"Datensicherheit ist nicht gleich Datenschutz"
Stolpersteine bei der EU-DSGVO-Umsetzung
Am 25. Mai 2018 endet die knapp zweijährige Übergangszeit der europäischen Datenschutz-Grundverordnung (EU-DSGVO) und die neue Regelung wird angewendet. Sie betrifft alle Unternehmen weltweit, die in irgendeiner Form Daten eines EU-Bürgers speichern oder Zugang dazu haben. "Die Datenschutzgrundverordnung kann eine Firma schon dann betreffen, wenn ihre Internetseite von einem EU-Bürger angesteuert wird", erklärt Sheila M. FitzPatrick, Worldwide Data Governance and Privacy Counsel/Chief Privacy Officer bei NetApp. Denn mit der EU-DSGVO hat die EU auch die Definition von "persönlichen Daten" erweitert, so die Datenschutzexpertin, die vor rund neun Jahren die Datenschutzrichtlinien bei NetApp mitgestaltet hat und das weltweite "Data Privacy Compliance"-Programm des Speicheranbieters verantwortet. Die neue Definition persönlicher Daten umfasst nun auch sämtliche Daten, mit der sich eine Person identifizieren lässt, etwa die IP-Adresse oder Browser-Cookies, oder die Rückschlüsse auf den Standort zulassen. Ebenso fallen beispielsweise genetische oder biometrische Daten darunter.
Zudem fordert die Datenschutzgrundverordnung unter anderem eine transparente Dokumentation, welche Daten zu welchen Zweck erhoben und verarbeitet werden. Auch das Recht auf Löschung der Daten und auf das Vergessenwerden sind Bestandteil der Verordnung. Kommt es zu einem Datenleck oder anderen Sicherheitszwischenfällen, muss das betroffene Unternehmen oder die Behörde diese innerhalb von 72 Stunden melden. Verstöße ahndet die EU mit Sanktionen, die bis zu vier Prozent des jährlichen Umsatzes betragen können.
Zahlreiche Studien des laufenden Jahres zeigen, dass die Umsetzung der EU-DSGVO Unternehmen in Europa vor große Herausforderungen stellt und - oft aus mangelnder Expertise - nur langsam angegangen wird. Immerhin zeigen die regelmäßigen Wasserstandsmeldungen, dass eine steigende Zahl an Firmen die neuen Regelungen auf den Schirm haben und anfangen, sich damit auseinanderzusetzen - wenn auch noch zögerlich. Dass das Thema dennoch verstärkt bei Unternehmen auf die Agenda kommt, liegt mitunter an zahlreichen IT-Unternehmen, die die Werbetrommel rühren und versprechen, mit ihren Lösungen die geforderten Compliance- und Datenschutz-Vorgaben einhalten oder gar umsetzen zu können. Dies sieht FitzPatrick jedoch mit Skepsis: "Tools und Technologie lösen nicht die Anforderungen der EU-DSGVO." Schließlich handelt es sich ihrer Meinung nach um ein juristisches und kein IT-spezifisches Problem. "Das wird auch dadurch deutlich, dass lediglich acht der insgesamt 99 Artikel der Datenschutzgrundverordnung solche Tools oder Technologien beinhalten", berichtet die Datenschutzexpertin.
Diesen Umstand veranschaulicht FitzPatrick mit einem Beispiel: Jemand, der bei einem Bankraub Geld stiehlt und es anschließend in einem Safe in seinem Haus aufbewahrt, sorgt zwar für die sichere Lagerung des Geldes, ist jedoch nicht dessen rechtmäßiger Besitzer. So verhalte es sich auch mit den persönlichen Daten nach Inkrafttreten der EU-DSGVO. Daher empfiehlt die Datenschutzexpertin Unternehmen, zuallererst eine Datenschutzrichtlinie zu entwerfen, die genau beinhaltet, welche Daten das Unternehmen wo, wie und wofür erhebt und speichert; die Richtlinie muss auch festlegen, wer in welchen Umfang überhaupt Zugang zu diesen Daten hat. "Dabei gilt es, die Frage zu berücksichtigen, ob die Firma überhaupt im Besitz dieser Daten sein darf", ergänzt FitzPatrick.
Hier dürfen Organisationen nicht nur auf sich selber schauen, sondern müssen auch ihre (Geschäfts-)Partner, Zulieferer oder Cloud-Provider im Blick haben. Denn diese müssen ebenfalls konform mit der EU-DSGVO sein. Bei einem Cloud-Provider gilt es beispielsweise zu klären, in welchem Rechenzentrum dieser die Unternehmensdaten speichert und an welchem Standort das Backup abgelegt wird. Auch der Standort des Supports ist zu berücksichtigen, etwa wenn dieser nicht in der EU sitzt und einen Fernzugang zu den Daten hat. Erst wenn der rechtliche Rahmen einer solchen Datenschutz-Compliance klar festgelegt ist, kommen die Tools und Technologien zur Umsetzung der EU-DSGVO und zur Sicherung der Daten ins Spiel.
"Unternehmen dürfen nicht vergessen: Datensicherheit ist nicht gleich Datenschutz. Der Datenschutz umfasst den gesamten Lebenszyklus der Daten von der Entstehung bis zu ihrer Zerstörung. Die Sicherheit ist lediglich die Festung, die diesen Lebenszyklus umschließt", sagt FitzPatrick. Im Umkehrschluss heißt das auch, dass Unternehmen, die gegen die EU-Datenschutz-Grundverordnung verstoßen, nicht im Besitz dieser Daten sein dürfen, so sicher sie diese auch speichern mögen (Privacy First).
Als weitere Tipps für die Umsetzung nennt FitzPatrick eine klare Definition der Rollen und Rechte der Personen, die überhaupt Zugriff auf die Daten bekommen sollen - je restriktiver, desto besser. Auch die Art und Weise der Datenverarbeitung müssen Unternehmen transparent und klar festlegen. Bei der Cloud-Migration sei es unter anderem wichtig zu entscheiden, bei welchen Daten eine Auslagerung überhaupt sinnvoll ist. "Schließlich," so die Datenschutzexpertin, "können viele Cloud-Anbieter eine umfassende Sicherheit bieten - aber nur wenige den nötigen Datenschutz."
Lesen Sie mehr zum Thema
