Zwei Jahre EU-DSGVO – eine Zwischenbilanz

EU-DSGVO wird unterlaufen

Eine weitere Lücke in der EU-DSGVO sehen Kritiker darin, dass Hersteller nicht in die Pflicht genommen wurden, Produkte zu entwickeln, die den Datenschutz fördern. Privacy by Design – also das Berücksichtigen des Datenschutzes bei der Produktion eines Gerätes – ist ein wichtiger Baustein für den sicheren Umgang mit Daten. Einige Unternehmen haben bereits begonnen, die Barriere zwischen DevOps und IT-Sicherheit einzureißen, und neuartige Methoden im Sinne von „DevSecOps“ zu etablieren. Der Gesetzgeber muss diese Entwicklung unterstützen, damit datenschutzkonforme Produkte auf dem Markt erhältlich sind. 

Ähnliches gilt für das Speichern von Daten in der Cloud. Die marktbeherrschenden Cloud-Anbieter sitzen im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO. Dies bedroht zudem die Wettbewerbsfähigkeit der deutschen Unternehmen, weil aufgrund der dafür notwendigen technischen Vorkehrungen auch das Risiko steigt, dass Cyberkriminelle und Drittstaaten Zugriff auf das technische Know-how der Unternehmen erhalten.

Anzeige

Neue IT-Sicherheitstechnologien

Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Auf diese Weise wollen sie europäischem Recht genügen. Das löst jedoch das Problem nicht wirklich: Die Cloud-Anbieter selbst können noch immer auf die Daten zugreifen, und aufgrund gesetzlicher Gegebenheiten in ihren Herkunftsländern verpflichtet werden, Dritten Zugang zu gewähren. Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien, die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen. Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, der Kunde selbst entscheiden kann, wo seine Daten gespeichert werden und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgschance. 

Und letztlich bleibt noch die Frage, wie es mit der europaweiten Harmonisierung des Datenschutzes klappt. Grundsätzlich gilt die EU-DSGVO in allen Mitgliedsstaaten und besitzt Anwendungsvorrang vor nationalen Regelungen. Zahlreiche sogenannte „Öffnungsklauseln“ geben den Gesetzgebern der Mitgliedsstaaten aber die Möglichkeit, die EU-DSGVO durch die eigene Gesetzgebung zu konkretisieren und zu ergänzen. Beim Umgang mit Arbeitnehmerdaten sieht die EU-DSGVO zum Beispiel vor, dass spezifischere Vorschriften erlassen werden können. Für Unternehmen mit europäischen Standorten bedeutet dies eine zusätzliche Herausforderung.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Ausblick

Die EU-DSGVO ist ein Meilenstein auf dem Weg zu mehr Schutz personenbezogener Daten. Nach zwei Jahren zeigt sich: Vieles wurde bereits erreicht und die Umsetzung läuft. Doch die Regelung ist erst ein Anfang. Weitere Vorgaben sind notwendig, um eine vollumfängliche digitale Souveränität zu erreichen. Die EU-DSGVO gibt dafür die grundlegende Richtung vor – Unternehmen, Gesellschaft und Politik müssen diesen Weg jetzt konsequent weitergehen.

Dr. Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity

www.rohde-schwarz.com/cybersecurity
 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.