GlobalSign Blog

22 Mär 2018

6 Mythen über die DS-GVO, auf die Organisationen hereinfallen

Wie die meisten von uns inzwischen wissen, ist die Datenschutz-Grundverordnung (DS-GVO) in greifbare Nähe gerückt. Ab dem 25. Mai unterliegen die Organisationen, die unter den Auftrag fallen, theoretisch seinen strengen Datenschutzgesetzen und müssen mit hohen Strafen bei Nichteinhaltung rechnen.

Sie könnten meinen, dass die DS-GVO nicht für Sie gilt, weil Ihr Unternehmen außerhalb der EU ansässig ist. Ich sage das, weil derzeit viele Mythen über die DS-GVO in Umlauf sind, wie z. B. die Frage, wie diese sich auf Unternehmen in den USA oder in Nach-Brexit-Großbritannien auswirken wird.

In diesem Artikel werde ich versuchen, sechs der verbreitetsten Mythen über die DS-GVO zu zerstreuen und Ihnen eine Vorstellung davon zu geben, wie Sie sich besser auf den 25. Mai vorbereiten können. Aber lassen Sie mich zuerst definieren, was die DS-GVO bedeutet und warum sie vorgeschlagen wurde.

Eine kurze Übersicht der DS-GVO

Die DS-GVO wurde aus zwei Hauptgründen vorgeschlagen. Erstens sind die aktuellen Datenschutzvorschriften in der EU veraltet. Seit ihrer Einführung 1995 hat sich die EU enorm weiterentwickelt. Dies ist zwar eine gute Sache für die Globalisierung, hat jedoch die Umsetzung des Datenschutzes sehr schwierig gemacht, da jeder Mitgliedstaat seine eigene Lesart für die Anwendung der Richtlinie hat. Zweitens hat sich die Technologie massiv verändert und neue Herausforderungen im Bereich des Datenschutzes mit sich gebracht, wie z. B. Cloud Computing, Mobilgeräte, soziale Medien und vieles mehr.

Gemäß DS-GVO müssen Organisationen wissen, welche Daten sie speichern, wer darauf zugreifen kann und wo sie sich befinden. Sie bezieht sich hauptsächlich auf PII (personenbezogene Daten), zu denen Kartennummern, Sozialversicherungsdaten, Namen und vieles mehr gehören.

Die DS-GVO soll den Menschen mehr Einfluss darauf geben, wie ihre Daten gespeichert und verarbeitet werden, wodurch die Sicherheit von PII erhöht wird, unabhängig davon, wohin sie gesendet werden.

Nachdem wir das geklärt haben, wenden wir uns einigen der häufigsten Mythen rund um die DS-GVO zu, auf die Organisationen immer noch hereinfallen.

Mythos 1. Die DS-GVO betrifft nur EU-Unternehmen

Dies ist leicht auszuräumen. Die DS-GVO hat einen sogenannten "extraterritorialen" Anwendungsbereich. Wenn eine Organisation, unabhängig von ihrem Standort, die personenbezogenen Daten von EU-Bürgern verarbeitet oder speichert, sind sie an diesen Auftrag gebunden.

Dies bedeutet für Unternehmen außerhalb der EU, dass Sie, wenn Sie die Daten eines EU-Bürgers verarbeiten, sich auf die DS-GVO vorbereiten müssen (unabhängig davon, wo Sie tätig sind). Dies sollte glücklicherweise keine allzu große organisatorische Umstellung sein, da die meisten Organisationen auf der ganzen Welt bereits an eine ähnliche Datengesetzgebung gebunden sein sollten, wie z. B. der EU-US-Datenschutzschild in den USA (der kürzlich das Safe-Harbor-Abkommen ersetzt hat).

Mythos 2. Bei der DS-GVO geht es nur um die Geldstrafen

Dieser Mythos könnte ein Ergebnis der Panikmache sein, die viele Organisationen nutzen, um Leute dazu zu bringen, über DS-GVO-Compliance nachzudenken. Es gibt tatsächlich saftige finanzielle Strafen für die Nicht-Compliance, die von ungefähr 25 Millionen $ bis 4% des Jahresumsatzes reichen (je nachdem, welcher Betrag höher ist). Aber darum geht es nicht bei der DS-GVO.

Es ist leicht, über diese hohen möglichen Bußgeldern verblüfft zu sein, da sie für große Schlagzeilen sorgen. Aber wenn man sich nur hierauf konzentriert, verfehlt man völlig das eigentliche Ziel der Verordnung. Bei der DS-GVO geht es darum, den Verbraucher und die Öffentlichkeit an die erste Stelle der Datensicherheit zu stellen.

Es ist auch erwähnenswert, dass, wenn eine Organisation als nicht konform entlarvt wird, dies möglicherweise weit größere Auswirkungen haben kann, als eine einfache finanzielle Strafe. Sie müssen möglicherweise mit dem damit verbundenen Schaden für Reputation und Verbrauchervertrauen leben.

Mythos 3. Bei der DS-GVO geht es hauptsächlich darum, externe Hacks abzuwehren

Viele Presseberichte über die jüngsten Datenschutzverletzungen konzentrieren sich auf externe Hacks, da diese für die größten und sensationellsten Schlagzeilen sorgen. Ein Beispiel dafür ist Uber, das globale Unternehmen für Taxi-Technologie, das Ende 2017 enthüllte, dass sie gehackt wurden und die personenbezogenen Daten von 57 Millionen Nutzern und Fahrern von Uber gestohlen wurden.

Geschichten wie diese werden wegen der wachsenden Popularität der "Hackerkultur" fast immer von der Mainstream-Presse aufgegriffen. Aber das zeigt nicht die ganze Seite der Geschichte, und es ist definitiv nicht das Einzige, was die DS-GVO abwehren will.

Laut der 2017 Cost of Data Breach Study des Ponemon Institute machten böswillige oder kriminelle Angriffe nur 47% der Datenschutzverletzungen aus. Das bedeutet, dass die meisten Datenschutzverletzungen durch menschliche Fehler und Systemstörungen verursacht werden. Es sind diese unbeabsichtigten Fehler, die beim Umgang mit sensiblen Daten gemacht werden, die angegangen werden müssen. Unter der DS-GVO wird die Häufigkeit, mit der diese Fehler gemacht werden, hoffentlich verringert.

Mythos 4. Bei der DS-GVO geht es nur darum, Unternehmen zu bestrafen

Das Information Commissioner's Office (ICO) - eine Organisation, die für die Wahrung von Informationsrechten im Vereinigten Königreich zuständig ist - erlässt nicht leicht Geldstrafen. Im Zeitraum 2016/2017 gab es 17.300 Fälle von Nicht-Compliance, aber nur 16 Organisationen erhielten eine Geldstrafe. Das Ziel der DS-GVO besteht nicht darin, Exempel an Organisationen zu statuieren. Es geht vielmehr darum, Datenschutz und Sicherheit Ihrer Kunden an die erste Stelle zu rücken.

Ich bin mir sicher, dass es einige Fälle geben wird, in denen Organisationen wegen grober Nicht-Compliance bestraft werden, und diese werden mit ziemlicher Sicherheit breit thematisiert werden. Ich erwarte jedoch, dass dies die Ausnahme und nicht die Regel sein wird.

Bei der DS-GVO geht es darum, die Denkweise zu ändern - Geschäftstätigkeit aufnehmen und dabei die Sicherheit von Kunden und Bürgern über alles zu stellen.

Mythos 5. Die DS-GVO ist unnötig

Ein verbreitetes Missverständnis ist, dass es in Europa bereits strenge Datenschutzgesetze gibt und damit die DS-GVO unnötig ist. Dies ist auf die Frustration zurückzuführen, dass die Umsetzung der DS-GVO zweifellos Auswirkungen auf die Ressourcen der Organisationen haben wird.

Die DS-GVO ist ein notwendiges Update für eine veraltete Verordnung, die auf vielen der bereits bestehenden Schlüsselthemen aufbaut - transparent zu sein, zu gewährleisten, dass Daten sicher sind und den Kunden an die erste Stelle zu stellen. Dies sind alles Dinge, an die Organisationen bereits gewöhnt sein sollten.

Es besteht auch die Sorge, dass die DS-GVO KMUs besonders belasten wird. Die ICO bleibt jedoch hart, dass die Compliance-Aufgabe auf das Risiko zugeschnitten wird. Dies bedeutet, dass KMUs mit begrenzten Ressourcen und Zeit, die sie für die DS-GVO aufwenden können, nicht gleich behandelt werden wie Unternehmensorganisationen.

Mythos 6. Die DS-GVO ist nur für das IT-Team ein Problem

Dies betrifft nicht nur die DS-GVO, sondern den Datenschutz insgesamt. Das Wort "Daten" scheint ein Schlagwort zu sein, das ausschließlich mit IT zu tun hat. Probleme mit dem Datenschutz werden oft einfach an IT-Abteilungen weitergegeben. In Wirklichkeit zwingt der Datenschutz (und insbesondere die DS-GVO) Organisationen dazu, abteilungsübergreifend zu arbeiten, um Compliance sicherzustellen.

Um vollständig zu verstehen, wo sich personenbezogene Daten befinden, woher sie stammen, wer sie verwendet, wie sie verwendet werden und mehr, werden Informationen aus mehreren Abteilungen benötigt. Sie müssen Ihre gesamte Organisation zu Best Practices für die Einhaltung der DS-GVO schulen, um eine Chance zu haben, die strengen Anforderungen zu erfüllen.

So bereiten Sie sich vor

Wenn Sie sich zum ersten Mal bewusst werden, dass die DS-GVO auch für Sie gilt und dass Sie sich vorbereiten müssen, würde ich Sie nicht tadeln, wenn Ihnen das alles ein wenig abschreckend vorkommt. Aber keine Bange, es gibt zahlreiche erschwingliche und einfach zu nutzende Auditing-Lösungen, die Ihnen die erforderlichen Informationen zu sensiblen Daten in Ihrer Organisation liefern können.

Über den Autor

Philip Robinson ist ein in London ansässiger Marketingexperte mit langjähriger Erfahrung im Bereich Blogging für Veröffentlichungen in den Bereichen Cybersicherheit, Compliance und IT-Auditing. Seit seinem BA Honors Abschluss an der University of Southampton produziert er regelmäßig in seiner Freizeit informative und aufklärerische Blogs rund um die Welt der Informationssicherheit.

Derzeit leitet er die Marketingabteilung von Lepide, einem globalen Anbieter von Lösungen für IT-Sicherheit und Compliance. Er hat großes Interesse daran, hilfreiche Inhalte für die Ausbildung von IT-Fachleuten zu erstellen. Wenn er nicht schreibt, ist Phil ein begeisterter Fußballer, der gerne reist.

Über Lepide

lepide logo

Lepide ist ein globaler Anbieter von IT-Auditing- und Monitoringlösungen, die Organisationen helfen sollen, die Sicherheit zu erhöhen, den IT-Betrieb zu rationalisieren und Compliance-Anforderungen zu erfüllen. Das Unternehmen hat seinen Hauptsitz in Austin, Texas, und andere globale Niederlassungen in London und Neu-Delhi. Lepide möchte mittelständische und große Unternehmen in vier Schlüsselsektoren bedienen: Finanzen, Gesundheitswesen, Bildung und öffentlicher Sektor.

Die Flaggschiff-Lösung, LepideAuditor, besteht aus einer einzigen Konsole, mit der IT-Experten wichtige lokale und Cloud-basierte Plattformen (wie z. B. Active Directory, File Server, Office 365 und mehr) auditieren, überwachen und alarmieren können. Die Funktionen zum Verfolgen und Warnen helfen dabei, alle Aspekte der Datei-/Ordneraktivitäten sowie aktuelle Berechtigungen und Berechtigungsänderungen zu melden.

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen