Ein Jahr DSGVO: Viel Lärm um nichts?

Vor einem Jahr trat die Europäische Datenschutz-Grundverordnung endgültig in Kraft. Ein Ende der Zeitenrechnung fand am 25. Mai 2018 allerdings genauso wenig statt wie am 31. Dezember 1999 oder dem 21. Dezember 2012. Matthias Kess, CTO der auf Kommunikationslösungen spezialisierten Cryptshare AG, mit einem Blick zurück und nach vorne.

Es ist meiner Meinung nach aber durchaus angebracht, von einer echten Zeitenwende zu sprechen. Denn die DS-GVO wird tatsächlich „gelebt“ und hat zu einer breiten Sensibilisierung in Sachen Datenschutz geführt. „Viel Lärm um Nichts“ also? Oder doch eher „Ende gut, alles gut“? In Wahrheit ist es weder das Eine noch das Andere – wir haben in dieser „Unendlichen Geschichte“ schlichtweg unser Ziel noch nicht erreicht. Das nächste Kapitel wird gerade aufgeschlagen – in Form des „Gesetzes zum Schutz von Geschäftsgeheimnissen“ (GeschGehG), das Ende April in deutsches Recht umgesetzt wurde.

Anzeige

Eines haben die vielen Gespräche, die meine Kollegen und ich in den vergangenen Monaten geführt haben, ganz deutlich gezeigt: Die DS-GVO ist richtungsweisend, sie wird in Unternehmen gelebt – und sie hat, selbst bei Privatanwendern, zu einer enormen Sensibilisierung in Sachen Datenschutz geführt. Ähnlich wie beim Jahr-2000-Problem oder dem durch den Maya-Kalender vermeintlich prognostizierten Weltuntergang 2012 fand vor einem Jahr kein Ende der Zeitenrechnung statt.

Zwar war offensichtlich, dass Unternehmen nicht sofort belangt werden würden – wer seit dem Stichtag den Aufsichtsbehörden aber nicht belegen kann, zumindest an einer den Anforderungen entsprechenden Anpassung seiner Prozesse und Tools zu arbeiten, der handelt(e) grob fahrlässig und muss zu Recht mit Strafen rechnen. Auch nach der ersten großen Welle, kurz vor Inkrafttreten der DS-GVO (die beispielsweise dazu führte, dass wir eine spezielle Lösung für kleine Firmen mit bis zu 25 Mitarbeitern auf den Markt brachten), registrieren wir nach wie vor zahlreiche Anfragen aus den unterschiedlichsten Branchen, beispielsweise dem Gesundheitssektor mit seinen besonders sensiblen Patientendaten. Neben der Übertragung großer Datenmengen und dem Schutz vor Spionage fällt ein Stichwort dabei immer häufiger: Compliance.

Fortsetzung folgt: Handlungsdruck nimmt zu

Unternehmen sind nach wie vor in ganz unterschiedlichem Maße gewappnet. Während die Einen lieber einmal zu oft nachfragen, haben die Anderen entsprechende Maßnahmen zeit- und budgettechnisch noch immer nicht eingeplant. Das liegt daran, dass Behörden in der DACH-Region zurückhaltender agiert haben. Und genau das wird sich nun ändern, der Handlungsdruck nimmt zu. Nach dem Stichtag waren Behörden eher in beratender Funktion aktiv und boten bei Anfragen eine „stützende Schulter“, viele Datenschutzbeauftragten verhielten sich – auch wegen Personalmangels – eher reaktiv. Nun werden sie die Unterstützung bei Beratungsanfragen immer stärker zugunsten von Sanktionen zurücknehmen.

Was ohnehin nicht heißt, dass bisher alles ruhig geblieben wäre: Im Juli 2018 stahlen Cyber-Kriminelle Passwörter, E-Mail-Adressen und Pseudonyme von über 300.000 verifizierten Nutzern bei einem Chat-Portal und veröffentlichten die Daten im Internet. Für die Betroffenen war die Datenpanne sehr ärgerlich, dem deutschen Anbieter kam sie teuer zu stehen. Er erhielt als erstes Unternehmen eine Strafe nach der Datenschutz-Grundverordnung und musste ein Bußgeld in Höhe von 20.000 Euro zahlen. Er hatte die Daten seiner Kunden nicht verschlüsselt, sondern im Klartext gespeichert.

Einer aktuellen repräsentativen Forsa-Befragung im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zufolge hatten viele deutsche Unternehmen bereits Probleme mit der Datensicherheit, jeder 25. Mittelständler meldete eine Datenpanne. Wie teuer ein Verstoß werden kann, zeigen die Rekordstrafen in Portugal und vor allem Frankreich, wo die Datenschutzaufsicht ein Bußgeld von 50 Millionen Euro gegen den US-Konzern Google verhängte.

Nebeneffekt der verschärften Datenschutz-Vorschriften: Die Nachfrage nach Cyber-Versicherungen gegen Internetkriminalität steigt. Diese Versicherungen können übrigens eine gute Sache sein, wenn noch einige Ergänzungen folgen und wenn Unternehmen die IT-Security dadurch nicht auf die leichte Schulter nehmen. Daher sollten sich die Beitragshöhen an verschiedenen Sicherheitsstandards orientieren: Wie bei Zahnversicherungen, die bei regelmäßiger Prophylaxe günstiger werden. Und nur wenn anerkannte Tools – wie beispielsweise für die von der DS-GVO geforderte E-Mail-Verschlüsselung – eingesetzt werden, kann der Vertrag zustande kommen.

Unendliche Geschichte: Vom Schreckgespenst zum Exportschlager

Parallel zeigt sich: Der Datenschutz nach Vorbild der europäischen Verordnung wird zum „Exportschlager“. Politik und Unternehmen in den USA sind aufmerksam geworden und suchen nach konkreten Lösungen. Ende des vergangenen Jahres hatte Apple-CEO Tim Cook die Verordnung ausdrücklich als Basis für einen weltumspannenden Datenschutz gelobt, vor Kurzem forderte Facebook-Chef Mark Zuckerberg weltweite Internet-Regulierung nach ihrem Vorbild.

Noch gibt es ein vergleichbares Gesetz auf dortiger Bundesebene nicht. Doch mit Kalifornien und Vermont haben die ersten Bundesstaaten neue Datenschutzgesetze nach europäischem Vorbild erlassen. Der „California Consumer Privacy Act“ soll 2020 in Kraft treten, im Zentrum steht der Schutz der Verbraucher beim Umgang mit personenbezogenen Informationen. Das Besondere am CCPA ist, dass er von einer Bürgerinitiative ausging – deutlicher kann ein Signal für das Bürgerinteresse an einem funktionierenden Datenschutzsystem nicht sein.

Ich bleibe dabei: Die Bundesebene in den USA muss und wird nachziehen – und das wird die IT-Branche und ihre Kunden weltweit nachhaltig beeinflussen. Fortsetzung folgt…

Das nächste Kapitel wird gerade aufgeschlagen – in Form des „Gesetzes zum Schutz von Geschäftsgeheimnissen“. Es sollte 2018 im Schatten der DS-GVO ebenfalls umgesetzt werden und trat nun mit Verzögerung Ende April in Kraft. Unternehmen, die bei der Umsetzung der DS-GVO-Anforderungen gründlich gearbeitet haben, haben hierfür wertvolle Vorarbeit geleistet. Wer Geschäftsgeheimnisse rechtlich schützen will, muss nachweisen, dass er Geheimhaltungsmaßnahmen getroffen hat – wie die Verschlüsselung von E-Mails.

Matthias Kess,
Matthias Kess ist CTO der Cryptshare AG mit Sitz in Freiburg im Breisgau, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt. (Bildquelle: Cryptshare AG)

www.cryptshare.com

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.