Anzeige

Anzeige

VERANSTALTUNGEN

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

ACMP Competence Days München
10.04.19 - 10.04.19
In Jochen Schweizer Arena GmbH, Taufkirchen bei München

Mendix World
16.04.19 - 17.04.19
In Rotterdam Ahoy Conference Centre

Anzeige

Anzeige

Megaphon

Im Fall einer Datenschutzverletzung kommt es darauf an, mit den Betroffenen schnell und offen zu kommunizieren. Ziel ist es, sie vor größerem Schaden zu bewahren. 

Es ist August, zwei Drittel dieses Jahres haben wir schon fast hinter uns. Und damit auch eine ganze Reihe von ernsten und weitreichenden Datenschutzvorfällen, die es mühelos in die Schlagzeilen geschafft haben. Einige der Vorfälle sind 2018 aufgetreten, andere gehen auf das Jahr 2017 zurück, wurden aber erst jetzt bekannt. Das unterstreicht die harte Realität in Sachen Cybersicherheit. 

Harte Realität in Sachen Cybersicherheit

Wir haben vor kurzem den jährlichen Data Threat Report: Retail Edition veröffentlicht, und die Ergebnisse zeigen deutlich, dass diese Sicht der Dinge nicht übertrieben ist. Insbesondere die Retail-Branche in den USA hat schlechte Nachrichten zu vermelden. 50 % der Befragten haben im letzten Jahr eine Datenschutzverletzung erlitten. Das sind mehr als doppelt so viele Betroffene wie im letzten Jahr mit noch 19 %. Die gute Nachricht in der schlechten? Die Branche reagiert auf diesen immensen Anstieg mit höheren Investitionen in die IT-Sicherheit. 84 % der befragten Unternehmen wollen mehr Geld für IT-Sicherheit ausgeben. Für die Unternehmen, die bereits Opfer eines Datenschutzvorfalls geworden sind und daraufhin in die Infrastruktur und/oder Personal investiert haben, um in Zukunft besser geschützt zu sein, ist das allerdings nur die Spitze des Eisbergs.

Als nächstes steht auf der Kommunikationsagenda, die wenig erfreulichen Nachrichten den Betroffenen mitzuteilen.

Wenn der gesetzlichen Anzeigepflicht nachgekommen werden muss, kann das schnell knifflig und komplex werden. Die Lage ist zudem von Fall zu Fall und von Land zu Land unterschiedlich. Etliche Firmen sehen sich mit der DSGVO/GDPR erstmalig mit einer Anzeigepflicht von Datenschutzverletzungen konfrontiert. Diese Anzeigepflicht hat zeitnah, nämlich innerhalb von 72-Stunden nach dem Bekanntwerden einer Datenschutzverletzung zu erfolgen. Eine Firma muss dann sowohl die betreffende Aufsichtsbehörde in Kenntnis setzen als auch alle, die potenziell betroffen sind, informieren. Hier gilt es ein empfindliches Gleichgewicht zu wahren zwischen den regulatorischen Anforderungen und der Informationspflicht gegenüber den eigenen Kunden. Das Ergebnis ist eine meist alles andere als befriedigende Kommunikation. Ich für meinen Teil bin überzeugt, dass Firmen einen Schritt zurücktreten und sich in die Lage ihrer Kunden versetzen sollten. Was würden Sie hören wollen, wenn Sie erfahren von einer Datenschutzverletzung betroffen zu sein? Welche Schritte würden Sie erwarten?

Wie möchten Sie von einer Datenschutzverletzung erfahren?

Im Wesentlichen würde ich persönlich vier Dinge von einem Unternehmen erwarten bei dem ich Kunde bin:

  1. Ich bin Kundin, und für mich ist es nicht ganz unwesentlich zu erfahren, dass meine Daten vielleicht gerade im Dark Web verkauft werden oder sonstigen Risiken ausgesetzt sind. Für mich ist das eine große Sache – und so erwarte ich, dass sich das Unternehmen entsprechend um mich und meine Daten sorgt.
  2. Das allein reicht natürlich nicht, wenn ich handlungsfähig bleiben will. Einfach gesagt, ich brauche so viele und so klare Informationen wie möglich, wie ich mich jetzt gegen potenziellen Identitätsdiebstahl und den Missbrauch meiner Daten auf lange Sicht schützen kann.
  3. Im Idealfall geht das Unternehmen noch einen Schritt weiter und empfiehlt vertrauenswürdige Seiten, die kostenloses Kredit-Monitoring anbieten und Dienste, die bei einem Identitätsdiebstahl hilfreiche Maßnahmen zur Wiederherstellung anbieten.
  4. Und natürlich sollte es eine Art Service-Hotline geben, bei der ich weitere Informationen in Echtzeit bekomme. Wenn es ohnehin schon zu einer Datenschutzverletzung gekommen ist, ist jetzt der beste Zeitpunkt offen und transparent zu kommunizieren. Auch den unbequemen Fakt, dass es Zeit kostet, den Vorfall aufzuklären. Das ist im Bereich Cyberkriminalität nicht anders als bei der Aufklärung von anderen Straftaten.

Das sind sehr grundlegende Dinge, die Firmen tun können und tun sollten. Die Erfahrung der letzten Jahre hat aber gezeigt, dass dies längst nicht immer so ist. Ich erinnere mich an einen Fall bei dem ein Unternehmen per E-Mail einen Datenschutzvorfall anzeigte. Ausgerechnet diese E-Mail wirkte alarmierend verdächtig. Nicht nur, dass sie von einer unklaren Subdomain aus verschickt wurde. Nein, die Nutzer wurden zusätzlich aufgefordert auf einen Link zu klicken, der scheinbar lauter Kauderwelsch enthielt. In der wichtigen Zeit direkt nach einer Datenschutzverletzung sollte sich jedes Unternehmen darauf konzentrieren, den erlittenen Vertrauensverlust bei seinen Kunden wiedergutzumachen. Hier haben wir ein Beispiel wie man es nicht machen sollte. Die betreffende E-Mail wirkte exakt wie die eines Scammers, obwohl es sich tatsächlich um eine legitime Nachricht handelte. Das Unternehmen hat sich damit wohl eher einen Bärendienst erwiesen.

Datenschutzverletzungen sind inzwischen allgegenwärtig. Deswegen ist es an der Zeit zu erkennen, dass die Anzeigepflicht sich ganz erheblich auf eine Unternehmensmarke auswirkt. In turbulenten Zeiten wie diesen haben Unternehmen es in der Hand, selbst die Voraussetzungen zu schaffen wie sich eine betroffene Marke wieder erholen kann. Der Schlüssel liegt darin wie eine Firma mit ihren Kunden kommuniziert. Kommunikation ist einer der wichtigsten Schritte, wenn es darum geht sich die Loyalität seiner Kunden entweder zu bewahren oder sie endgültig zu verspielen.

Cindy ProvinCindy Provin, CEO Thales eSecurity

Tipps
Jul 30, 2018

Projektmanagement: Mit diesen Tipps klappt's auch mit dem Datenschützer

Kundenvertrauen - das ist für viele Unternehmen das wichtigste Asset in ihrem…
DSGVO
Jul 03, 2018

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutz-Grundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem…
Tb W90 H64 Crop Int 62a31c2a4305e62181f40e44f322564a
Jun 26, 2018

Data Threat Report 2018

Thales stellt seinen 2018 Data Threat Report Europa-Ausgabe vor, der in Zusammenarbeit…
GRID LIST
Sprachsteuerung

Alexa, Siri und Co: Mehr Datenschutz für Dialoge der Nutzer

Sprachdialogsysteme wie Alexa und Siri sind inzwischen große Hilfen zum Beispiel bei der…
DSGVO Abmahnung

Warum von kostenlosen Datenschutzerklärungen abzuraten ist

Für eine Vielzahl von Unternehmern scheint sich das Thema Datenschutz damit erledigt zu…
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…
DSGVO Datentunnel

Stream Processing für einfacheren Weg zur DSGVO-Compliance

Die data Artisans GmbH weist auf die Bedeutung von Stream-Processing, also der…
DSGVO-Beauftragte

Für welche Unternehmen ist ein Datenschutzbeauftragter Pflicht?

Seit Mai letzten Jahres gilt für Unternehmen innerhalb der EU die…
Angst Horrorfilm

Google weiß, was du letzten Sommer getan hast

Googles Android ist weltweit das am weitesten verbreitete Betriebssystem für Smartphones…