Thought Leadership
Am 28. Januar ist Datenschutztag oder auch Data Privacy Day. Dieses Jahr ist die Zeit endlich reif, die Datenschutzbestimmungen auch gegen Google und Co. durchzusetzen. Ein Kommentar von Michael Hambsch, Director Solution Consulting Continental Europe bei Snow Software.
Wie hat sich Ihrer Meinung nach der Umgang mit Datenschutz und -sicherheit im Jahr 2020 verändert (aufgrund der Pandemie, der Verlagerung zum Homeoffice oder einfach nur allgemein)?
Entscheidungsprozesse sind in der Regel langsam und vor allem reaktiv. Ihnen fehlt die Agilität, um auf schnell wechselnde Situationen zu reagieren, wie wir sie beispielsweise vergangenes Jahr erlebt haben. Wenn wir die beiden Bereiche Datenschutz und Datensicherheit in ihre Bestandteile zerlegen und uns auf den Aspekt „Schutz“ konzentrieren, dann sieht die IT-Landschaft heute ganz anders aus als im Vergleich zum Vorjahr. Viele Investitionen waren nötig, um Homeoffice-Arbeitsplätze zum effektiven Arbeiten zu ermöglichen. Die IT-Abteilungen mussten hierfür bereits laufende Programme anpassen oder beschleunigen.
Wir haben in der IT-Landschaft ein unglaubliches Ausmaß an Veränderungen gesehen – Entscheidungen über Notfallbudgets, die Einführung neuer Technologien und Arbeitswelten. Solche großen Veränderungen hat es meiner Meinung nach noch nie zuvor gegeben. Homeoffice und Videokonferenzen sind jedoch mit zusätzlichen Sicherheitsrisiken verbunden, da die Endpoint Protection außerhalb von Unternehmen schwächer ist, die Schatten-IT zunimmt und die IT der unmittelbaren Kontrolle des Arbeitgebers entzogen ist. Mitarbeiter suchen neue und kreative Wege, um Aufgaben zu erledigen, während sie parallel mit dem Homeschooling der Kinder beschäftigt oder anderen familiären Ablenkungen ausgesetzt sind. All das macht es kriminellen Hackern einfacher, wichtige Unternehmensdaten zu stehlen oder zu sabotieren – seien es personenbezogene Kundendaten oder das geistige Eigentum und Know-how des Unternehmens.
Datenschutzbestimmungen setzen sich in unserer digitalisierten Welt immer mehr durch. Die europäische Datenschutzgrundverordnung (DSGVO) ist auf diesem Gebiet zum globalen Vorbild geworden. Erwarten Sie für die Zukunft zusätzliche Schutzmaßnahmen? Und werden wir endlich eine verschärfte Durchsetzung von Datenschutzregeln sehen – beispielsweise gegen Digitalkonzerne wie Google, Facebook und Apple?
Ich bin der festen Überzeugung, dass wir weltweit eine Art „Dominoeffekt” bei der Einführung von Datenschutzvorschriften sehen werden, die sich alle am „Goldstandard” DSGVO orientieren. Aber dies ist weniger auf die Corona-Pandemie zurückzuführen, sondern hat eher mit dem Druck der Bevölkerung zu tun, die nicht mehr bereit ist, rücksichtsloses Verhalten zu akzeptieren. Die Zeit ist reif, Datenschutzbestimmungen auch gegen solche Großunternehmen durchzusetzen, die Datenschutzverstöße zu ihrem Geschäftsmodell erhoben haben.
Einige Unternehmen konnten hohe Bußgelder von Datenschutzbehörden nachträglich vor Gericht erfolgreich herunterhandeln. Sollte die Schwere eines Verstoßes bei der Verhängung von Bußgeldern angemessener berücksichtigt werden?
Das ist vom Einzelfall abhängig. Dass große Unternehmen auch bei minimalen Verstößen mitunter hohe Bußgelder zahlen müssen, hängt damit zusammen, dass sich diese am Jahresumsatz orientieren. Klar ist jedoch: In unserer digitalisierten Welt muss für sinnvollen Datenschutz geworben werden – und dieser dann auch durchgesetzt werden. Die EU-Aufsichtsbehörden haben im vergangenen Jahr so viele Datenschutzverstöße geahndet wie noch nie zuvor und die verhängten Bußgelder stiegen ebenfalls deutlich auf insgesamt knapp 160 Millionen Euro. Kein Unternehmen kann es sich mehr leisten, den Datenschutz zu vernachlässigen. Besonders für rücksichtslose Unternehmen werden die Zeiten rauer.
Gibt es Best Practices, die Sie empfehlen oder an die Sie Organisationen speziell an diesem Tag erinnern möchten?
Man darf die Grundsätze einer sicheren IT nicht aus den Augen verlieren. Jedem Mitarbeiter werden stets die Mindestrechte zugewiesen, die er zur Wahrnehmung seiner Aufgaben benötigt. Unternehmen sollten ein genaues Inventar (Software und Hardware) führen und alles auf dem aktuellen Stand halten. Nicht alle Daten sind gleich – deswegen sollten Daten und deren Schutzbedarf klassifiziert werden; für besonders wertvolle Daten sollte zudem eine erhöhte Sicherheit vorgesehen sein. Zu guter Letzt: Alle Mitarbeiter sollten mit regelmäßigen Security-Awareness-Schulungen trainiert und sensibilisiert werden.
