Vor etwas über einem Jahr – die Schonfrist für die Umsetzung der Datenschutz-Grundverordnung (DSGVO) ging da gerade zur Neige – warnten Schlagzeilen vor Abmahnwellen und Bußgeldern in Millionenhöhe. In größerem Umfang kam es dazu in Deutschland aber nicht. Ist also eine negative Bilanz zu ziehen? Keineswegs, meint Kai Grunwitz, Senior Vice President EMEA bei NTT Security, im nachfolgenden Gastkommentar.

Seit rund einem Jahr gilt das neue Datenschutzrecht, die DSGVO, in sämtlichen EU-Mitgliedsstaaten. Die Meinungen dazu gehen nach wie vor weit auseinander: Sie reichen von Ernüchterung bis zu Begeisterung. Viele reduzieren jedoch Erfolg oder Misserfolg der DSGVO auf das Verhängen von Bußgeldern. Das komplexe und umfangreiche Thema verdient aber eine weit differenziertere Betrachtung.

Ganz allgemein ist bezüglich DSGVO-Umsetzung eine positive Bilanz zu ziehen. Die vielfach skizzierten Horrorszenarien in den Medien mit Blick auf Reputationsschäden und hohe Bußgeldstrafen haben dazu geführt, dass auf Unternehmensseite ein großer Handlungsdruck entstanden ist. Infolgedessen haben Unternehmen viele Datensicherheitsprogramme aufgesetzt und gestartet.

Der Schutz persönlicher Daten ist ein Grundpfeiler der Digitalisierung, das ist mittlerweile jedem klar, und auch die Unternehmen haben erkannt, dass Datenschutz „gesellschaftsfähig“ geworden und Datensicherheit ein „Bestseller“ ist. Die bisher reaktiv und operativ agierenden Wahrer der Gesetzeskonformität (Compliance) werden zu „Business-Enablern“. Ein Unternehmen muss alles tun, um Kundendaten gewissenhaft zu schützen und so das Vertrauen der Kunden nicht zu enttäuschen, anderenfalls drohen große Image- und finanzielle Schäden. Viele neue Sicherheitsprojekte machen dieses Umdenken deutlich.

Bisherige Projektschwerpunkte sind nach unserer Erfahrung die Ermittlung der schützenswerten Daten, die Datenklassifikation und vor allem die Analyse von Datenflüssen, um Transparenz zu schaffen. Das Problem bei vielen dieser Projekte, selbst in großen Unternehmen: Die Umsetzung von Maßnahmen im DSGVO-Umfeld ist in der Regel mit einem sehr hohen Aufwand verbunden, etwa hinsichtlich der Etablierung neuer Verfahren. Zudem fehlen den Unternehmen die dafür erforderlichen Ressourcen, sowohl hinsichtlich Manpower als auch in Bezug auf Expertise und Erfahrung.

Als Entschuldigung dürfen diese Gründe aber nicht dienen. Viele Unternehmen müssen nach wie vor deutlich mehr tun, und sie dürfen keineswegs auf halbem Wege stehen bleiben. Sie müssen aufgesetzte Programme und gestartete Projekte konsequent fortsetzen und Hindernissen wie fehlenden Ressourcen begenen, mit der Bereitstellung von Budgets für den Aufbau von eigenem Know-how ebenso wie per Zusammenarbeit mit externen Security- und GRC-Spezialisten (GRC: Governance, Risk, Compliance, d.Red.). Fehlende Budgets sind nach wie vor oft ein Hauptgrund für eine unzureichende DSGVO-Abdeckung.

Hinsichtlich des DSGVO-Umsetzungsgrades gibt es zwischen verschiedenen Unternehmen noch Unterschiede. Generell ist zu beobachten, dass Mitarbeiter oft zur in DSGVO-Konformität noch nicht ausreichend geschult sind. Auch die Implementierung durchgängiger Prozesse über mehrere Fachbereiche hinweg bedarf häufig noch der Optimierung. Das größte Manko aber besteht bei den meisten Unternehmen bei der Incident Response (Reaktion auf Vorfälle, d.Red.). Vielfach ist noch kein Incident-Response-Verfahren etabliert, das man bei einem erfolgreichen Cyberangriff abrufen kann, um die Schäden – inklusive eines Reputationsverlusts – zu minimieren.

Auch wenn viele Unternehmen inzwischen einen soliden DSGVO-konformen Stand erreicht haben: Es gilt zu beachten, dass die DSGVO-Einhaltung ein permanenter Prozess ist, alle Verfahren und die Effizienz der Maßnahmen sind regelmäßig zu überprüfen. Unternehmen sollten immer wieder Readiness-Checks und Gap-Analysen durchführen und kontinuierlich überwachen, ob ein risikoorientiertes Vorgehen durchgängig und flächendeckend eingehalten wird.

Dabei darf man die DSGVO nicht nur unter organisatorischen und Compliance-Gesichtspunkten betrachten, auch technische Aspekte sind zu berücksichtigen. Schließlich fordert die DSGVO Sicherheitsmaßnahmen, die dem Stand der Technik entsprechen. Das heißt, die Unternehmen müssen technische Weiterentwicklungen oder neue Standards berücksichtigen. Auch dafür müssen die notwendigen Budgets bereitstehen.

Kritiker bemängeln im Zusammenhang mit der DSGVO oft, dass die Behörden die Anwendung dieser Verordnung unzureichend überwachen und kaum Geldbußen verhängen. Dazu ist zunächst zu sagen, dass zwar eine externe Meldepflicht besteht, aber bei Weitem nicht alle Datenschutzvorfälle an die Öffentlichkeit gelangen. Der Europäische Datenschutzausschuss (EDSA) hat zuletzt berichtet, dass bisher fast 56 Millionen Euro an Bußgeldern verhängt wurden. Davon entfallen allerdings allein 50 Millionen Euro auf Google. Gegen diese Entscheidung der französischen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat Google nach eigenen Angaben inzwischen Berufung eingelegt.

Detaillierte Zahlen für Deutschland liegen nicht vor. In 14 von 16 Bundesländern sollen nach Aussagen der jeweiligen Datenschutzbeauftragten aber rund 75 Bußgelder in einer Gesamthöhe von etwa 450.000 Euro aufgelaufen sein.

Es gibt mehrere Gründe, dass weder eine Abmahnwelle noch eine Verhängung von Strafen eintrat, die über Einzelfälle hinausging. Zum einen waren die Unternehmen besser vorbereitet, als die allgemeine Einschätzung widerspiegelte, zum anderen sind die zuständigen Aufsichtsbehörden nach wie vor unterbesetzt. So konnten sie Datenschutzvorfälle häufig nicht nachverfolgen.

Auch wenn die DSGVO keine Serie von Bußgeldverfahren nach sich gezogen hat, ist sie kein zahnloser Tiger. Sie ist maßgeblich dafür verantwortlich, dass Datensicherheit und -schutz in den meisten Unternehmen inzwischen eine deutlich gewichtigere Rolle spielen als in der Vergangenheit. Und der Weg hin zu mehr Cybersicherheit ist noch lange nicht zu Ende. Mit der ePrivacy-Verordnung der EU steht bereits die nächste Ergänzung der DSGVO vor der Tür, die umfassende Regelungen zum Datenschutz in der Privatsphäre und der elektronischen Kommunikation enthalten wird.