Ab dem 25. Mai 2018 müssen Firmen, die in Europa geschäftlich tätig sind oder mit EU-Kunden Geschäfte machen, die neue Datenschutz-Grundverordnung einhalten. Die GDPR (General Data Protection Regulation) wird in allen europäischen Ländern Standard, denn da es sich um eine EU-Verordnung handelt, ist kein nationales Recht zur Implementierung erforderlich. Die Grundverordnung führt neue Haftungsverpflichtungen, stärkere Verbraucherrechte und Einschränkungen für internationale Datenflüsse ein. Bei Nichteinhaltung drohen Strafen in Höhe von 4 Prozent des weltweiten Gewinns oder von 20 Millionen Euro. Angesichts dieser möglichen Auswirkungen können sich Firmen aller Größen keine Datensicherheitsverletzungen mehr leisten. Entsprechend müssen Unternehmen ihre Prozesse bezüglich persönlicher Daten prüfen und die Verantwortung der Geschäftsführung erweitern.
Wie man Daten schützt
Um persönliche und unternehmensspezifische Daten zu verwalten, müssen Firmen zum einen die Daten klassifizieren und zum anderen den Datenfluss steuern, analysieren, kontextualisieren und überwachen. Allerdings wird es angesichts der Vielzahl an unterschiedlichen Geräten und der mobilen Nutzung immer schwieriger, die Daten, die ein Unternehmen schützen soll, zu überwachen und nachzuverfolgen. Daher muss ein Unternehmen seine Infrastruktur und seinen operativen Betrieb skalieren und absichern, damit keine Daten kompromittiert werden und es nicht gegen die Regelungen verstößt.
Auch Kundendaten, auf die von mobilen Geräten aus zugegriffen wird, sind zwingend zu schützen. Das gilt insbesondere, wenn es zu Datendiebstahl kommt und die Löschung der Daten von einem Remote-Gerät aus durchgeführt wird. Ebenso müssen Unternehmen, die Daten in der Cloud speichern, sicherstellen, dass sie die Kontrolle und Eigentümerschaft über diese zentralisierten Daten behalten. Zudem müssen sie sich um das Policy-Management kümmern und Verschlüsselungslösungen einführen, damit nur sie Zugang zu den relevanten Dateien haben.
Wer im Unternehmen für den Datenschutz verantwortlich ist
Die GDPR fordert, dass praktisch alle Unternehmen über einen Chief-Data-Protection-Officer, also einen Hauptverantwortlichen für Datenschutz, verfügen. In vielen Fällen müssen Unternehmen erst einen Spezialisten einstellen, der diesen wichtigen Geschäftsbereich übernimmt. Entscheider, die für Cloud und IT verantwortlich sind, können dafür zuverlässige und erfahrene Partner einbinden, die Transparenz in ihren Datenfluss, Skalierbarkeit und Rundum-Sicherheit bringen. Solch ein Partner muss Identitätsbedrohungen erkennen sowie Steuerelemente bereitstellen, die zur Reduzierung von Risiken notwendig sind. Außerdem sollte er Lösungen bieten, die Anwendungssicherheit für jede Infrastruktur gewährleisten – von herkömmlichen Rechenzentren bis zu Cloud-Umgebungen. Autorisierte Nutzer erhalten dann einen sicheren und zuverlässigen Zugang zu einem kontrollierten Bestand an Daten – und zwar auf jedem beliebigen Gerät, in jeder beliebigen Umgebung und jederzeit.
Wie GDPR zum Wettbewerbsvorteil wird
Verletzungen der Datensicherheit können schon heute das Geschäftsergebnis und den Ruf einer Marke erheblich beschädigen. Doch welche Daten befinden sich überhaupt in den Netzwerken der Unternehmen? Gerade die Daten, von deren Existenz Unternehmen nichts wissen, könnten Angriffen ausgesetzt sein. Die künftige Datenschutz-Grundverordnung der EU wird daher einen Meilenstein in der Datenverarbeitungspraxis darstellen. Sie ist nicht als teure und zeitverschlingende Praxis, sondern als Business-Enabler zu sehen, der den Unternehmen die Möglichkeit eröffnet, Geschäfte in neuen Märkten zu machen und sich durch Compliance und starke Sicherheitskontrollen von den Mitbewerbern abzuheben.
Wie ein risikobasierter Ansatz sensible Informationen schützt
Vertrauen war schon immer die Grundlage von Handelsbeziehungen, doch im Internet ist es besonders wichtig, da die Parteien möglicherweise nie direkten Kontakt miteinander haben. Die Einstellung „wenn der heutige Betrieb für mich sicher ist, ist er das auch für alle anderen“ greift heute nicht mehr. Denn Online-Aktivitäten, die von Cyberkriminellen ausgespäht werden, haben potenziell negative Auswirkungen auf andere Nutzer.
Die GDPR fordert daher einen risikobasierten Ansatz mit sicheren Prozessen und Kontrollen, um sensible Informationen zu schützen. Die Kompromittierung von Kundendaten hat Konsequenzen und die Nichteinhaltung der Regelungen führt zu schmerzhaften Strafzahlungen. Die Datenschutz-Verordnung sieht unter anderem vor, dass Unternehmen die Regulierungsbehörden über Datensicherheitsverletzungen informieren, und zwar innerhalb von 72 Stunden, nachdem ihnen die Verletzung bekannt wurde. Dies ist unabhängig davon, ob die Verletzung nur Mitarbeiter oder auch Kunden betrifft. Die Meldung muss außerdem umfassend sein und die Art der Datensicherheitsverletzung, die Anzahl der kompromittierten Datensätze, die Kontaktdaten des für die Daten verantwortlichen Leiters sowie die Maßnahmen umfassen, die das Unternehmen zum Beheben des Schadens plant.
GDPR als Chance begreifen
Manche Unternehmen fürchten, dass solche weiteren Regulierungen dem Geschäft schaden. Doch die GDPR gilt weithin als positiver Paradigmenwechsel beim Schutz kritischer Daten im EU-weiten Handel. Die Idee eines gemeinsamen europäischen Marktes für Cybersicherheit ist gut, denn damit sollen die bestehenden Lücken in den digitalen Geschäftsbereichen geschlossen werden. Innovative Sicherheitslösungen und Dienstleistungen können eine große Hilfe beim Schutz der Daten sein, die in geschäftskritischen Anwendungen stecken. Der Cybersicherheitsmarkt ist einer der am schnellsten wachsenden Bereiche in der Wirtschaft weltweit. Die EU geht hier voran und ist dabei, eine starke Kultur der Datensicherheit zu entwickeln und robuste Maßnahmen für Unternehmen zu implementieren, die die Regelungen nicht einhalten. Damit ist es für Unternehmen jetzt an der Zeit, ihre Daten in Ordnung zu bringen, nicht nur um die Anforderungen der GDPR zu erfüllen, sondern auch durch Vertrauen ihren künftigen Geschäftserfolg zu sichern. (mh)