Categories: RechtRegulierung

GDPR, Data Act und Privacy Shield 2.0

Die Zeiten werden stürmischer. Die EU-Kommission hat die Regeln für die Datenwirtschaft weiter modernisiert. Die Rekord-Bußgelder bei der DSGVO aus den vergangenen zehn Monaten legen offen, dass Firmen bereits überfordert sind, bestehende Regeln einzuhalten. Und die Aufgabe wird schwerer, da neue Vorgaben hinzukommen und die Menge der Daten wächst. Es ist Zeit, dass Firmen ihr Datenmanagement grundsätzlich überdenken, um endlich die Kontrolle zurückzugewinnen und Compliance-Risiken einzudämmen.

Etwa 1,6 Milliarden Euro, auf diese Zahl summieren sich alle Bußgelder, die seit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 gegen Firmen verhängt wurden. Organisationen aus der ganzen Welt wurden für Verstoße geahndet. Allein in den vergangenen 12 Monaten haben europäische Datenschutzbehörden schwere Strafen gegen fünf prominente amerikanische Unternehmen aus dem Technologiebereich verhängt. Diese fünf Fälle stehen für Geldstrafen in Höhe von mehr als 1,2 Milliarden Euro.

Auch die Zahl der gemeldeten Verstöße ist im gleichen Zeitraum von 639 auf 1037 schneller denn je gestiegen. Wenn die Verordnung am 25. Mai ihren vierten Jahrestag feiert, wird 2021 Rekorde bei den Bußgeldern aufstellen. Wer wegen der Pandemie eine laschere Auslegung der Richtlinien erhofft hatte, wird überrascht sein.

Während dieser Zeit haben sich andere starke Trends herausgebildet. Die rasante Digitalisierung, die Pandemie und Remote-Working als schnelle und kluge Antwort darauf haben mehr Daten an immer mehr Orten entstehen lassen. Firmen kommen offensichtlich nicht mehr hinterher, diese Explosion an Daten und Datensilos in den Griff zu kriegen, zumal sich die Rahmenbedingungen erneut stark ändern.

Im März haben Ursula von der Leyen, Präsidentin der EU-Kommission, sowie Joe Biden, US-Präsident, gemeinsam angekündigt, eine neue Regelung für den transatlantischen Datenverkehr zu verabschieden. Wann dieses Trans-Atlantische Data Privacy Framework, auch „Privacy Shield 2.0 Abkommen“ genannt, als neue Rechtsgrundlage in Kraft tritt, blieb noch offen. Aber auch diese Regel wird sich darauf auswirken, wie Firmen mit internationalem Geschäft mit ihren Daten handhaben, wie sie personenbezogene Daten verarbeiten, transferieren, speichern und archivieren. Und just einen Monat vorher hat die EU-Kommission mit dem „EU Data Act“ neue Ansätze vorgestellt, um den Datenmarkt in Europa zu regulieren.

Blick auf die Daten verzerrt

Viele Firmen haben ihre Daten auf viele Speicherorte verteilt. Und wie die Zahl der Verstöße zeigt, fällt es ihnen zunehmend schwer, dieses Archipel aus proprietären isolierten Dateninseln zu verwalten. IT-Teams müssen viel Zeit und Ressourcen einsetzen, um Fragen der Governance, Archivierung und Compliance zu regeln. Das Zerrbild verursacht dabei eine Reihe eklatanter Probleme, die mit der Datenmenge und der Zahl der Regularien mitwachsen. So ist kaum ersichtlich, ob Daten redundant vorhanden, kritische personenbezogene Daten an riskanten Speicherorten abgelegt oder im Backup-Plan übersehen worden sind.

Ein Unternehmen kann diese Inseln mit Prozessen und Einzeltools in den Griff zu bekommen, muss allerdings mit hohen Infrastruktur- und Betriebskosten, mangelnder Integration zwischen den Produkten und einer immer komplexen Architekturen rechnen. Und es ist fraglich, ob in solch einer fragmentierten Umgebung alle Daten vor Ransomware geschützt und wichtige Aufgaben wie eine schnelle Recovery in der nötigen Zeit und Qualität überhaupt umsetzbar sind, um den Betrieb am Laufen zu halten.

Wolfgang Huber, Regional Director DACH bei Cohesity, empfiehlt Unternehmen daher, sich vom Archipel zu lösen und nach einem Ansatz der nächsten Generation für das Datenmanagement zu suchen. Auf dieser Grundlage können Firmen die Datensilos aufbrechen und zusammenführen und komplexe Architekturen radikal vereinfachen. Alle darin gespeicherten Daten lassen sich viel strenger nach Compliance-Vorgaben verwalten und stärker vor Ransomware schützen.

  • Zugriff und Wert erkennen

Unternehmen müssen wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann können sie Fragen der Governance und Compliance beantworten und beispielsweise steuern, dass bestimmte Datentypen gewisse Speicherorte nicht verlassen dürfen. Und sie müssen genau überblicken, wer auf diese Daten zugreifen kann, um beispielsweise überzogen privilegierte User zu entdecken. Und sie können KI/ML-Technologie nutzen, um ungewöhnliche Sicherungs- oder Zugriffsmuster oder anderes anormales Verhalten aufzuspüren. Diese Indizien helfen, mögliche interne und externe Angriffe wie Ransomware frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten.

  • Einheitlichen Blick auf die Daten gewinnen

Idealerweise sind all diese Funktionen und der Überblick über die Datenlandschaft über eine Konsole zu erreichen, auf die nur autorisierte User dank Multifaktor-Authentifizierung und Access-Control-Lists zugreifen können – und zwar unabhängig davon, ob die Daten in einer hybriden Cloud oder in einem SaaS-Dienst abgelegt sind.

  • Widerstandsfähige hochskalierbare Infrastruktur etablieren

Die Daten selbst sollten in einer zentralen Datenmanagement-Plattform, idealerweise auf Basis eines hyperkonvergenten Filesystems, zusammengeführt werden, die hochskaliert und das Zero-Trust-Modell noch weiterführt. Neben den bereits erwähnten strengen Zugriffsregeln und der Multifaktor-Authentifizierung sollte die Plattform unveränderliche so genannte Immutable Snapshots erzeugen. Keine externe Anwendung und unbefugte User können diese Snapshots nicht verändern.

Unternehmen sollten die Daten sowohl beim Transport als auch beim Ablegen stark verschlüsseln,, damit sie besser vor Manipulationsversuchen und Cyberattacken wie Ransomware geschützt sind.

4) Als Service verfügbar

Einige Unternehmen wollen heute Aufgaben nicht mehr komplett selbst abwickeln, sei es weil sie die Investitionen scheuen, ihre IT-Teams sich auf andere wichtigere Aufgaben konzentrieren wollen oder sie schlicht Hilfe suchen. In diesen Fällen sollten sie auf einen Anbieter setzen, der so genannte Data Management as a Service (DMaaS) anbietet. Dieses Portfolio von „Software as a Service“ (SaaS)-Angeboten wurde entwickelt, damit Unternehmen und mittelständischen Kunden ihre Daten auf radikal einfache Weise sichern, verwalten und analysieren können.

Ausblick

Die Politik wird gewiss neue Regeln für die Datenwirtschaft entwickeln, da sie für alle Branchen der Wirtschaft eine große Rolle spielt. IT-Teams in den Unternehmen werden also weiterhin auf neue Rahmenbedingungen reagieren müssen. Um endlich aus der Komplexitätsfalle herauszufinden, sollten sie ihre Datensilos Schritt für Schritt in eine einheitliche Datenmanagement-Plattform der nächsten Generation überführen. Dort können sie dann von den Synergieeffekten profitieren, indem sie ihre Produktionsdaten sichern, über KI-gestützte Funktionen die Sicherheitslage, Governance und Compliance verbessern. Und nebenbei Zeit und Geld sparen, da das Management dieser Infrastruktur viel einfacher wird.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago