Thought Leadership
Sie ist viel diskutiert und wirft immer wieder Fragen auf: die EU-Datenschutzgrundverordnung (EU-DSGVO). Wenn sie am 25. Mai 2018 in Kraft tritt, wird es ernst für Unternehmen. Ist die eigene IT-Landschaft gemäß dem aktuellen „Stand der Technik“ abgesichert? Doch gerade dieser schwammige Begriff bereitet den IT-Sicherheitsexperten Kopfzerbrechen.
In etwa einem halben Jahr wird die EU-DSGVO rechtsverbindlich. In erster Linie regelt sie für Europa den Schutz und die Verbreitung personenbezogener Daten. Der Knackpunkt: Die Begrifflichkeit „Stand der Technik“ steht im Mittelpunkt des neuen Gesetzes. Konkret heißt es in Art. 32 der EU-DSGVO: „Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Diese sehr vagen Formulierungen lassen Unternehmen etwas ratlos zurück: Was genau bedeutet der „Stand der Technik“? Welche IT-Sicherheitsmaßnahmen müssen Unternehmen jetzt ergreifen?
Kalkuliert unpräzise Formulierung
Die sehr weit gefasste und ungenaue Formulierung „Stand der Technik“ wählte der Gesetzgeber wohl kalkuliert. Die Gründe: Zum einen entzieht er sich so der Haftung oder Anfechtbarkeit. Zum anderen ist die technologische Entwicklung heute so schnell, dass die im Gesetzestext aufgeführten Technologien und Verfahren unter Umständen schon wieder veraltet sein könnten, wenn das Gesetz in Kraft tritt. Unternehmen müssen ihre Sicherheitskonzepte dennoch auf dieser schwammigen Formulierung aufbauen. Der „Stand der Technik“ ist im Grunde in drei Abstufungen interpretierbar: Die erste meint das allgemeine Verständnis darüber, welche Technologien und Konzepte bewährt und etabliert sind. Der Nachteil: innovative Ansätze spielen dabei keine Rolle. Die zweite schließt lediglich innovative Technologien ein. In der dritten geht es um Technologien, die Wissenschaft und Forschung aktuell noch erproben. Für die EU-Datenschutzgrundverordnung ist eine Einsortierung des „Stands der Technik“ zwischen der ersten und zweiten Ebene am sinnvollsten – also eine Kombination aus bewährten und innovativen Technologien, um die größtmögliche Sicherheit herzustellen.
Eigeninitiative gefragt
Die Konsequenz für jedes Unternehmen aus diesem Umstand sollte sein, sich selbst auf dem Laufenden zu halten, was aktuell der „Stand der Technik“ ist. Hier ist es hilfreich, den Blick auf Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu richten. Insbesondere der Grundschutzkatalog und technische Richtlinien, die das BSI regelmäßig aktualisiert, beschreiben gewisse Mindeststandards, die Unternehmen einhalten sollten. So hat das BSI beispielsweise im Februar 2017 seine technische Richtlinie für kryptographische Verfahren aktualisiert. Darin sind konkrete Technologien und Verfahren empfohlen – unter anderem etwa AES-128 für Blockchiffren zur Verschlüsselung. Auch das Informationsmaterial der Aufsichtsbehörde für Datenschutz sowie der Fachverbände bringt Licht ins Dunkel. Unternehmen bekommen auf diese Weise zumindest eine Vorstellung davon, was an technologischen Maßnahmen nötig ist. Die Entscheidung, wie die Empfehlungen in die Tat umzusetzen sind oder welcher Hersteller sich dafür anbietet, liegt dann bei den Unternehmen.
Natürlich geben auch Zertifikate Anhaltspunkte dafür, welche Datenschutzmaßnahmen sinnvoll sind. Ein Beispiel ist hier die Zertifizierung nach ISO 27001 für den Bereich der Informationssicherheit. Für die EU-DSGVO gibt es aktuell keinen einheitlichen zertifizierbaren Standard. Es existieren allerdings verschiedene Modelle, die Teilbereiche abdecken. So etwa der Anforderungskatalog des BSI „Cloud Computing Compliance Controls Catalogue“ (C5) oder das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz (ULD) von Schleswig-Holstein. Letzteres veröffentlicht ebenfalls praktische Guidelines zum Datenschutz. Allerdings ist ein Zertifikat in der Regel nur eine Momentaufnahme des Sicherheitsstatus, während sich der „Stand der Technik“ dynamisch weiterentwickelt. Ein regelmäßiger Blick auf die Empfehlungen sollte also obligatorisch sein.
Praktische Umsetzungshilfen fehlen
Diese Umstände führen dazu, dass sich das Gros deutscher Unternehmen nicht ausreichend auf die EU-DSGVO vorbereitet fühlt. Einer repräsentativen Umfrage des Branchenverbandes Bitkom aus dem September 2017 zufolge gaben lediglich 13 Prozent der Befragten an, konkrete Maßnahmen in Angriff genommen zu haben. Gleichzeitig beschäftigen sich immerhin 49 Prozent mit dem Thema. Viele Unternehmen haben in der Praxis Schwierigkeiten, sich mit den umfangreichen Anforderungen der EU-DSGVO auseinanderzusetzen und diese in Maßnahmen zu übertragen. So bemängelten 34 Prozent das Fehlen von praktischen Umsetzungshilfen. Viele Unternehmen sind daher auf die Zusammenarbeit mit erfahrenen Dienstleistern angewiesen, die sich tagtäglich mit Risikoszenarien, Abwehrmechanismen und ganzheitlicher Sicherheit auseinandersetzen. Dabei bleibt das Unternehmen als Kunde trotzdem weiterhin die verantwortliche Stelle. Die IT-Dienstleister tragen dennoch eine hohe Verantwortung, Datenpannen und -lecks zu vermeiden.
Ihr Aufgabenspektrum wird sich mit der EU-DSGVO verändern. Die Beratungs- und Informationspflicht wird zunehmen – besonders hinsichtlich des „Privacy-by-Design“-Ansatzes. Dieser hat eine grundlegende, ganzheitliche Sicherheit personenbezogener Daten zum Ziel. Mit der EU-DSGVO ist die Auswahl eines passenden Providers mehr denn je auch eine Frage der vertrauensvollen Zusammenarbeit. Provider sind verpflichtet, Datenpannen zu melden – selbst, wenn beispielsweise noch kein Datendiebstahl stattgefunden hat. Hintergrund ist die künftige Meldepflicht, der Unternehmen nachkommen müssen. Das setzt voraus, dass der IT-Dienstleister ihnen gegenüber diesbezüglich absolut transparent und vertrauensvoll ist. Werden Versäumnisse und Datenpannen öffentlich, drohen empfindliche Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Konzern-Vorjahresumsatzes, je nachdem welche Summe höher ist.
Fazit
Die Europäische Union macht es den Unternehmen nicht leicht, die neuen Anforderungen zu durchschauen. Das entlässt sie jedoch nicht aus der Pflicht, diese umzusetzen. Unternehmen sind deshalb gut beraten, sich bei der Verständigung darauf, was der Stand der Technik bedeutet, auf allgemeine Richtlinien zu berufen. Welche Maßnahmen für die jeweilige IT-Landschaft am besten passen, muss jedes Unternehmen letztlich selbst abwägen. Bei Unsicherheiten lohnt es sich, einen erfahrenen und vertrauenswürdigen IT-Dienstleister zurate zu ziehen. Die Zeit läuft.
André Neumann ist Director Supplier Management & Data Privacy bei Nexinto.
