Von Benjamin Franklin stammt der Spruch: “If you fail to plan, you are planning to fail”. Diese Weisheit kann direkt auf das heiß diskutierte Thema Datenschutzgrundverordnung (DSGVO) angewandt werden. Am 25.5.2018 tritt die DSGVO für alle verbindlich in Kraft.
Obwohl wir bereits über das Thema berichteten, scheint es, so als kann man nicht genug Hinweise zum nahenden Termin des Inkrafttretens der DSGVO geben. Die wachsende Zahl von vermeintlich wichtigen Schlüsselbegriffen ruft Verwirrung bei dem einen oder anderen DSGVO-Verantwortlichen hervor.
WeLiveSecurity führte ein Gespräch mit David Tomlinson, Endpoint Encryption Manager bei ESET. Er analysierte die Auswirkungen der Datenschutzgrundverordnung auf kleine und mittelständische Unternehmen und ist der perfekte Anlaufpunkt, um uns über eventuell auftretende Probleme aufzuklären.
Tomlinson sagte:“Diese Verordnung ist eine große Belastung für kleine und mittlere Unternehmen. Die Liste der Anforderungen ist zu lang, um sie zu verdauen. Viele verschließen die Augen vor diesem Problem und hoffen, dass es sich von alleine löst.“
Die Datenschutzgrundverordnung schreibt vor, dass alle Unternehmen – innerhalb oder außerhalb der Europäischen Union – die personenbezogene Daten von EU-Bürgern erheben oder in sonstiger Weise behandeln, richtlinienkonform agieren und alle rechtlichen Folgen tragen, die sich aus der Nichteinhaltung ergeben.
Durch die komplexen Regulierungen und Geldstrafen in Höhe von bis zu 20 Millionen Euro und mehr wird den kleinen und mittleren Unternehmen alles abverlangt. Mit einem Personalbestand zwischen 10 und 250 Mitarbeitern und einem Jahresumsatz zwischen 2 und 50 Millionen Euro hätte ein derartiger Einschnitt in die Finanzen katastrophale Auswirkungen.
„Im Idealfall verfügen Unternehmen über engagiertes Personal für die Erstellung von Dokumenten, Prozessen, Verfahren und über jemanden, der das gesamte Geschäft in Bezug auf die DSGVO kontrolliert. Letztendlich braucht es auch Mitarbeiter, die alles in den Alltag der anderen Mitarbeiter integrieren. Hier werden besonders kleine Unternehmen enorm gefordert sein, DSGVO-konform umzustrukturieren.“ fügt Tomlinson hinzu.
Wie eine aktuelle Studie der IDC zeigt, haben nur 29% der europäischen Kleinunternehmen und 41% der mittelständischen Unternehmen Schritte zur Vorbereitung auf die DSGVO eingeleitet. Bei den nicht-europäischen KMUs sinkt der Anteil der vorbereiteten Kleinunternehmen auf 9% und auf 20% bei mittelgroßen Unternehmen.
Nun ist das kein verlorener Kampf. Der überwiegende Anteil der Unternehmen kann die Frist zum 25.5.2018 einhalten. „Die Mehrheit ist richtig auf die Datenschutzgrundverordnung vorbereitet und die DSGVO wird die Struktur im Unternehmen nur wenig beeinflussen.“ ermutigt Tomlinson.
Der Schlüssel liegt im Verständnis über die Rolle der personenbezogenen Daten in jedem Unternehmen und in den anzuwendenden Schutzmaßnahmen, um die Anforderungen der DSGVO zu erfüllen. Persönliche Daten sind in der DSGVO folgendermaßen definiert:
"personenbezogene Daten" [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;
Betrachten wir beispielsweise eine beliebige Personalagentur. Der Begrifflichkeit zur Folge würden sich persönliche Daten etwa auf eine Kundennummer oder einen Code beziehen, wobei jeder Person ein Lebenslauf zugeordnet ist. Dieser Code wird auch ohne direkte Identifizierung der Einzelperson als personenbezogene Information klassifiziert und sollte gemäß den DSGVO-Regeln behandelt werden.
Mit der Ende Mai in Kraft tretenden Verordnung müssen nicht nur interne Prozesse und Strukturen überprüft, sondern auch zusätzliche Sicherheitsmaßnahmen in allen Bereichen umgesetzt werden. Die Europäische Kommission stellt einen siebenstufigen Leitfaden zur DSGVO bereit. Zusätzliche Informationen zur Datenschutzgrundverordnung bieten WeLiveSecurity und ESET.
Nach all dem was in den Medien über die DSGVO gesagt wurde, sollten wir festhalten, dass die Verordnung die vorrangige Aufgabe beinhaltet, bessere Datenschutzrechte für europäische Bürger durchzusetzen. Das schließt beispielsweise auch die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde ein. Unternehmen müssen innerhalb von 72 Stunden nach Bekanntwerden den Datenschutz-Vorfall offenlegen.
Wir wollen darauf hinweisen, dass nicht jedes Unternehmen den selben Risiken ausgesetzt ist. Größere Unternehmen müssen eher mit schädlichen Cyberangriffen rechnen als kleinere – Dafür sehen sich kleinere Unternehmen eher mit dem Risiko der Unachtsamkeit von Mitarbeitern konfrontiert.
Es gibt viele Möglichkeiten der Risikominimierung - einschließlich Tools der Prozessautomatisierung, Verschlüsselung und Zwei-Faktor-Authentifizier sowie die Mitarbeiterschulungen, die über die Wichtigkeit der Einhaltung der Prozesse aufklären. Alleine löst keiner der Punkte das Risiko, nur die Kombination stellt einen guten Risikoschutz dar.
"Die Sicherheit von USB-Sticks und Laptops spielt eine wichtige Rolle, da diese manchmal verloren gehen oder gestohlen werden. Das führt zum Verlust von Kunden- oder HR-Daten usw., wenn diese nicht verschlüsselt sind. Unternehmen, die in einfach zu bedienende Verschlüsselungssoftware investieren, um die persönlichen Daten sicher zu speichern und zu verarbeiten, sind auf dem richtigen Weg." schlussfolgert Tomlinson.
ESET bietet eine hilfreiche DSGVO-Service-Seite, auf der sich viele interessante Informationen zur Datenschutzgrundverordnung befinden – am 25.5.2018 tritt sie in Kraft.