Die EU-Kommission hat diese Woche wie angekündigt und erwartet einen Entwurf für die Reform der europäischen Datenschutzrichtlinie vorgelegt. Diese ist längst überfällig, stammt das geltende Regelwerk doch noch von 1995. Ziel der Reform ist es, die „Online-Rechte des Einzelnen auf Wahrung der Privatsphäre zu stärken und die digitale Wirtschaft Europas anzukurbeln.“ Die europaweit einheitliche Regelung soll Unternehmen Einsparungen von jährlich rund 2,3 Milliarden Euro bringen.
Aber auch für Verbraucher verspricht die EU Vorteile. „Alle Bürger sollen das Recht erhalten, ihre eigenen Daten zu löschen, wenn keine legitimen Gründe für deren Vorhaltung bestehen“, so Kommissarin Viviane Reding. Und selbst Unternehmen, die personenbezogene Daten außerhalb Europas verarbeiten – etwa Google – sollen sich künftig an die EU-Vorschriften halten müssen.
In einer ersten Reaktionen lobt der Europäische Datenschutzbeauftragte Peter Hustinx den Vorschlag als einen „riesigen Schritt vorwärts für den Datenschutz in Europa“. Er kritisiert aber, dass die EU-Kommission ihrem Versprechen, ein robustes System für Polizei und Justiz zu schaffen, nicht gerecht geworden sei.
Die sonst bei jeder Gelegenheit vehement und öffentlichkeitswirksam für den Datenschutz eintretende deutsche Verbraucherschutzministerin Ilse Aigner (CSU) äußert sich kritisch. Sie warnt im Gespräch mit Welt Online vor einer möglichen Einschränkung der Presse- und Meinungsfreiheit: „So wichtig Datenschutz für den Einzelnen ist – wir müssen immer die Grundrechte abwägen und dürfen nicht zulassen, dass Presse- und Meinungsfreiheit in Gefahr geraten.“ Die EU-Vorgabe dürfe etwa nicht dazu führen, dass Online-Redaktionen oder Zeitungsverlage verpflichtet würden, Artikel auf Klage eines Einzelnen aus ihrem Archiv zu entfernen.
Offene Fragen aus Sicht der IT-Verbände
Der Bitkom begrüßt den Entwurf grundsätzlich ebenfalls, bemängelt jedoch das darin vorgesehene weitreichende Einwilligungsprinzip. „Es ist nur auf den ersten Blick verbraucherfreundlich, für alles und jedes eine gesonderte Einwilligung zu verlangen, und sei es noch so nachrangig“, wird Präsident Dieter Kempf in einer Pressemitteilung zitiert. „Mit einem solchen Ansatz würde das Web zu einem Hindernisparcours umgebaut.“
Jürgen Grützner, Geschäftsführer des Telekommunikationsverbandes VATM, begrüßt grundsätzlich, dass die EU den Datenschutz modernisieren und harmonisieren möchte. Er verlangt, dass die Diskussion dazu genutzt werden müsse, den Datenschutz den technologischen Entwicklungen anzupassen. „Die Verbraucher erwarten von den Unternehmen heute und in Zukunft das Angebot neuer anspruchsvoller Dienste und Anwendungen. Apps und Dienste sind aus dem Alltag zwischenzeitlich nicht mehr wegzudenken und ermöglichen auch eine Verbesserung der Lebensqualität, zum Beispiel bei Social Media, E-Government und E-Health, während gleichzeitig die Privatsphäre zu schützen ist. Transparenz ist daher für die Verbraucher unerlässlich.“
Der VATM-Geschäftsführer bezeichnet ein europaweit einheitliches Datenschutzniveau bei richtiger Ausgestaltung und Umsetzung als Wettbewerbsvorteil – insbesondere, wenn künftig Datenvorschriften nicht nur festgeschrieben, sondern auch national durchsetzbar seien. Allerdings existieren auch aus seiner Sicht noch einige kritische Punkte. So müssten zum Beispiel Begriffe wie „personenbezogene Daten“ genauer definiert werden, Regelungen und Zuständigkeiten zur Kontrolle und Durchsetzung des so genannten Marktortprinzips festgelegt, Fragen der Portabilität von personenbezogenen Daten für den Nutzer (etwa bei Cloud Computing und Social Media) sowie die praktische Umsetzung des „Rechts auf Vergessen“ und Haftungsfragen geklärt werden.
„Es führt kein Weg daran vorbei, alle persönlichen Informationen zu schützen“
Thorsten Krüger, Vertriebsleiter Deutschland und Österreich beim Anbieter SafeNet, weist auf die vorgesehene Regelung hin, Unternehmen zu verpflichten, Verletzungen der Datensicherheit innerhalb von 24 Stunden öffentlich zu machen: „Die Verpflichtung, einen Datenverlust öffentlich bekannt zu geben, wird die Zahl der gemeldeten Fälle unweigerlich erhöhen. Aber die Unternehmen werden auch dazu gezwungen sein, für mehr Transparenz bezüglich der internen Sicherheitssysteme zu sorgen und ihre Datenschutzmethoden zu verbessern.“ Sie verschafft letztendlich Verbrauchern mehr Kontrolle über ihre privaten Daten und werde Organisationen dazu bringen, den Umgang mit vertraulichen Kundendaten und deren Speicherung zu überdenken.
Laut Krüger werden die strengeren Regeln für die Datensicherheit dazu führen, dass Kunden denjenigen Unternehmen das Vertrauen entziehen, die es nicht schaffen, die höchsten Sicherheitsstandards zu bieten. „Dem Vertrauensverlust folgt der Reputationsverlust, den sich kein Unternehmen leisten kann.“ Um das zu verhindern, schlägt er die Verschlüsselung persönlicher Daten und Transaktionsinformationen sowie der Kommunikation vor. „Es führt kein Weg daran vorbei, alle persönlichen Informationen zu schützen. Die Technologie dafür ist vorhanden und sie hat sich bewährt.“
Datenschutzbeauftragte werden wichtiger
Auf die in dem Entwurf verlangte sofortige Meldung von Sicherheitsvorfällen und Datenverlusten hebt auch Arne Jacobsen, Director Deutschland, Österreich, Schweiz bei Varonis Systems ab. Er begrüßt, dass Unternehmen jeden Verlust von Informationen sofort der zuständigen Behörde sowie allen betroffenen Parteien melden müssten, sowie die geplante Pflicht zur Ernennung eines Datenschutzbeauftragten für Organisationen mit mehr als 250 Mitarbeitern.
„Durch die Bestimmung eines Datenschutzbeauftragten wird die Aufmerksamkeit von Unternehmen deutlich stärker auf dieses große Problem des digitalen Zeitalters gerichtet. Außerdem kann so sichergestellt werden, dass die meisten Organisationen in Bezug auf die neuen Regelungen ihren Worten auch Taten folgen lassen.“
Ein wichtiger Punkt sei, dass die neuen Bestimmungen von allen Unternehmen erfüllt werden müssten, die Datenbanken mit persönlichen Informationen wie Kundendaten, interne Personalverzeichnisse oder andere Listen anlegten, so Jacobsen weiter. Außerdem müssten alle Organisationen nachweisen können, wie und weshalb sie personenbezogene Daten verwenden. „Was die praktischen Herausforderungen angeht, klagen viele IT-Security-Manager über technische Probleme bei der umfassenden und ständigen Überwachung ihrer Daten. Dies ist zwar verständlich, doch mit der richtigen Technologie lassen sich diese Probleme ganz einfach aus der Welt schaffen.“
Keine Angst vor der neuen EU-Datenschutzrichtlinie
Ein weiterer positiver Aspekt ist für Jacobsen, dass die Regelungen auch für außereuropäische – insbesondere US-amerikanische – Unternehmen gelten, die ihre Waren und Dienstleistungen in der EU anbieten möchten. So könnten ähnliche Anforderungen wie die US-amerikanischen Sarbanes-Oxley-Regeln für die Unternehmensführung ausgeglichen werden.
„Natürlich wird es bei der Einführung der neuen Regeln viel Ächzen und Stöhnen geben. Doch wie bei den PCI-Regeln für den Zahlungsverkehr werden auch die neuen Datenschutzvorschriften schon nach kurzer Zeit akzeptierte Geschäftspraxis und Teil der IT-Sicherheitslandschaft sein. Und das wäre für uns alle ein großer Fortschritt“, so Jacobsen.
Hans-Günter Börgmann, Geschäftsführer des Archivierungsspezialisten Iron Mountain in Deutschland sagt: „Die geplante Datenschutzrichtlinie zwingt die Unternehmen in Deutschland dazu, das Thema Datenschutz in Zukunft ernster zu nehmen. So müssen Unternehmen bei Verstößen in Zukunft mit deutlich höheren Strafen rechnen. Außerdem wird die Meldepflicht bei Datenschutzvorfällen für Unternehmen deutlich verschärft. Die zuständigen Datenschutzbehörden und sämtliche betroffene Personen müssen nach der neuen Regelung innerhalb von 24 Stunden informiert werden. Bislang wurden Betroffene teilweise – wenn überhaupt – erst Wochen später in Kenntnis gesetzt.“
Firmen legt Börgmann nahe, die neue Richtlinie als Anreiz zu nehmen, um einen kritischen und ehrlichen Blick auf den eigenen Datenschutz zu werfen. Viele gingen bislang noch nicht ausreichend verantwortungsvoll mit ihren Daten um. Spätestens mit Blick auf die geplante neue Regelung sollten aber alle dafür sorgen, dass ihre Daten bestmöglich geschützt sind.
„Gleichzeitig empfehle ich Unternehmen jeder Größe, unbedingt einen Datenschutzbeauftragten einzusetzen. Zwar wird dies nach der neuen EU-Datenschutzrichtlinie erst für Unternehmen ab 250 Mitarbeitern verpflichtend sein, mangelnder Datenschutz oder Datenpannen liegen aber häufig daran, dass sich niemand im Unternehmen für das Thema zuständig fühlt.“
Diese Einschätzung teilt Stephen Midgley, Vice President bei Absolute Software: „Unserer Erfahrung nach sind nur wenige Unternehmen in der Lage, jederzeit Auskunft zu geben, wo sich ihre Daten befinden.“ Seiner Ansicht nach könnte das von der EU-Kommission angedache Strafmaß bei tausenden Firmen zu schwerwiegenden finanziellen Sanktionen führen. Midgley hebt insbesondere auf die zunehmende Mobilität und Gerätevielfalt in den Firmen ab, die das Problem noch verschärfe.
Midgley weiter: „Überall arbeiteten Angestellte heute tagtäglich mit vertraulichen Kunden- und Firmendaten. Oft speichern und beziehen sie diese Informationen über mehrere persönliche oder unternehmenseigene Geräte. Das Problem dabei: Dieser digitale Fuhrpark wird von den zuständigen IT-Abteilungen häufig gar nicht oder nicht vollständig erfasst. Während Daten für wichtige Geschäftsprozesse jederzeit zugänglich sein müssen, liegen die einzelnen Speicherorte oft im Dunkeln.“
„Für Firmen stellt sich nicht nur die Frage, wo die jeweiligen Informationen abgelegt sind, sondern auch, ob ein Unbefugter darauf zugegriffen hat. Es ist eine scheinbar unlösbare Aufgabe, Daten lückenlos zu verfolgen und zu schützen, die ganz leicht per E-Mail weitergeleitet, kopiert, geteilt oder auf neuen Geräten abgespeichert werden können“, so Midgley.
Dem könnten Firmen begegnen, indem sie klare interne Richtlinien festlegen, wie Mitarbeiter einzelne Daten abrufen und speichern dürfen. Ein Lösungsansatz seien zudem zeitlich befristete Zugriffsregeln auf bestimmte Daten sowie Applikationen. So lasse sich sicherstellen, dass die Daten nur zwischen vorab festgelegten Geräten ausgetauscht werden können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…