Frama Communications Blog

Strafen wegen Datenschutzverletzungen vermeiden durch nachweisliche Compliance

Am 25. Mai 2018 tritt die wichtigste Änderung des Datenschutzes der letzten 20 Jahre in Kraft: die Datenschutz-Grundverordnung (DSGVO). Die neue Verordnung, die im April 2016 beschlossen wurde, ersetzt die derzeitige Datenschutzrichtlinie aus dem Jahr 1995 und wird den Datenschutz deutlich verstärken. Sie verfolgt das Ziel, den Bürgern Europas die Kontrolle über ihre persönlichen Daten zu geben, indem die regulatorischen Rahmenbedingungen für internationale Geschäftstätigkeiten vereinfacht werden.

Für Unternehmen hat das beträchtliche Auswirkungen: Im Gegensatz zu früheren Datenschutzgesetzen in Europa oder anderswo ermächtigt die DSGVO Regierungen, strenge Bussgelder in Höhe von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes zu verhängen (je nachdem, welcher Wert der höhere ist). Und anders als die vorherige Datenschutzrichtlinie gilt die DSGVO auch für Unternehmen, die ihren Sitz ausserhalb der Europäischen Union haben, sich mit ihren Angeboten aber an EU-Bürger wenden.

Somit ist die DSGVO die bislang strengste und umfassendste Datenschutzregelung. Auf die betroffenen Unternehmen wartet ein beachtlicher zeitlicher und finanzieller Aufwand, um die Einhaltung der neuen Anforderungen sicherzustellen. Laut einer Umfrage sind nur 9 % aller KMU auf die neue Verordnung vorbereitet, und 23 % gaben an, dass sie keine entsprechenden Pläne ausgearbeitet haben - obwohl sie die finanziellen Konsequenzen im Falle der Nichteinhaltung kennen.

Im Folgenden finden Sie einige grundlegende Fragen, die sich jedes Unternehmen im Hinblick auf die Einhaltung der DSGVO stellen sollte.


Welche Daten erfasst Ihr Unternehmen?

Die DSGVO unterteilt die Pflichten der Verantwortlichen und der Auftragsverarbeiter, wobei der Verantwortliche nur Auftragsverarbeiter einsetzen darf, „die hinreichend Garantien dafür bieten, dass sie geeignete technische und organisatorische Massnahmen“ für einen ausreichenden Datenschutz umsetzen. Für viele Unternehmen werden die Schwierigkeiten bereits damit anfangen, den Auftragsverarbeiter zur Einhaltung der DSGVO zu verpflichten, denn sie selbst wissen nicht, welche personenbezogenen Daten erfasst werden und wer an der Erfassung beteiligt ist. Angemessen sind eine sorgfältige Analyse des Geschäftsprozesses sowie eine detaillierte Bestandsaufnahme der auf den verschiedensten Datenträgern (z. B. Server, Notebooks, DVD- und CD-ROMs, USB-Sticks usw.) gespeicherten Daten und aller Cloud-Lösungen, die vom Unternehmen und seinen Angestellten genutzt werden. Darüber hinaus sollten Gespräche mit denjenigen geführt werden, die für die Bearbeitung der Daten verantwortlich sind. Bei diesen Gesprächen sollte es darum gehen, wofür die Daten verwendet werden, wie und wo sie erfasst und gespeichert werden und ob die Erhebung dieser Daten wirklich erforderlich ist.


Wie sichern Organisationen diese Daten?

Die DSGVO fordert, dass Daten in einer Weise verarbeitet werden, die eine angemessene Datensicherheit gewährleistet, einschliesslich „Schutz vor unbefugter oder unrechtmässiger Verarbeitung und vor unbeabsichtigtem Verlust und Zerstörung der Daten“.

Bei ihrem Bemühen, dieses Sicherheitsniveau zu erreichen, werden die meisten Unternehmen feststellen, dass sie gar nicht wissen, wer Zugang zu sensiblen Daten hat. Cyber-Risiken sind allgegenwärtig und Datenschutzverletzungen regelmässig in den Schlagzeilen - fraglos ist der Schutz der persönlichen Daten von Kunden in diesem Kontext von höchster Bedeutung. In den meisten Unternehmen gelten Richtlinien, die bestimmen, wie Daten geschützt werden sollen. Doch es ist eine Sache, über festgelegte Richtlinien zu verfügen, und eine ganz andere dafür zu sorgen, dass sie auch eingehalten werden.


Welche Reaktionssysteme werden im Falle einer Verletzung ausgelöst?

Eine Verletzung des Schutzes personenbezogener Daten muss laut DSGVO innerhalb von 72 Stunden, nachdem sie bekannt geworden ist, der Aufsichtsbehörde und allen betroffenen Personen gemeldet werden.

Diese Bedingung könnte manchen Unternehmen Probleme bereiten, weil sie über kein System verfügen, das a) genau weiss, wer die betroffenen Parteien sind, und b) dazu in der Lage ist, diese Parteien in so kurzer Zeit zu benachrichtigen.


Kann das Unternehmen die DSGVO-Compliance nachweisen?

Können Unternehmen die Einleitung von Massnahmen zur Einhaltung der neuen Verordnung nicht nachweisen, müssen sie mit Strafen und einer Haftung aufgrund von Fahrlässigkeit rechnen. Nehmen wir an, dass ein Unternehmen Schritte zur Einhaltung der DSGVO einleitet, es dann jedoch zu einer Datenschutzverletzung kommt. Das Unternehmen kann anfällige Strafzahlungen vermeiden, wenn es mittels Berichterstattung und Dokumentation nachweisen kann, dass Massnahmen zur Einhaltung der neuen Anforderungen eingeleitet wurden. Hat ein Unternehmen entsprechende Schritte in die Wege geleitet, kann dies jedoch nicht nachweisen, so kann es haftbar gemacht werden, weil die Verordnung eine solche Nachweispflicht vorsieht. Für viele Unternehmen ist ein derartiger Compliance-Nachweis schwierig, selbst wenn die erforderlichen Schritte unternommen wurden. Möglicherweise wird kein System eingesetzt, mit dem die unzähligen Prozesse nachverfolgt werden können, die mit derart umfangreichen Regulierungen einhergehen. Oder es wird versucht, die Fortschritte zu dokumentieren, und es fehlt an einer Möglichkeit, die Dokumentation zu konsolidieren.


Der Schlüssel zur erfolgreichen DSGVO-Compliance

Umfrageergebnisse zeigen, dass weltweit 82 Prozent der Sicherheitsexperten in kleinen, mittleren und grossen Unternehmen von der DSGVO-Compliance betroffen sind. Obwohl die Mehrheit der weltweiten IT-Experten und Unternehmer Bedenken hinsichtlich der Compliance äussern, fehlt ein allgemeines Bewusstsein für die neue Verordnung. Sie sind weder jetzt darauf vorbereitet, noch gehen sie davon aus, zum Zeitpunkt des Inkrafttretens bereit zu sein. Von den Befragten aus Deutschland fühlten sich immerhin 44 % sehr gut auf die DSGVO vorbereitet, wohingegen sich 26 % der Befragten aus den Beneluxstaaten (Belgien, Luxemburg, Niederlande) am wenigsten vorbereitet fühlten. Mehr als 75 % der Befragten ausserhalb Europas erklärten, dass sie den Anforderungen nicht gerecht werden oder nicht wissen, ob sie ihnen gerecht werden. Hier kommen einige allgemeine Empfehlungen:

Benennen Sie einen Datenschutzbeauftragten (DSB). Für alle Unternehmen mit mehr als 10 Mitarbeitern sieht die DSGVO eine Pflicht zur Benennung eines Datenschutzbeauftragten vor - dies kann eine Vollzeitbeschäftigung sein oder ein Mitarbeiter, der zusätzlich einer anderen Tätigkeit nachgeht. Alternativ können Unternehmen auch einen externen Datenschutzbeauftragten bestellen.

Üben Sie Kontrolle über die Zugriffsverwaltung aus. Entsprechend der DSGVO dürfen Mitarbeiter und Zulieferer nur auf die für ihre Aufgaben erforderlichen Ressourcen zugreifen können.

Schützen Sie die Aussengrenzen Ihrer Infrastruktur und erleichtern Sie gleichzeitig einen sicheren mobilen Zugriff.

Legen Sie eine Richtlinie zur Datenverarbeitung fest, in der Sicherheit und angemessener Schutz eine Rolle spielen.

Dokumentieren Sie alle internen Methoden und Bestimmungen und fertigen Sie Nachweise für eventuelle Audits an.


Was bei E-Mail-Kommunikation und grossen Dateiübertragungen zu beachten ist

Während viele Unternehmen ihre Hardware und Zugriffskanäle in den vergangenen Jahren bereits abgesichert haben, wurde der Schutz von E-Mail-Kommunikation und Datenübertragung häufig vernachlässigt. Ein durchschnittlicher Mitarbeiter verschickt etwa 10-20 E-Mails pro Tag. Viele davon können sensible persönliche Daten enthalten, beispielsweise Informationen zu Religion, ethnischer Herkunft, politischer Orientierung, Gesundheit und Sonstigem. Mit einer patentierten Lösung zur E-Mail-Verschlüsselung mit Auto-TLS hilft das RMail Plug-In dabei, solche Datenschutzverletzungen während des E-Mail-Versands zu vermeiden. Darüber hinaus bietet das Plug-in eine durchgängige Verschlüsselung mit Passwortschutz und ermöglicht den sicheren Versand von grossen Dateien (bis zu 1 GB). Mit dieser Methode und dem modernen Verschlüsselungsverfahren erfüllen Sie die Anforderungen der DSGVO. Darüber hinaus erhalten Sie einen prüfbaren Nachweis mit allen geforderten Informationen über Sender und Empfänger, IP-Standorte und E-Mail-Routing, inklusive UTC-Zeitstempel. Mit ihrer einfachen Bedienung geniesst die RMail-Lösung eine hohe Akzeptanz beim Versender. Und weil der Empfänger all diese verschlüsselten Nachrichten erhalten kann, ohne sich registrieren, anmelden oder durch unzählige Hindernisse klicken zu müssen, ist höchste Empfängerakzeptanz ebenfalls garantiert. Es ist höchste Zeit, loszulegen...

Klicken Sie hier, um mehr über RMail zu erfahren.