DSGVO: Warum es jetzt an der Zeit ist, Ihre gesammelten Technologien zu bewerten

DSGVO: Warum es jetzt an der Zeit ist, Ihre gesammelten Technologien zu bewerten

Die Frist bis zum Inkrafttreten der DSGVO ist nicht mehr lang, ein Großteil der Unternehmen ist jedoch noch nicht gut vorbereitet und müssen etwas tun, wenn sie dem Vorwurf mangelnder Compliance und kostspieligen Bußgeldern entgehen möchten.

Die DSGVO trete am 25. Mai 2018 endgültig in Kraft, ein Großteil der Unternehmen sei jedoch nicht gut vorbereitet und müsse etwas tun, wenn sie dem Vorwurf mangelnder Compliance und kostspieligen Bußgeldern entgehen möchten, erörtert der Experte für Unternehmenstechnologien und globale Pre-Sales-Verantwortliche bei Micro Focus Sudeep Venkatesh.

Ihm zufolge verarbeite die Mehrheit der globalen Unternehmen, mit denen er jede Woche zusammenarbeite, große Mengen personenbezogener Daten, darunter Finanzdienstleister, Einzelhandelsunternehmen, Telekommunikationsanbieter und Organisationen im Gesundheitswesen.

Im Hinblick darauf, wie gut die Chief Information Security Officer (CISOs) der Unternehmen auf die DSGVO vorbereitet sind, gruppiert Venkatesh die Unternehmen in drei Kategorien. In der ersten wird die Überzahl der globalen Organisationen zusammengefasst.

„Die erste Gruppe hat die DSGVO auf dem Schirm und unter Umständen auch schon eine Abteilung für Datenschutz eingerichtet oder einen Datenschutzbeauftragten eingestellt. Sie prüfen ggf. ihre rechtlichen Anforderungen oder haben bereits auch schon ein Grundbudget für diese Aufgabe bereitgestellt.“ In dieser Kategorie finden sich etwa 90 % der globalen Unternehmen wieder, und, so sagt er, „sie sind noch dabei, aus der Sache schlau zu werden“.

In der zweiten Kategorie fasst er die Unternehmen, etwa 5 % der Organisationen, zusammen, die noch wesentlich weiter zurückliegen. Venkatesh zufolge seien diese Unternehmen dabei, zu bewerten, über welche Technologien sie verfügen und welche sie benötigen, damit sie die Vorschriften der DSGVO erfüllen könnten. Einige der größeren Organisationen verfügen bereits über einen festen Datenschutzbeauftragten oder auch mehrere und befinden sich in einer aktiven Bewertung der für sie geltenden Rechtsvorschriften.

Die dritte Kategorie umfasst Organisationen, die angeben, plattformübergreifend alle entsprechenden Bestimmungen der DSGVO zu erfüllen. In dieser Kategorie findet sich jedoch nur ein sehr geringer Prozentsatz der Organisationen wieder.

„Unter dem Strich hängen die meisten Unternehmen hinterher, insbesondere wenn es darum geht, die Technologielösungen zu ermitteln, die sie benötigen. Die Etablierung von Richtlinien und die Beschäftigung von Rechtsanwälten bringen sie nur so weit“, sagt Venkatesh.

Er fügt weiter hinzu, dass in den meisten Organisationen zwar unter den CISOs und den Teams für IT-Sicherheit ein gewisses Bewusstsein im Hinblick darauf herrsche, dass die Einhaltung der demnächst gültigen Regelungen erforderlich sei, aber bisher keine Bestandsaufnahme dahingehend erfolgt sei, welche DSGVO-Anforderungen konkret für sie Gültigkeit haben werden.

Hohe Bußgelder stehen im Raum

Ein Grund, der viele Unternehmen dazu bewegen wird, sich in Richtung DSGVO-Compliance zu orientieren, sind die Bußgelder für mangelnde Compliance: Die Bußgelder können bis zu EUR 20 Mio. oder 4 % des globalen Jahresumsatzes einer Unternehmensgruppe betragen, je nachdem, welche Summe die höhere ist.

Venkatesh sagt, dass Micro Focus davon ausgehe, dass die Aufsichtsbehörden der Wirtschaft tatsächlich Bußgelder verhängen werden und nicht einfach nur damit drohen. „Wir sind auf jeden Fall der Meinung, dass die Aufsichtsbehörden die neuen Regelungen schon von Anfang an erzwingen werden, und die Aufsichtsbehörden mit Sitz im Vereinigten Königreich haben bereits verlauten lassen, dass sie keinen Rückstand zulassen werden, was die Einhaltung der DSGVO betreffe.“

Er fügt weiter hinzu, dass der monetäre Aspekt nur eine der negativen Konsequenzen einer Nichteinhaltung der Vorschriften sei: Die möglichen negativen Schlagzeilen und die Rufschädigung für ein Unternehmen hätten die gleichen Auswirkungen, ob sie die Folge eines Datenschutzverstoßes oder anderer Verstöße gegen die DSGVO sind oder aber eben das Ergebnis eines Bußgelds für einen solchen Verstoß.

„Wir stellen immer häufiger fest, dass sich die DSGVO aufgrund dessen, dass ihr Inkrafttreten immer näher rückt, stärker im Bewusstsein der Verbraucher etabliert. Und daher ist Compliance ein Pluspunkt für die Marke eines Unternehmens, etwas, das sie ihren Kunden verkaufen können“, sagt Venkatesh.

Er merkt an, dass sich die Bürger derzeit noch nicht über die Änderungen beim Thema Datenschutz bewusst seien und was das für die Übertragung von Daten, die Datenlöschung und das „Recht auf Vergessenwerden“ bedeute. Er hat jedoch Verständnis dafür, dass die Aufsichtsbehörden damit beginnen werden, die Bürger über die Massenmedien über die DSGVO und die Datenschutzrechte von Konsumenten in der EU zu informieren. „Ich glaube, wir alle müssen einen besseren Job machen, wenn es darum geht, die Menschen über ihre Rechte zu informieren.“

Die richtige Technologie

Venkatesh zufolge liegt der Schlüssel zum Erfolg, was die Vorbereitung auf den neuen Datenschutz betrifft, darin, die richtige Technologie zu implementieren.

„Unternehmen benötigen Technologien, um viele der Anforderungen der DSGVO umsetzen zu können, wie beispielsweise Datenverschlüsselung, Datenspeicherung, Klassifizierungsmanagement und Archivierung. Bis dato waren die Unternehmen aber noch nachlässig, wenn es um die Wahl und Bereitstellung solcher Technologien ging.“

Venkatesh fügt hinzu: „Wir haben Technologien für Verschlüsselung und Pseudonymisierung nun schon seit zehn Jahren im Angebot. Einer unserer großen Kunden aus der Telekommunikationsbranche nutzt beispielsweise unsere Verschlüsselungstechnologie für 550 seiner Anwendungen. Und auch acht von zehn Anbietern in der Zahlungsabwicklung nutzen die Verschlüsselungstechnologie von Micro Focus, um die Daten in ihren zahlreichen Systemen erfolgreich zu verschlüsseln.“

Ein Ansatz von Micro Focus besteht darin, Kunden davon zu unterrichten, dass Verschlüsselung nicht immer das Gleiche ist. Verschlüsselungstechnologien, die beispielsweise auf der Netzwerkebene für den Versand von Daten ansetzen, bieten unter Umständen nur Schutz gegen Personen, die versuchen, durch diesen Tunnel zu schnüffeln. Verschlüsselung auf Speicherebene kann zusätzlichen Schutz bieten. Aber auch diese Form der Verschlüsselung sollte erweitert werden um Feld-bezogene Verschlüsselungstechnologien für den Bereich der personenbezogenen Daten, um bestimmte Datenfelder wie Namen, Adresse, E-Mail-Adresse, Telefonnummer, GPS-Standortinformationen, Zahlungsinformationen und Kaufverhalten zu schützen.

„In vielen Unternehmen werden diese Verschlüsselungstechnologien bereits eingesetzt, und auf diese Weise können sie sich wirksam gegen Angriffe auf ihre Daten schützen“, sagt Venkatesh.

Unterstützung von der Führungsebene

Letztendlich sei jeder im Unternehmen für den Schutz von Informationen verantwortlich, so Venkatesh, angefangen bei der Führungsetage bis in die hierarchisch untergeordneten Ebenen.

„In den Unternehmen, die bereit sind für die DSGVO, konnte beobachtet werden, dass die Entscheidung für Schutzmaßnahmen auf der Ebene der Geschäftsführung getroffen wurde. Ein guter Test ist, ob eine Führungskraft auf mittlerer Hierarchiestufe in einem einfachen Satz erklären kann, warum das eigene Unternehmen Daten schützen sollte und was genau das für das Unternehmen bedeutet.“

Ein weiterer Hinweis darauf, dass eine Organisation bereit ist für die DSGVO, ist die enge Zusammenarbeit der Teams für Sicherheit und Anwendungen und deren Zusammenarbeit mit den Datenschutzbeauftragten des Unternehmens. Venkatesh merkt dazu an, „Üblicherweise findet ein wahres Tauziehen statt zwischen den Sicherheitsteams, die mit mit den Themen Verschlüsselung und Pseudonymisierung vertraut sind, und großen Anwendungsteams, die eher daran interessiert sind, aus ihren Anwendungen neue Funktionen herausholen zu können, um darüber Erlöse zu erzielen. Hier hilft eine Anordnung aus der Führungsetage, um sicherzustellen, dass alle das gleiche Ziel verfolgen: eine Zusammenarbeit, die dem Schutz des Kunden gilt.“

Abschließend rät Venkatesh den Unternehmen, die das Gefühl haben, nicht auf die DSGVO vorbereitet zu sein: „CISOs und alle Fachkräfte im Sicherheitsbereich müssen umfassender geschult werden zum Thema DSGVO. Sie sollten sich mit Produkten für Anwendungssicherheit auseinandersetzen, wie beispielsweise das Management von Sicherheitsvorfällen, Verschlüsselung und Pseudonymisierung, und es ist auch ratsam, die vorhandenen Technologien zu bewerten, um beurteilen zu können, was benötigt wird.“

CISO Datenschutzverstoß Verschlüsselung

Teilen Sie uns in der Diskussion bei LinkedIn Ihre Meinung mit!

ABONNIEREN

Melden Sie sich an und erhalten Sie aktuelle Informationen zu DSGVO & Beyond