Thought Leadership
Die EU-Datenschutzgrundverordnung tritt 2018 in Kraft und Unternehmen drohen Strafen bis zu 20 Millionen Euro bei Nichteinhaltung. Was ist jetzt zu tun? Ein Interview mit James LaPalme (Foto), VP Business Development & Cloud Solutions bei WinMagic.
2018 tritt die Datenschutz-Grundverordnung (DSGV) offiziell in der EU in Kraft. Worauf müssen sich Unternehmen einstellen?
Die Datenschutz-Grundverordnung bringt das Thema Datenschutz auf den aktuellen Stand der Technik und verhilft EU-Bürgern zu mehr Kontrolle über ihre personenbezogenen Daten. Und da es sich um eine Verordnung handelt, sind alle Mitgliedsstaaten verpflichtet, die Vorgabe der EU in nationales Recht zu implementieren. Diese EU-weite Harmonisierung des Rechts sorgt damit für mehr Rechtssicherheit, stellt aber auch hohe Anforderungen an die Unternehmen. Denn bis 2018 bleibt nicht mehr viel Zeit. Kommt es zu einer Verletzung, können Strafen von bis zu 20 Millionen Euro oder vier Prozent des Firmenumsatzes erhoben werden. Um auf der sicheren Seite zu sein, sind Organisationen, Datenschutzbeauftragte, CISOs und CIOs gefordert, ein ganzheitliches Sicherheitskonzept zum Schutz von Unternehmens- und Kundendaten zu entwickeln und bis 25. Mai 2018 umzusetzen. Dies ist nämlich der Stichtag, an dem alle Dokumente und Prozesse an die Datenschutz-Grundverordnung angepasst sein müssen.
Was ist die Erwartungshaltung der DSGVO gegenüber dem Datenschutz und speziell gegenüber Unternehmen?
Die EU-Verordnung gibt eindeutig vor, welche Daten zu schützen sind und wann eine Verletzung vorliegt. So können personenbezogene Daten, die sich laut Verordnung einer identifizierten oder identifizierbaren natürlichen Person zuordnen lassen, bereits als verletzt gelten, wenn allein ihre Verfügbarkeit betroffen ist. Der Schutzbegriff der DSGVO geht also viel weiter, als es noch beim Bundesdatenschutzgesetz (BDSG) der Fall war. Sollte es einmal zu einem Vorfall kommen, muss dieser binnen 72 Stunden gemeldet werden. Angesichts der konkreten Definition, der strengen Regelungen sowie der drohenden Konsequenzen sollten Unternehmen ihre Sicherheitskonzepte genauestens überprüfen: Welche eigenen Vorgaben, Technologien und Prozeduren müssen Organisationen einführen, um die Regularien der EU erfüllen? Was ist sinnvoll, praktisch und überhaupt in dem definierten Zeitrahmen umsetzbar? Die Vorgaben der EU sind vielleicht streng, aber ihre Einhaltung ist machbar – und zwar für jedes Unternehmen. Um dies zu gewährleisten, sollten Firmen mit Experten zusammenarbeiten, die sich mit Sicherheit auskennen. Schließlich gibt es bereits Lösungen, die Unternehmen die Einhaltung der EU-DSGVO-Compliance-Vorgaben erleichtern.
Bei den konkreten Sicherheitsmaßnahmen bleibt die Verordnung eher vage. Was empfehlen Sie Unternehmen also, um mit der EU-DSGVO konform zu sein?
Die Verordnung ist sehr umfangreich, aber es gibt einige Punkte, an denen Firmen sich sehr klar orientieren können. Beispielweise heißt es, man müsse vernünftige Sicherheitsmaßnahmen implementieren, um Daten zu schützen. Sicherheitsbarrieren wie VPN-Netze, Firewalls und Virenscanner sind hier in jedem Fall die Minimalvoraussetzung. Werden sie jedoch überwunden, dann besteht der eindeutige Fall einer Datenverletzung – selbst wenn die Organisation nicht in der Lage ist, im Einzelnen anzugeben, welche und wie viele Daten betroffen waren. Sind die Daten hingegen zusätzlich verschlüsselt, kommt man der Vorgabe der DSGVO am nächsten. Denn so können selbst bei einem Datenleck Unbefugte die Daten nicht einsehen, und sie gelten damit auch nicht als verloren. Für unberechtigte Dritte sind in diesem Fall personenbezogene Daten, wie sie die Verordnung definiert, wertlos. Das gilt übrigens in allen Fällen – auch bei mobilen Geräten, die gerade auch wegen der Zunahme von „Bring Your Own Device“ (BYOD) in Unternehmen immer häufiger anzutreffen sind. Und ob diese nun gestohlen werden oder verlorengehen ist unerheblich. Denn sind die Daten verschlüsselt, bleiben sie geschützt.
Immer mehr Unternehmen nutzen jedoch auch Cloud Computing. Kollidiert nicht gerade die Public Cloud mit der Compliance gegenüber der EU-Verordnung?
Richtig eingesetzt, ist die Public Cloud sicher, beispielsweise indem Unternehmen auf eine umfassende Verschlüsselung ihrer Daten achten. Bei Public-Cloud-Umgebungen wird in der Regel bereits weitgehend auf diesen Sicherheitsmechanismus gesetzt. Vermutlich bieten Public-Cloud-Services sogar eine stärkere Sicherheitsplattform als die meisten privat genutzten oder On-Premise-Umgebungen – gerade weil viele Nutzer dort noch immer auf die Verschlüsselung ihrer Daten verzichten. Das Problem beim Cloud Computing allgemein ist also nicht das Level an Sicherheit, sondern die Frage nach der Kontrolle von Daten und wer sie kontrolliert. Da Public-Cloud-Umgebungen Datencenter weltweit nutzen, haben wir es hier mit einem speziellen rechtlichen Fall zu tun. Denn die EU-DSGVO gilt, sobald es sich um personenbezogene Daten eines EU-Bürgers handelt, unabhängig davon, wo sich die Daten genau weltweit befinden. Vereinfacht ausgedrückt: Cloud-Provider, die ihren Service in der EU anbieten wollen, müssen sich an geltendes EU-Recht halten. Hier kommt das sogenannte Marktortprinzip zum Tragen.
Und welche genaue Rolle spielt die Frage nach der Kontrolle über die Daten?
Das ist der eigentliche Knackpunkt beim Cloud Computing. Laut EU-Verordnung muss der Datenaustausch mit der Cloud genauestens dokumentiert werden. Es muss also nachvollziehbar sein, wo die Daten physisch gespeichert werden. Obwohl einige Cloud-Anbieter bereits angeben, in welchem Datacenter die eigenen Daten vorgehalten werden, tun das die meisten noch nicht. Damit sind wiederum die Unternehmen als Urheber der Daten in der Verantwortung, den Datenschutz zu gewährleisten. Um das wirklich zu garantieren, und damit auch die Kontrolle über die Daten in der Cloud zu behalten, ist nur die Verschlüsselung das geeignete Mittel. Am besten unter Verwendung von Verschlüsselungs-Keys und einer intelligenten Schlüsselverwaltung, mit der sichergestellt wird, stets die Souveränität über die eigenen Daten zu behalten.
Teil der Kontrolle über die eigenen Daten ist schließlich zu wissen, wo die Daten physisch gespeichert sind – um einige Stichworte zu nennen: Cloud Instance ID, IP-Adresse und letztendlich das physische Datacenter.
Das Entscheidende an dieser Klausel ist, dass sowohl die Unternehmen als auch die Cloud-Anbieter wissen müssen, wo die Daten physisch gespeichert sind. Lösungen wie die Verschlüsselungstechnologie von WinMagic geben Unternehmen einen besseren Überblick über den Speicherort ihrer Daten. Sie können damit beispielsweise nachvollziehen, ob sie von einem erlaubten an einen nichterlaubten Standort bewegt wurden – nach der DSGVO handelte es sich hierbei um ein Land mit unzureichender Rechtsstaatlichkeit, insbesondere mit Defiziten bei den Menschenrechten. Dadurch lassen sich Vorgaben gezielter durchsetzen und Sicherheit gewährleisten. Beispielsweise indem Zugangsdaten oder Sicherheitsschlüssel vom Arbeitsbereich der Cloud separiert werden. So ist sichergestellt, dass Daten geschützt sind und Richtlinien eingehalten werden.
Also können Unternehmen auch mit der Datenschutz-Grundverordnung konform sein, wenn sie allgemein Cloud-Services nutzen?
Im Grunde ja, sofern Daten verschlüsselt sind, man die Kontrolle über die Sicherheitsschlüssel hat und unternehmenseigene Richtlinien für den Schutz der Daten nach der EU-DSGVO existieren.
Herr LaPalme, vielen Dank für das Gespräch.
