Die neue Datenschutzgrundverordnung (DSGVO), die ab Mai 2018 umgesetzt werden muss, lässt Entscheider in einigen Punkten im Regen stehen. Was heißt zum Beispiel die Formulierung, personenbezogene Daten müssten "nach dem Stand der Technik" geschützt werden, genau? Ein Webcast der Computerwoche klärt diese und weitere Fragen.
Die neue Datenschutzgrundverordnung (DSGVO), die ab Mai 2018 umgesetzt werden muss, lässt Entscheider in einigen Punkten im Regen stehen. Was heißt zum Beispiel die Formulierung, personenbezogene Daten müssten "nach dem Stand der Technik" geschützt werden, genau? Ein Webcast der Computerwoche klärt diese und weitere Fragen.
Gerhard Giese, Manager Enterprise Security Architects EMEA bei Akamai Technologies, und die Rechtsanwältin Dr. Anna Schmits bieten einen Überblick der Maßnahmen, die Entscheider jetzt angehen müssen. Dabei geht es auch um Best Practices für die technischen Umsetzung der DSGVO-Anforderungen für Web-Anwendungen. Fachjournalist Arne Arnold moderiert den Webcast.
Strafen von 20 Millionen Euro statt 300.000
Anna Smits spricht aus Erfahrung: Sie ist dafür verantwortlich, Akamai DSGVO-konform zu machen. "Ist Akamai schon ready?", will Arnold denn auch von ihr wissen. Die Juristin lacht: " Noch sind wir auf dem besten Weg!" Doch Smits weiß um die Dringlichkeit des Themas. Verstöße werden ab Mai 2018 mit einem Bußgeld in Höhe von vier Prozent des Jahresumsatz geahndet oder mit 20 Millionen Euro. Zum Vergleich: Bisher waren es maximal 300.000 Euro.
Die Juristin sieht zwei Ideen hinter der Datenschutznovelle. "Zum einen werden die Rechte der Verbraucher gestärkt", erklärt sie. Das beinhaltet das Recht auf Zugang zu den Daten ebenso wie auf Herausgabe und auf Löschung. "Zum anderen geht es darum, die Unternehmen wirklich zur Rechenschaft zu ziehen", ergänzt sie. Bei der Gelegenheit räumt die Juristin mit einem Irrtum auf: "Die Bußgelder gibt es nicht, weil Daten geklaut wurden. Sondern, weil das Unternehmen sich nicht richtig geschützt hat!"
Doch der Webcast soll nicht zur Jura-Vorlesung werden und so startet Moderator Arnold eine Ad-hoc-Umfrage unter den Zuschauern. Er fragt, inwieweit ihnen die Anforderungen zum Schutz von personenbezogenen Daten klar sind. Ergebnis: Gut jeder Zweite (52 Prozent) sagt, bei "einigen" Daten sei man unsicher, ob diese als personenbezogen gelten. Weitere 23 Prozent sind in dieser Frage sogar "bei den meisten Daten" unsicher. Lediglich zwölf Prozent der Webcast-Nutzer fühlen sich vollkommen sicher.
Personenbezogen ist alles, was Personen identifizierbar macht
Was heißt das nun konkret? Smists rät, ein Team zu bilden. Darin sollte die Geschäftsführung sitzen, die IT, Vertreter der Entwicklungsabteilung und der Rechtsabteilung - die genaue Zusammensetzung hängt immer vom Einzelfall ab. Auf jeden Fall muss dieses Team folgende Fragen untersuchen: Was haben wir für Daten, wie prozessieren wir die, zu welchen Zwecken verarbeiten wir die, welche Sicherheitsmaßnahmen ergreifen wir, wo findet die Verarbeitung der Daten statt, in der EU oder außerhalb?
Als personenbezogene Daten gilt nach der Datenschutznovelle "alles, was Personen identifizierbar macht", wie Smits sagt. Die EU verlangt nun, diese durch "angemessene technische Maßnahmen" zu schützen. "Auch das ist sehr einzelfallabhängig", weiß die Juristin. Entscheider müssen ihre technischen und organisatorischen Maßnahmen unter die Lupe nehmen. Die Verordnung spricht von Verschlüsselung, Pseudonymisierung und Anonymisierung. Akamai-Manager Giese betont: "Was heute Stand der Technik ist, ist es morgen schon nicht mehr!"
Wer als Unternehmer unsicher ist, kann sich notfalls mit der Datenschutzbehörde zusammensetzen. "Wer mit der Behörde spricht, zeigt, dass er bereit ist, sich zu ändern", so Giese.
Ein technologischer Knackpunkt sind etwa Public APIs. "Mit offenen Schnittstellen exponiert man sich natürlich", warnt Giese. Hier gibt es seiner Erfahrung nach oft Programmierschwächen, die ausnutzbar sind.
Nur gut jeder Zehnte hält seine Daten für sicher
Moderator Arnold will nochmals die Zuschauer zu Wort kommen lassen. "Wie sicher sind Ihre Daten?", fragt er ganz direkt. Fazit: nur knapp jeder Fünfte (19 Prozent) hält sie für sicher genug im Sinne der DSGVO. Eine relative Mehrheit von 33 Prozent betrachtet die Daten als "sicher genug für unsere Ansprüche". 17 Prozent räumen ein, die Daten seien nicht sicher und nur eine Minderheit von elf Prozent hält sie für sicher.
Giese beschließt den Webcast mit einen Appell: "Nehmen Sie die DSGVO als Hebel, zum Management zu gehen und zu sagen, hier muss etwas passieren!" Da klinkt sich noch ein Zuschauer in das Expertengespräch ein. Sein Hinweis: "Vergessen Sie nicht, dass Betroffene auch noch Schadensersatz geltend machen können!"