Datensicherheit: Ein großer Fallstrick bei der Einhaltung der GDPR

Datenschutzverletzungen lösen häufig behördliche Ermittlungen und mediale Aufmerksamkeit aus, was die Datensicherheit zu einem der größten Fallstricke für Unternehmen macht, wenn es um die Einhaltung der DSGVO geht. In diesem Artikel werden wir strategische Ansätze zur Risikominderung bei der Datensicherheit erläutern. Ein weiterer Aspekt ist die Meldepflicht von Unternehmen bei Datenschutzverletzungen, auf die wir ebenfalls kurz eingehen werden.

Im Juli 2019 entschied das britische Information Commissioner's Office (ICO) über zwei Meilenstein-Fälle zur Durchsetzung der EU-Datenschutzgrundverordnung (GDPR). British Airways war Opfer eines Hackerangriffs, bei dem Adress- und Kreditkartendaten von 380.000 Kunden offengelegt wurden, und wurde zu einer Geldstrafe von 183 Mio. Britische Pfund für die Nichteinhaltung der GDPR-Standards für Datensicherheit.

Etwa zur gleichen Zeit erhielt das Mariott Hotel eine Strafe in Höhe von 100 Mio. Britischen Pfund. Britische Pfund, weil es eine Sicherheitslücke nicht geschlossen hatte, die zur unbefugten Offenlegung von Informationen über etwa 30 Millionen EU-Kunden führte. Das Kundenbindungsprogramm von Mastercard wird wahrscheinlich folgen, da vor kurzem ein massives Datenleck bekannt wurde. Aber auch kleine und mittelständische Unternehmen waren von Sicherheitsvorfällen betroffen und wurden mit Bußgeldern belegt: Allein in Deutschland liegen die Beträge zwischen 20.000 und 80.000 Euro.

Noch schlimmer als die Bußgelder ist vermutlich der Reputationsschaden. Datenschutzverletzungen werden in den europäischen Medien immer häufiger thematisiert, was zu einer massiven Schwächung des Kundenvertrauens führt. Stellen wir uns die Frage: Würden Sie sich für die Erstellung von Kundenprofilen durch eine Marke entscheiden, die gerade wegen der Speicherung unverschlüsselter Kreditkartendaten in den Nachrichten war?

Datenschutzverletzungen lösen häufig behördliche Ermittlungen und mediale Aufmerksamkeit aus, was die Datensicherheit zu einem der größten Fallstricke für Unternehmen macht, wenn es um die Einhaltung der DSGVO geht. In diesem Artikel werden wir strategische Ansätze zur Risikominderung bei der Datensicherheit erläutern. Ein weiterer Aspekt ist die Meldepflicht von Unternehmen bei Datenschutzverletzungen, auf die wir ebenfalls kurz eingehen werden.

Inwiefern ist die Datensicherheit eine gesetzliche Anforderung?

Die Datenschutz-Grundverordnung legt Anforderungen an die Datensicherheit fest. Sie schreibt keine konkreten Maßnahmen vor, sondern definiert lediglich ein risikoadäquates Datensicherheitsniveau als Zielvorgabe, das im Einzelfall unter Berücksichtigung des Stands der Technik, der Kosten der Umsetzung und der Art, des Umfangs, des Kontexts und der Zwecke der Datenverarbeitung sowie des Risikos einer unterschiedlichen Wahrscheinlichkeit und Schwere von Sicherheitsvorfällen zu bestimmen ist.

Die GDPR nennt eine Reihe von Zielen für die Datensicherheit:

• Pseudonymisierung und Verschlüsselung der Daten
• Vertraulichkeit, Integrität und Widerstandsfähigkeit von IT-Systemen und -Diensten
• Verfügbarkeit von Daten und die Fähigkeit, Daten nach einem Vorfall zeitnah wiederherzustellen
• Regelmäßige Bewertung und Aktualisierung der technischen und organisatorischen Maßnahmen zur Datensicherheit

Führungskräfte wie CTOs empfinden diesen regulatorischen Ansatz oft als unbefriedigend unscharf, insbesondere wenn man bedenkt, dass die Nichteinhaltung mit Geldstrafen von bis zu 10 Mio. EUR oder 2% des Jahresumsatzes sanktioniert werden kann. EUR oder 2 % des Jahresumsatzes bestraft werden können, je nachdem, welcher Betrag höher ist. Es scheint, dass die Frage, ob das Unternehmen die Datensicherheitsstandards einhält, eindeutig nur negativ beantwortet werden kann - und zwar in dem Moment, in dem Sie den Bußgeldbescheid erhalten. Um Unternehmen vor diesem Risiko zu bewahren, sieht die Datenschutz-Grundverordnung bestimmte Audits vor, die beim Nachweis der Einhaltung von Datensicherheitsstandards zu berücksichtigen sind.

Was können wir tun, um diese Anforderungen zu erfüllen?

Voraussichtlich: Europäisches Datenschutzsiegel

Im Rahmen der Datenschutz-Grundverordnung ist es möglich, bestimmte offizielle Datenschutzsiegel und -zeichen zu beantragen, die Aspekte der technischen Datensicherheit abdecken und positive rechtliche Auswirkungen für die zertifizierten Unternehmen haben, z. B. als Nachweis für die Einhaltung der Datensicherheit und als Faktor für die Festlegung der Höhe von Geldbußen.

Aktueller Stand: Die Zertifizierung der Zertifizierungsstellen ist im Gange. Es ist also eine Hilfe auf dem Weg, die den Unternehmen einen besseren Umgang mit Risiken ermöglicht. Allerdings wird es wohl noch einige Zeit dauern, bis sich ein Markt für Zertifizierungen etabliert hat, der auch für internationale und Nicht-EU-Unternehmen zugänglich ist.

Derzeit: Industriell anerkannte Audits

Der beste Weg zur Risikominderung ist derzeit die Einführung eines wirksamen Datensicherheitsmanagements und die Beantragung von marktüblichen IT-Sicherheitssiegeln wie ISO/IEC 27001 und 27002. Die ISO hat kürzlich eine Erweiterung (ISO/IEC 27701) herausgegeben, die auch organisatorische Aspekte des Datenschutzmanagements abdeckt. Unabhängige Audits und Zertifizierungen sind ein gutes Mittel, um die Einhaltung der Vorschriften in zweifacher Hinsicht zu dokumentieren: intern, da die Dokumentation der Einhaltung der Datenschutzgrundverordnung selbst eine Verpflichtung darstellt, und extern, als Verkaufsargument für den datenschutzsensiblen Markt in der Europäischen Union.

Externe Audits sind eine Frage der Kosten und belasten immer auch die internen Ressourcen. Da die ISO-Normen jedoch die Sicherheitsziele der DSGVO widerspiegeln, werden Unternehmen langfristig davon profitieren, dass sie weniger Aufwand haben, sich an offiziell anerkannte Datenschutzsiegel anzupassen, sobald diese eingeführt sind.

Eine weitere Möglichkeit, die Einhaltung der Vorschriften zu verbessern, ist die Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO), die manchmal verpflichtend ist, aber auf jeden Fall freiwillig durchgeführt werden kann. Sie kann dazu beitragen, Bedrohungen im spezifischen Kontext der Verarbeitung zu ermitteln und geeignete Maßnahmen zur Risikominderung zu finden. Sie kann jedoch keine Audits ersetzen, da sie sich nur auf bestimmte Tätigkeiten und nicht auf die allgemeine Datensicherheit bezieht. Andererseits ist sie breiter angelegt, da sie nicht nur technische und organisatorische Aspekte abdeckt, sondern auch andere Aspekte der Einhaltung der DSGVO in Bezug auf bestimmte Verarbeitungsvorgänge.

Wie sollten wir mit Sicherheitsvorfällen und Datenschutzverletzungen umgehen?

Nach der Datenschutz-Grundverordnung müssen für die Verarbeitung Verantwortliche Datenschutzverletzungen in der Regel innerhalb von 72 Stunden an die zuständigen Aufsichtsbehörden und unter weiteren Bedingungen an die betroffenen Kunden melden. Eine Datenschutzverletzung" bedeutet nicht nur unbefugtes Eindringen durch externe Angreifer, sondern umfasst auch die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Änderung, die unbefugte Weitergabe von oder den unbefugten Zugriff auf personenbezogene Daten, z. B.:

• Hacker verschaffen sich Zugang zu Datenbanken mit Benutzerinformationen und verändern die Daten
• Ein Mitarbeiter der Personalabteilung missbraucht persönliche Informationen über seine Kollegen für private Zwecke
• Ein Mitarbeiter verliert versehentlich einen Datenträger oder Laptop mit Zugang zu Kundendaten

Die Unternehmen sollten über Verfahren verfügen, die eine rechtzeitige Erstellung, Überprüfung und Übermittlung solcher Meldungen gewährleisten. Ausführlichere Informationen über die Bedingungen und den Inhalt von Meldungen über Verletzungen des Schutzes personenbezogener Daten finden Sie in den entsprechenden Leitlinien des Europäischen Datenschutzausschusses, einer offiziellen EU-Einrichtung für Datenschutzfragen.

Die Folgen: die Wahl der richtigen Strategie

Wenn Ihr Unternehmen von schwerwiegenden Datenschutzverletzungen erfährt, sollten Sie sich auf ein sofortiges Krisenmanagement vorbereiten: obligatorische Meldung an die Aufsichtsbehörden, Formulierungen für die Öffentlichkeitsarbeit, Benachrichtigung von Rechtsberatern zur Durchführung von Ermittlungen und möglicherweise individuelle Schadensersatzforderungen.

Bei der Wahl der richtigen Strategie für den Umgang mit der Datenschutzaufsicht nach der Meldung der Datenschutzverletzung sollten viele Faktoren berücksichtigt werden:

• Die Bereitschaft zur Zusammenarbeit muss von den Aufsichtsbehörden bei der Entscheidung über die Verhängung eines Bußgeldes und bei der Festlegung der Höhe der Geldbußen berücksichtigt werden.
• Unternehmen sind gesetzlich verpflichtet, mit den Behörden zu kooperieren (Art. 31 DSGVO), auch wenn der Umfang dieser Verpflichtung durch das Recht des Unternehmens auf Selbstbezichtigung begrenzt sein kann.
• Ein kooperativer Ansatz hilft bei der Krisenkommunikation und der Wiederherstellung des Kundenvertrauens.
• Wie die in der Einleitung aufgeführten Beispiele zeigen, wird eine enge Zusammenarbeit die Behörden nicht immer davon abhalten, hohe Geldstrafen zu verhängen, sondern kann stattdessen zur Aufdeckung weiterer Sicherheitslücken beitragen.

Zusammenfassend lässt sich sagen, dass es keine Einheitsstrategie für den Umgang mit Datenschutzverletzungen und Sicherheitsvorfällen gibt. Unternehmen sollten ihre individuelle Strategie finden, die von der Schwere des Verstoßes, der Stabilität der Beziehungen zu den Kunden und den Ressourcen für langfristige Rechtsstreitigkeiten abhängt.