Dienstag, Oktober 8, 2024
spot_img
StartAktuellEin Jahr DS-GVO: Viel Lärm um nichts?

Ein Jahr DS-GVO: Viel Lärm um nichts?

Freiburg im Breisgau (btn/Kommentar von Matthias Kess, CTO der Cryptshare AG) – Ein Blick zurück und nach vorne: vor einem Jahr trat die Europäische Datenschutz-Grundverordnung endgültig in Kraft. Ein Ende der Zeitenrechnung fand am 25. Mai 2018 allerdings genauso wenig statt wie am 31. Dezember 1999 oder dem 21. Dezember 2012.

E-Mail-Schutz-Klassifizierung, Schaltfläche in Outlook. (Bild von Cryptshare)

Es ist meiner Meinung nach aber durchaus angebracht, von einer echten Zeitenwende zu sprechen. Denn die DS-GVO wird tatsächlich „gelebt“ und hat zu einer breiten Sensibilisierung in Sachen Datenschutz geführt. „Viel Lärm um Nichts“ also? Oder doch eher „Ende gut, alles gut“? In Wahrheit ist es weder das Eine noch das Andere – wir haben in dieser „Unendlichen Geschichte“ schlichtweg unser Ziel noch nicht erreicht. Das nächste Kapitel wird gerade aufgeschlagen – in Form des „Gesetzes zum Schutz von Geschäftsgeheimnissen“ (GeschGehG), das Ende April in deutsches Recht umgesetzt wurde.

Eines haben die vielen Gespräche, die meine Kollegen und ich in den vergangenen Monaten geführt haben, ganz deutlich gezeigt: Die DS-GVO ist richtungsweisend, sie wird in Unternehmen gelebt – und sie hat, selbst bei Privatanwendern, zu einer enormen Sensibilisierung in Sachen Datenschutz geführt. Ähnlich wie beim Jahr-2000-Problem oder dem durch den Maya-Kalender vermeintlich prognostizierten Weltuntergang 2012 fand vor einem Jahr kein Ende der Zeitenrechnung statt.

Zwar war offensichtlich, dass Unternehmen nicht sofort belangt werden würden – wer seit dem Stichtag den Aufsichtsbehörden aber nicht belegen kann, zumindest an einer den Anforderungen entsprechenden Anpassung seiner Prozesse und Tools zu arbeiten, der handelt(e) grob fahrlässig und muss zu Recht mit Strafen rechnen. Auch nach der ersten großen Welle, kurz vor Inkrafttreten der DS-GVO (die beispielsweise dazu führte, dass wir eine spezielle Lösung für kleine Firmen mit bis zu 25 Mitarbeitern auf den Markt brachten), registrieren wir nach wie vor zahlreiche Anfragen aus den unterschiedlichsten Branchen, beispielsweise dem Gesundheitssektor mit seinen besonders sensiblen Patientendaten. Neben der Übertragung großer Datenmengen und dem Schutz vor Spionage fällt ein Stichwort dabei immer häufiger: Compliance.

Fortsetzung folgt: Handlungsdruck nimmt zu

Unternehmen sind nach wie vor in ganz unterschiedlichem Maße gewappnet. Während die Einen lieber einmal zu oft nachfragen, haben die Anderen entsprechende Maßnahmen zeit- und budgettechnisch noch immer nicht eingeplant. Das liegt daran, dass Behörden in der DACH-Region zurückhaltender agiert haben. Und genau das wird sich nun ändern, der Handlungsdruck nimmt zu. Nach dem Stichtag waren Behörden eher in beratender Funktion aktiv und boten bei Anfragen eine „stützende Schulter“, viele Datenschutzbeauftragten verhielten sich – auch wegen Personalmangels – eher reaktiv. Nun werden sie die Unterstützung bei Beratungsanfragen immer stärker zugunsten von Sanktionen zurücknehmen.
Was ohnehin nicht heißt, dass bisher alles ruhig geblieben wäre: Im Juli 2018 stahlen Cyber-Kriminelle Passwörter, E-Mail-Adressen und Pseudonyme von über 300.000 verifizierten Nutzern bei einem Chat-Portal und veröffentlichten die Daten im Internet. Für die Betroffenen war die Datenpanne sehr ärgerlich, dem deutschen Anbieter kam sie teuer zu stehen. Er erhielt als erstes Unternehmen eine Strafe nach der Datenschutz-Grundverordnung und musste ein Bußgeld in Höhe von 20.000 Euro zahlen. Er hatte die Daten seiner Kunden nicht verschlüsselt, sondern im Klartext gespeichert.

Einer aktuellen repräsentativen Forsa-Befragung im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zufolge hatten viele deutsche Unternehmen bereits Probleme mit der Datensicherheit, jeder 25. Mittelständler meldete eine Datenpanne. Wie teuer ein Verstoß werden kann, zeigen die Rekordstrafen in Portugal und vor allem Frankreich, wo die Datenschutzaufsicht ein Bußgeld von 50 Millionen Euro gegen den US-Konzern Google verhängte.

Nebeneffekt der verschärften Datenschutz-Vorschriften: Die Nachfrage nach Cyber-Versicherungen gegen Internetkriminalität steigt. Diese Versicherungen können übrigens eine gute Sache sein, wenn noch einige Ergänzungen folgen und wenn Unternehmen die IT-Security dadurch nicht auf die leichte Schulter nehmen. Daher sollten sich die Beitragshöhen an verschiedenen Sicherheitsstandards orientieren: Wie bei Zahnversicherungen, die bei regelmäßiger Prophylaxe günstiger werden. Und nur wenn anerkannte Tools – wie beispielsweise für die von der DS-GVO geforderte E-Mail-Verschlüsselung – eingesetzt werden, kann der Vertrag zustande kommen.

Unendliche Geschichte: Vom Schreckgespenst zum Exportschlager

Parallel zeigt sich: Der Datenschutz nach Vorbild der europäischen Verordnung wird zum „Exportschlager“. Politik und Unternehmen in den USA sind aufmerksam geworden und suchen nach konkreten Lösungen. Ende des vergangenen Jahres hatte Apple-CEO Tim Cook die Verordnung ausdrücklich als Basis für einen weltumspannenden Datenschutz gelobt, vor Kurzem forderte Facebook-Chef Mark Zuckerberg weltweite Internet-Regulierung nach ihrem Vorbild.

Noch gibt es ein vergleichbares Gesetz auf dortiger Bundesebene nicht. Doch mit Kalifornien und Vermont haben die ersten Bundesstaaten neue Datenschutzgesetze nach europäischem Vorbild erlassen. Der „California Consumer Privacy Act“ soll 2020 in Kraft treten, im Zentrum steht der Schutz der Verbraucher beim Umgang mit personenbezogenen Informationen. Das Besondere am CCPA ist, dass er von einer Bürgerinitiative ausging – deutlicher kann ein Signal für das Bürgerinteresse an einem funktionierenden Datenschutzsystem nicht sein.

Ich bleibe dabei: Die Bundesebene in den USA muss und wird nachziehen – und das wird die IT-Branche und ihre Kunden weltweit nachhaltig beeinflussen. Fortsetzung folgt…

Das nächste Kapitel wird gerade aufgeschlagen – in Form des „Gesetzes zum Schutz von Geschäftsgeheimnissen“. Es sollte 2018 im Schatten der DS-GVO ebenfalls umgesetzt werden und trat nun mit Verzögerung Ende April in Kraft. Unternehmen, die bei der Umsetzung der DS-GVO-Anforderungen gründlich gearbeitet haben, haben hierfür wertvolle Vorarbeit geleistet. Wer Geschäftsgeheimnisse rechtlich schützen will, muss nachweisen, dass er Geheimhaltungsmaßnahmen getroffen hat – wie die Verschlüsselung von E-Mails.


CRY-Bild_KessMatthias_01
Matthias Kess, CTO der auf Kommunikationslösungen spezialisierten Cryptshare AG, mit einem Blick zurück und nach vorne. (Bild von Cryptshare)

Über Matthias Kess: Matthias Kess ist CTO der Cryptshare AG mit Sitz in Freiburg im Breisgau, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt.

Über Cryptshare: Die inhabergeführte Cryptshare AG widmet sich seit ihrer Gründung im Jahr 2000 der Entwicklung und dem Vertrieb von Softwarelösungen für Unternehmen. Hauptsitz und Entwicklungsstandort mit über 60 Mitarbeitern ist Freiburg im Breisgau. Vertriebsstandorte gibt es in Großbritannien sowie den Niederlanden, eine Tochtergesellschaft in den USA.  Im Mittelpunkt des Angebots steht Cryptshare, eine Kommunikationslösung für den sicheren Austausch von Informationen. Mit ihr lassen sich E-Mails und Dateien jeder Größe und Art ad hoc austauschen – einfach und sicher, nachvollziehbar und kostengünstig. Sie ist in mehr als 2.000 Unternehmen in über 30 Ländern bei rund 4 Millionen Anwendern im Einsatz. Cryptshare wurde bereits 2017 mit dem „Cybersecurity Excellence Award“ in der Kategorie „E-Mail Security“ ausgezeichnet. Weitere Informationen finden sich unter www.cryptshare.com oder im Blog.

 

Jens Breimaier
Jens Breimaier
Jens Breimaier kümmerte sich im Business.today Network um Redaktion und Business Development. Er hat über 20 Jahre Erfahrung im Publishing- und Mediabusiness, u.a. Burda, Verlagsgruppe Milchstraße und Vibrant Media: "Ich arbeite mit Brands, Agenturen, Startups und Publishern im Online-Business und unterstütze sie beim Wachstum ihres Geschäfts sowie beim Aufbau von Know-How und Netzwerken. Meine Erfahrung als Business Developer und im Publishing, sowie bei der Umsetzung von komplexen Aufgabenstellungen geben mir eine fachliche Basis und Kompetenz, die ich weiter geben möchte."
zugehörige Artikel

TOP ARTIKEL