbedingt den europäischen Anforderungen entspricht. Andere, zu denen ich mich selbst zähle, empfinden diese Form der „Public Affairs“ aber als das, was sie vermutlich darstellen: den Versuch, viel zu versprechen, ohne dem Handlungen folgen zu lassen. Facebook hätte die Möglichkeiten, die Anforderungen der DSGVO zu erfüllen, wenn dessen CEO dies als wünschenswert betrachten würde. Stattdessen „glänzt“ das Unternehmen fast wöchentlich mit einem neuen Datenskandal. Glaubwürdig erscheinen die Thesen Zuckerbergs deshalb bis dato nicht. Besonders rühmlich zeigt sich hier auch nicht der europäische Zusammenhalt, wenn man das eher zurückhaltende Agieren der irischen Aufsichtsbehörde bewerten möchte. Zumindest könnte man den Eindruck gewinnen, dass das Interesse, die europäische Konzernzentrale im Lande zu halten höher wiegt, als der Schutz personenbezogener Daten.
Das auch hierzulande der politische Wille fehlt, der Thematik Datenschutz die nötige Gewichtung einzuräumen, zeigt sich überdeutlich an der Ausstattung der Aufsichtsbehörden mit finanziellen und personellen Ressourcen. Nahezu alle Aufsichtsbehörden beklagen zu wenig Personal. Und zwar nicht nur für das vergangene Jahr, obwohl auch hier absehbar gewesen sein müsste, dass die DSGVO für erhöhte Nachfrage bei den Behörden sorgen wird, sondern auch für die nächsten Länderhaushalte. Dies führt uns zum nächsten Punkt.
2. Die DSGVO- ein Wettbewerbsnachteil?
Ich wurde an anderer Stelle vor dem 25. Mai letzten Jahres gefragt, ob ich der Meinung wäre, deutsche bzw. europäische Unternehmen hätten wegen der strengeren Datenschutzregeln einen Wettbewerbsnachteil gegenüber z.B. chinesischen oder US-amerikanischen Unternehmen.
Die Problematik, wie sich Europa auf politischer Ebene gegenüber den USA in Bezug auf den Umgang mit personenbezogenen Daten positioniert, muss gesondert an anderer Stelle thematisiert werden.
Mittlerweile, nach einem Jahr mit DSGVO, höre ich in der beruflichen Praxis gelegentlich in anderem Kontext etwas Unmut auf Unternehmensseite- nämlich bei den Unternehmen, die Datenschutz konsequent umsetzen und dafür teilweise erhebliche Ressourcen bereitstellen. Die Frage die hier zu Grunde liegt ist, wieso Unternehmen, die dies bis dato nicht getan haben, bisher (anscheinend) unbehelligt agieren konnten. Gelegentlich, dies wissen jene Berufsvertreter, die in der Datenschutzberatung tätig sind, tritt dann eine abwartende oder sogar ablehnende Haltung auf. Hintergrund ist die bisher zumindest in der öffentlichen Wahrnehmung fehlende Ahndung von Fehlverhalten durch die Aufsichtsbehörden. Diese resultiert einerseits aus der bereits angesprochenen personellen Überlastung, andererseits dem prinzipiell begrüßenswerten Ansatz der Aufsichtsbehörden, zunächst eher beraten- denn bestrafen zu wollen. Wenn man sich die veröffentlichten Tätigkeitsberichte der Landesaufsichtsbehörden vergegenwärtigt, ist davon auszugehen, dass diese Zurückhaltung, Ordnungsgelder auch im „spürbaren“ Ausmaß zu verhängen, zunehmend abgelegt werden wird. Dies ist wünschenswert, denn ohne den nötigen Druck, dass mangelnder Datenschutz auch konsequent geahndet wird, sind diejenigen Unternehmen zunächst benachteiligt, die sich an die Regeln halten.
3. Die DSGVO- ein Wettbewerbsvorteil
Eine Umsetzung der DSGVO stellt meines Erachtens aber mittelfristig einen echten Wettbewerbsvorteil dar. Zunächst natürlich durch die Enthaftung der Verantwortlichen Stelle und durch die Vermeidung von Bußgeldern, die an Intensität und Höhe über die nächsten Jahre kontinuierlich steigen werden.
Ebenso bedeutend ist aber, dass ein konformer und „fairer“ Umgang mit personenbezogenen Daten das Vertrauen der Konsumenten in das jeweilige Unternehmen nachhaltig erhöhen wird- dies auch explizit im Vergleich zu den „schwarzen Schafen“.
Die Bedeutung personenbezogener Daten, unter dem Kontext, diese im Marketing ziel-spezifisch einsetzen zu können, wird kontinuierlich wachsen. Und damit auch die Häufigkeit von Missbrauch. So wie ein funktionierendes Qualitäts- und/oder Compliancemanagement heute von Kunden und Geschäftspartnern fast automatisch vorausgesetzt wird, wird dies auch in der Entwicklung der nächsten Jahre im Bereich des Datenschutzes der Normalfall sein (müssen). Bewusstes Fehlverhalten oder ein Vernachlässigen eines angemessenen Datenschutzniveaus wird dabei auf Unternehmensseite zu erheblichen Reputationsverlusten führen- und dementsprechend zum Wettbewerbsvorteil für die Marktteilnehmer werden, die die Regularien umsetzen.
Auch auf internationaler Ebene ist mittelfristig- vielleicht mit Ausnahme Chinas, das in Bezug auf Datenschutz eher in eine zu Europa konträre Richtung einschlägt- davon auszugehen, dass sich der europäische Datenschutz zum State of the Art entwickeln wird. Zumindest dann, wenn dieser Weg von den politischen Entscheidern weiter gefördert wird. Die Verzögerung der E-Privacy-Verordnung, die einem mangelnden Konsens auf europäischer Ebene geschuldet ist, lässt leider aktuell zumindest daran zweifeln.
Ein wichtiger Schritt ist, dass bei der ebenfalls lange verschleppten Thematik der EU- DSGVO- Zertifizierung, wie sie in Art. 42 DSGVO vorgesehen ist, langsam Fahrt kommt. Noch bis Ende des letzten Jahres war über die offiziellen Kanäle, die Aufsichtsbehörden sowie die Deutsche Akkreditierungsstelle GmbH (DAkkS), die für die Akkreditierung monopolisiert sind, nur zu erfahren, dass ein mögliches Akkreditierungsverfahren in Planung ist. Auch hier verwundert etwas, wieso dafür fast ein Jahr benötigt wurde, war die Möglichkeit bzw. der in der DSGVO verankerte Wunsch nach einem europaweit anerkannten Zertifikat, das ein DSGVO-konformes Datenschutzniveau attestieren soll, doch lange bekannt. Nunmehr ist realistisch davon auszugehen, dass mittelfristig die ersten Zertifizierer akkrediert werden und damit die nachhaltig bedeutsame Idee einer DSGVO-Zertifizierung endlich belebt wird. Auch hier wird sich m.E. zeigen, dass Datenschutz „Made in EU“ sich für Unternehmen zum Wettbewerbsvorteil auch auf internationaler Bühne etablieren wird.
4. Ausblick
Zusammenfassend lässt sich festhalten, dass es von politischer Seite noch einiges an Durchsetzungskraft bedarf, um den Datenschutz jenseits von medialer Hysterie auch in der Breite zu verwirklichen. Dem Gefühl, „die Kleinen hängt man und die Großen lässt man laufen“, übertragen auf den Datenschutz: „die kleinen Vereine und Unternehmen werden mit Bürokratie gegängelt und die Internetgiganten müssen sich an keine Regeln halten“, muss entgegengearbeitet werden. Eine DSGVO-konforme Verarbeitung personenbezogener Daten muss Standard werden und eine Vernachlässigung oder Missachtung muss stärker geahndet werden: durch die Aufsichtsbehörden, durch die Öffentlichkeit, die Verbraucher und/oder die betroffenen Personen selbst. Mit dem richtigen Verständnis und einer möglichst konsequenten und kompletten Umsetzung des Datenschutzes, kann sich die DSGVO aber für Unternehmen zunehmend zum Wettbewerbsvorteil entwickeln.
Dazu kommentiert Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH
Die EU-DSGVO hat sich dieses Jahr zum ersten Mal gejährt. Die große Anzeigenwelle durch Verstöße gegen den Datenschutz ist ausgeblieben, stattdessen herrscht noch immer vielerorts Unverständnis darüber, welche technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ergriffen werden müssen. In diesem Beitrag soll es vor allem um technische Maßnahmen gehen, die Unternehmen umsetzen sollten, um die Anforderungen der DSGVO trotz der sich verändernden Cyberbedrohungslandschaft zu erfüllen.
Während 2016 und 2017 viele Unternehmen vor allem mit Ransomware wie WannaCry, Petya und NotPetya zu kämpfen hatten, waren es 2018 vor allem Kryptominer wie Emotet, Cryptoloot oder Coinhive. Nach den neuesten Erkenntnissen und bekanntgewordenen Sicherheitsvorfällen scheint die Bedrohung mit Ransomware in Form von LockerGoga in 2019 wieder zurück zu sein. Personenbezogenen Daten droht also auch in diesem Jahr die Verschlüsselung, die unerlaubte Anfertigung von Kopien und der Verkauf dieser Daten über Marktplätze im Darknet an den Meistbietenden.
Der Schutz von personenbezogenen Daten kann und muss durch technische Maßnahmen wie Threat Prevention, Threat Emulation und Threat Extraction durchgesetzt werden. Fremde und illegitime Zugriffe auf Daten lassen sich durch verschiedene technische Lösungen wie Firewalls, Application Control, URL-Filtering, Intrusion Prevention Systeme, Anti-Viren-, Anti-Bot- und Sandboxing-Technologien einschränken, wenn auch nicht gänzlich verhindern. Wenn die IT-Sicherheitssysteme darüber hinaus über eine zentrale Plattform miteinander kommunizieren und Daten austauschen, kann eine große Anzahl von Cyberattacken erkannt und abgewehrt werden.
Bedrohungen wie Ransomware und Co werden vor allem über Phishing-E-Mails und hier vor allem über E-Mail-Anhänge wie Office- oder Bild-Dateien verbreitet. Mit entsprechenden Schutzmaßnahmen wie der Überprüfung in einer virtuellen sicheren Umgebung und der Umwandlung in ein gereinigtes PDF lassen sich viele dieser Phishing-E-Mails bereits vor den E-Mail-Posteingängen herausfiltern und neutralisieren. Eine weitere flankierende Maßnahme besteht im Training der Mitarbeiter hinsichtlich Security Awareness, um diese vor gezielten Phishing-Attacken und Social Engineering zu schützen.
Was wird nun also das nächste Jahr bringen? Werden Unternehmen endlich ihre Hausaufgaben machen, werden wir mehr Klagen auch von Privatpersonen sehen? Werden noch mehr Sicherheitsvorfälle publik gemacht werden? Was kommt auf die Unternehmen zusätzlich zu, wenn auch noch e-Privacy auf europäischer Ebene kommt und in der Bundesrepublik in Kraft gesetzt wird?
All diese Fragen werden wir erst in einem Jahr bewerten können, doch fest steht aus unserer Sicht als Sicherheitshersteller schon dies: Gesetze und Anforderungskataloge sind eine gute Basis, aber Unternehmen und Organisationen sollte es nicht alleine darum gehen, Strafen zu verhindern, sondern ihre IT-Systeme und die von Ihnen verwalteten oder bearbeiteten personenbezogenen Daten vor dem Zugriff von Cyberkriminellen und anderen bösartigen Akteuren zu schützen. Vielleicht ist das eine der wichtigsten Erkenntnisse, das bei der Diskussion jedoch in Vergessenheit zu geraten droht.
