In nicht einmal einem Jahr kommt die neue EU-Datenschutzgrundverordnung. Damit es dann kein böses Erwachen gibt, zeigt Julian Totzek-Hallhuber von Veracode im Folgenden die fünf größten Stolpersteine der Datenschutzgrundverordnung und gibt Tipps, was Unternehmen im Umgang mit Kundendaten besonders beachten sollten.
1. Kosten der Non-Compliance
Selbstverschuldete Datenschutzverletzungen können ab Mai 2018 richtig teuer werden. Die EU-Datenschutzgrundverordnung (DSGVO) sieht dafür Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor, je nachdem welcher Wert größer ist. Es lohnt also, sich frühzeitig mit der Einhaltung der Bestimmungen zu befassen.
2. Breitere Definition von personenbezogenen Daten
Die DSGVO definiert personenbezogene Daten, die geschützt werden müssen, wesentlich breiter und detaillierter als bisherige Regularien. Die neue Definition schließt jegliche Information ein, die verwendet werden können, um eine Person direkt oder indirekt zu identifizieren. Das kann alles sein, von einem Namen über Fotos, E-Mails, Adressen, Posts in sozialen Medien, medizinischen Informationen oder Bankdaten bis hin zur IP-Adresse eines Computers. Durch diese Ausweitung der Definition von schützenswerten Daten erweitert sich auch die Zahl der Anwendungen, die von der Datenschutzregelung betroffen sind.
3. Datenschutz durch Technikgestaltung
Die DSGVO beinhaltet die Forderung nach „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Für Entwickler bedeutet das, dass sie bei neuen Anwendungen die Datensicherheit von Anfang an im Auge behalten müssen. Anstatt erst während der Qualitätsanalyse die fertige Anwendung auf ihre Sicherheit zu überprüfen, müssen sie schon beim Entwurf und während des Programmierens einer Anwendung auf mögliche Datenschutz-Konfliktpunkte achten. Datenschutz durch Technikgestaltung bedeutet konkret, Bedrohungsmodelle durchzuspielen sowie ein sicheres Design anzuwenden, Entwicklern Best-Practice-Beispiele für sicheres Programmieren an die Hand zu geben und dafür zu sorgen, dass Sicherheitslücken im Code schon während des Schreibens bemerkt und behoben werden.
Wer sich diesen Herausforderungen nicht alleine stellen kann oder will, kann sich Hilfe von außen holen. Anbieter wie beispielsweise Veracode haben verschiedene Lösungen im Programm, die etwa Echtzeit-Scanning direkt in der IDE ermöglichen. Außerdem können Trainings für sicheres Programmieren gebucht werden.
4. Outsourcing von Datenverarbeitung
Werden Daten an einen Drittanbieter weitergegeben, wandert nicht automatisch auch die Verantwortung für den Datenschutz dorthin. Im Gegenteil: Das auftraggebende Unternehmen muss weiterhin sicherstellen, dass die Datennutzung im Einklang mit der DSGVO erfolgt und personenbezogene Daten stets geschützt bleiben. Die Verordnung empfiehlt eine starke Verschlüsselung zur Sicherung von personenbezogenen Daten. Außerdem sollen Firmen, die Daten weitergeben, darauf achten, dass die Abnehmer auch nach denselben Standards arbeiten.
Unternehmen können die Code-Qualität von proprietären Anwendungen externer Anbieter nicht überprüfen, sondern müssen sich auf das Verantwortungsbewusstsein der Partner verlassen. Wer auf Nummer Sicher gehen will, sollte externe Software einem zusätzlichen Security-Testing unterziehen. Auch die Zuverlässigkeit von Verschlüsselungen kann mit den richtigen Tools geprüft werden.
5. Verletzungen des Datenschutzes melden
Im Zuge der DSGVO wird es in allen unterzeichnenden Staaten zur Pflicht, Datenlecks zu melden, die zu einem Risiko für die Rechte und Freiheiten von Personen werden könnten. Das muss binnen 72 Stunden geschehen, nachdem der Datenverlust bekannt wurde. Auch Drittanbieter müssen ihre Kunden umgehend über abhandengekommene Daten informieren.
Fazit
Die DSGVO birgt für Unternehmen immense Herausforderungen. Mit dem richtigen Know-how und den richtigen Tools lassen sie sich aber bewältigen. Wer die genannten Stolpersteine im Blick behält und in die richtigen Tools investiert, der muss sich über die angedrohten Strafzahlungen keine Sorgen machen.
* * *
Über den Autor
Julian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode und bringt mehr als 15 Jahre Erfahrung im IT-Sicherheitsumfeld mit. In seinen verschiedenen Funktionen war er für die Anwendungsentwicklung, für Penetrationstests sowie für die Sicherheit von Webanwendungen zuständig. Zudem ist er Autor zahlreicher Artikel, ist regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten von www.webappsec.org (wie zum Beispiel WAFEC) mitgewirkt.
