Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Freitag, Juni 7, 2019 13:38 - noch keine Kommentare
Ein Jahr DS-GVO: Viel Lärm um nichts?
Die nächste Herausfordrung ist das „Gesetzes zum Schutz von Geschäftsgeheimnissen“ (GeschGehG), das Ende April in deutsches Recht umgesetzt wurde.
Ein Beitrag von unserem Gastautor Matthias Kess, CTO der Cryptshare AG
[datensicherheit.de, 07.06.2019] Vor einem Jahr trat die Europäische Datenschutz-Grundverordnung endgültig in Kraft. Ein Ende der Zeitenrechnung fand am 25. Mai 2018 allerdings genauso wenig statt wie am 31. Dezember 1999 oder dem 21. Dezember 2012. Es ist meiner Meinung nach aber durchaus angebracht, von einer echten Zeitenwende zu sprechen. Denn die DS-GVO wird tatsächlich „gelebt“ und hat zu einer breiten Sensibilisierung in Sachen Datenschutz geführt. „Viel Lärm um Nichts“ also? Oder doch eher „Ende gut, alles gut“? In Wahrheit ist es weder das Eine noch das Andere – wir haben in dieser „Unendlichen Geschichte“ schlichtweg unser Ziel noch nicht erreicht. Das nächste Kapitel wird gerade aufgeschlagen – in Form des „Gesetzes zum Schutz von Geschäftsgeheimnissen“ (GeschGehG), das Ende April in deutsches Recht umgesetzt wurde.
DSGVO ist richtungsweisend
Eines haben die vielen Gespräche, die meine Kollegen und ich in den vergangenen Monaten geführt haben, ganz deutlich gezeigt: Die DS-GVO ist richtungsweisend, sie wird in Unternehmen gelebt – und sie hat, selbst bei Privatanwendern, zu einer enormen Sensibilisierung in Sachen Datenschutz geführt. Ähnlich wie beim Jahr-2000-Problem oder dem durch den Maya-Kalender vermeintlich prognostizierten Weltuntergang 2012 fand vor einem Jahr kein Ende der Zeitenrechnung statt.
Zwar war offensichtlich, dass Unternehmen nicht sofort belangt werden würden – wer seit dem Stichtag den Aufsichtsbehörden aber nicht belegen kann, zumindest an einer den Anforderungen entsprechenden Anpassung seiner Prozesse und Tools zu arbeiten, der handelt(e) grob fahrlässig und muss zu Recht mit Strafen rechnen. Auch nach der ersten großen Welle, kurz vor Inkrafttreten der DS-GVO (die beispielsweise dazu führte, dass wir eine spezielle Lösung für kleine Firmen mit bis zu 25 Mitarbeitern auf den Markt brachten), registrieren wir nach wie vor zahlreiche Anfragen aus den unterschiedlichsten Branchen, beispielsweise dem Gesundheitssektor mit seinen besonders sensiblen Patientendaten. Neben der Übertragung großer Datenmengen und dem Schutz vor Spionage fällt ein Stichwort dabei immer häufiger: Compliance.
Fortsetzung folgt: Handlungsdruck nimmt zu
Unternehmen sind nach wie vor in ganz unterschiedlichem Maße gewappnet. Während die Einen lieber einmal zu oft nachfragen, haben die Anderen entsprechende Maßnahmen zeit- und budgettechnisch noch immer nicht eingeplant. Das liegt daran, dass Behörden in der DACH-Region zurückhaltender agiert haben. Und genau das wird sich nun ändern, der Handlungsdruck nimmt zu. Nach dem Stichtag waren Behörden eher in beratender Funktion aktiv und boten bei Anfragen eine „stützende Schulter“, viele Datenschutzbeauftragten verhielten sich – auch wegen Personalmangels – eher reaktiv. Nun werden sie die Unterstützung bei Beratungsanfragen immer stärker zugunsten von Sanktionen zurücknehmen.
Was ohnehin nicht heißt, dass bisher alles ruhig geblieben wäre: Im Juli 2018 stahlen Cyber-Kriminelle Passwörter, E-Mail-Adressen und Pseudonyme von über 300.000 verifizierten Nutzern bei einem Chat-Portal und veröffentlichten die Daten im Internet. Für die Betroffenen war die Datenpanne sehr ärgerlich, dem deutschen Anbieter kam sie teuer zu stehen. Er erhielt als erstes Unternehmen eine Strafe nach der Datenschutz-Grundverordnung und musste ein Bußgeld in Höhe von 20.000 Euro zahlen. Er hatte die Daten seiner Kunden nicht verschlüsselt, sondern im Klartext gespeichert.
Matthias Kess, CTO der Cryptshare AG
Umfrage: Viele Unternehmen hatten bereits Probleme mit der Datensicherheit
Einer aktuellen repräsentativen Forsa-Befragung im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zufolge hatten viele deutsche Unternehmen bereits Probleme mit der Datensicherheit, jeder 25. Mittelständler meldete eine Datenpanne. Wie teuer ein Verstoß werden kann, zeigen die Rekordstrafen in Portugal und vor allem Frankreich, wo die Datenschutzaufsicht ein Bußgeld von 50 Millionen Euro gegen den US-Konzern Google verhängte.
Nebeneffekt der verschärften Datenschutz-Vorschriften: Die Nachfrage nach Cyber-Versicherungen gegen Internetkriminalität steigt. Diese Versicherungen können übrigens eine gute Sache sein, wenn noch einige Ergänzungen folgen und wenn Unternehmen die IT-Security dadurch nicht auf die leichte Schulter nehmen. Daher sollten sich die Beitragshöhen an verschiedenen Sicherheitsstandards orientieren: Wie bei Zahnversicherungen, die bei regelmäßiger Prophylaxe günstiger werden. Und nur wenn anerkannte Tools – wie beispielsweise für die von der DS-GVO geforderte E-Mail-Verschlüsselung – eingesetzt werden, kann der Vertrag zustande kommen.
Unendliche Geschichte: Vom Schreckgespenst zum Exportschlager
Parallel zeigt sich: Der Datenschutz nach Vorbild der europäischen Verordnung wird zum „Exportschlager“. Politik und Unternehmen in den USA sind aufmerksam geworden und suchen nach konkreten Lösungen. Ende des vergangenen Jahres hatte Apple-CEO Tim Cook die Verordnung ausdrücklich als Basis für einen weltumspannenden Datenschutz gelobt, vor Kurzem forderte Facebook-Chef Mark Zuckerberg weltweite Internet-Regulierung nach ihrem Vorbild.
Noch gibt es ein vergleichbares Gesetz auf dortiger Bundesebene nicht. Doch mit Kalifornien und Vermont haben die ersten Bundesstaaten neue Datenschutzgesetze nach europäischem Vorbild erlassen. Der „California Consumer Privacy Act“ soll 2020 in Kraft treten, im Zentrum steht der Schutz der Verbraucher beim Umgang mit personenbezogenen Informationen. Das Besondere am CCPA ist, dass er von einer Bürgerinitiative ausging – deutlicher kann ein Signal für das Bürgerinteresse an einem funktionierenden Datenschutzsystem nicht sein.
Ich bleibe dabei: Die Bundesebene in den USA muss und wird nachziehen – und das wird die IT-Branche und ihre Kunden weltweit nachhaltig beeinflussen. Fortsetzung folgt…
Das nächste Kapitel wird gerade aufgeschlagen – in Form des „Gesetzes zum Schutz von Geschäftsgeheimnissen“. Es sollte 2018 im Schatten der DS-GVO ebenfalls umgesetzt werden und trat nun mit Verzögerung Ende April in Kraft. Unternehmen, die bei der Umsetzung der DS-GVO-Anforderungen gründlich gearbeitet haben, haben hierfür wertvolle Vorarbeit geleistet. Wer Geschäftsgeheimnisse rechtlich schützen will, muss nachweisen, dass er Geheimhaltungsmaßnahmen getroffen hat – wie die Verschlüsselung von E-Mails.
Weitere Informationen zum Thema:
datensicherheit.de, 21.11.2018
Angriffe auf Krankenhäuser über E-Mails: Problem ist Teil der Lösung
datensicherheit.de, 03.06.2019
Unternehmen und DSGVO: Mangelndes Wissen und viel zusätzliche Arbeit
datensicherheit.de, 27.05.2019
DSGVO-Jahrestag: Viele Unternehmen tun sich immer noch schwer
datensicherheit.de, 25.05.2019
IT: Risiko trotz DSGVO in Deutschland weiterhin hoch
datensicherheit.de, 21.05.2019
Papier: Datenschutz gilt auch für analoge Daten
datensicherheit.de, 20.05.2019
DSGVO brachte mehr Datenhygiene und auch Bürokratie
datensicherheit.de, 21.04.2019
Studie: DSGVO mangelhaft umgesetzt
datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet
datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten
datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen
datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen
datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance
Aktuelles, Experten - Nov 28, 2024 19:24 - noch keine Kommentare
Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
weitere Beiträge in Experten
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
- Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
Aktuelles, Branche - Nov 28, 2024 19:24 - noch keine Kommentare
Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
weitere Beiträge in Branche
- IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
- Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit
- Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren