EU-DSGVO – so fällt die Zwischenbilanz nach zwei Jahren aus

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

EU-DSGVO – so fällt die Zwischenbilanz nach zwei Jahren aus

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Vor zwei Jahren ist die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft getreten. Zeit, ein Fazit zu ziehen. Was ist gut gelaufen, und wo muss noch nachgebessert werden? Die EU-Kommission wird im Mai ihre Bilanz in Form einer Evaluation präsentieren. Hier die Einschätzung vonDr. Falk Herrmann von Rohde & Schwarz Cybersecurity.
EU-DSGVO

Quelle: Rohde & Schwarz Cybersecurity

Keine IT-Verordnung hat Unternehmen und Gesellschaft in den vergangenen Jahren so tiefgreifend beschäftigt wie die EU-DSGVO. Ob Konzern, Verein oder Start-up – jede Organisation muss seit dem 25. Mai 2018 die Regeln zum Schutz persönlicher Daten umsetzen. Zumindest ein Ziel wurde damit erreicht: Die EU-DSGVO hat das Thema Datenschutz ganz oben auf die Agenda all derer gesetzt, die personenbezogene Daten speichern oder verarbeiten. Zudem lässt sich die Zahl der real erfolgten Hackerangriffe erstmals ermitteln. Denn Verstöße gegen personenbezogene Daten, die Betroffene schädigen könnten, müssen den Behörden laut Datenschutzgrundverordnung gemeldet werden. Diese Informationen sind eine wichtige Hilfe im Kampf gegen die Cyberkriminalität.  

EU-DSGVO: Mammutprojekt Datendokumentation

Gleichzeitig tun sich viele Unternehmen schwer, die Regelungen umzusetzen. Nach einer Umfrage des Bitkom im September 2019 hatte nur jedes vierte Unternehmen mehr als ein Jahr nach Inkrafttreten der EU-DSGVO alle Vorgaben umgesetzt. Vor allem die Pflicht, zu dokumentieren, welche Daten ein Unternehmen erhebt, zu welchem Zweck es sie verwendet und wie es sie weiterverarbeitet, ist ein Mammutprojekt. Unternehmen fällt die Umsetzung leichter, die bereits ein Verzeichnis der Datenverarbeitungsverfahren geführt haben. Wer die Hürde allerdings einmal genommen hat, dem bietet die Dokumentation erstmals einen umfassenden Überblick seiner Datenschätze und eine wertvolle Grundlage zukünftiger Arbeit. Der Aufwand lohnt sich also.

Bürokratische Hürde für kleine Firmen

Richtig ist aber auch, dass die EU-DSGVO vor allem für kleine Organisationen eine bürokratische Hürde darstellt, die dem Ziel nicht immer angemessen ist. Das hat auch die Bundesregierung erkannt und sorgt für Erleichterungen. Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten wurde bereits gelockert: Sie gilt nun erst für Unternehmen mit mindestens 20 Mitarbeitern, und nicht wie zuvor bereits bei zehn Mitarbeitern.

EU-DSGVO: Rechtsunsicherheit versus Pragmatismus

Laut einer Bitkom-Umfrage ist die Unsicherheit bei der Auslegung der Vorgaben eine weitere große Hürde bei deren Umsetzung. Die EU-DSGVO bleibt beispielsweise bei der Einwilligungspflicht für das Setzen von Cookies unkonkret. Inzwischen hat ein EuGH-Urteil Klarheit geschaffen. Tracking-Cookies dürfen nur noch mit ausdrücklicher Einwilligung der Nutzer gesetzt werden. Für Unsicherheit sorgten auch besonders strenge Auslegungen der EU-DSGVO, die die Nutzung von Klingelschildern, Visitenkarten und Klassenfotos einbezogen. Die Unsicherheit scheint inzwischen einem gesunden Pragmatismus gewichen zu sein: Visitenkarten gehen wie eh und je von Hand zu Hand und über den meisten Klingeln hängt nach wie vor ein Namensschild.

Zu einer entspannteren Haltung mag auch die Tatsache beitragen, dass die große Abmahnwelle bisher ausblieb. Nach Angaben von DLA Piper verhängten die EU-Staaten seit Inkrafttreten der DSGVO bis zum 17. Januar 2020 Bußgelder von 114 Millionen Euro. Im Vergleich zu den möglichen Höchststrafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes pro Unternehmen, die nach der EU-DSGVO verhängt werden können, erscheint dies relativ gering. Dennoch wurden Sanktionen ausgesprochen und damit wichtige Zeichen gesetzt.

Mit dem bislang höchsten Bußgeld wurde in Deutschland 2019 der Immobilienkonzern Deutsche Wohnen belegt. Es belief sich auf 14,5 Millionen Euro. Auf Platz zwei folgte Ende 2019 mit 9,6 Millionen Euro ein Bußgeld gegen den Telekommunikationskonzern 1&1 Drillisch. Die Firma hatte sich nicht ausreichend geschützt, um Dritten den Zugriff auf persönliche Kundendaten zu verwehren. 

Datenschutz-Grundverordnung Lücken im vorhandenen System

In den kommenden Jahren könnten die Strafzahlungen deutlich steigen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat ein schärferes Vorgehen bei Verstößen gegen die Vorgaben angekündigt. Im Visier hat er dabei vor allem größere Konzerne. Aber auch mittlere und kleine Unternehmen sollten das Thema Datenschutz unverändert ernst nehmen. Auch deshalb, weil ein verantwortungsvoller Umgang mit den Daten der Kunden und Mitarbeiter das Image stärkt und die Wettbewerbsfähigkeit fördert.

Allerdings fehlen in der EU-DSGVO einige wichtige Regeln zum Schutz personenbezogener Daten. Zum Onlinehandel gibt es beispielsweise kaum explizite Vorgaben. Hier soll die e-Privacy-Verordnung (ePVO) bald für Klarheit sorgen. Sie wird den Schutz persönlicher Daten bei der Nutzung digitaler Kommunikation europaweit regeln. Ursprünglich sollte die ePVO gemeinsam mit der EU-DSGVO in Kraft treten. Da sich die Mitgliedsstaaten noch nicht auf eine gemeinsame Linie einigen konnten, kam es zu Verzögerungen. Nun wird die ePVO voraussichtlich 2020 veröffentlicht werden. Noch ist nicht öffentlich bekannt, wie die Regelung aussehen soll.

EU-DSGVO: Hersteller unterlaufen Datenschutz

Eine weitere Lücke in der EU-DSGVO sehen Kritiker darin, dass Hersteller nicht in die Pflicht genommen wurden, Produkte zu entwickeln, die den Datenschutz fördern. Privacy by Design – also das Berücksichtigen des Datenschutzes bei der Produktion eines Gerätes – ist ein wichtiger Baustein für den sicheren Umgang mit Daten. Einige Unternehmen haben bereits begonnen, die Barriere zwischen DevOps und IT-Sicherheit einzureißen, und neuartige Methoden im Sinne von „DevSecOps“ zu etablieren. Der Gesetzgeber muss diese Entwicklung unterstützen, damit datenschutzkonforme Produkte auf dem Markt erhältlich sind.

Ähnliches gilt für das Speichern von Daten in der Cloud. Die marktbeherrschenden Cloud-Anbieter sitzen im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO. Dies bedroht zudem die Wettbewerbsfähigkeit der deutschen Unternehmen, weil aufgrund der dafür notwendigen technischen Vorkehrungen auch das Risiko steigt, dass Cyberkriminelle und Drittstaaten Zugriff auf das technische Know-how der Unternehmen erhalten.

Neue IT-Sicherheitstechnologien

Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Auf diese Weise wollen sie europäischem Recht genügen. Das löst jedoch das Problem nicht wirklich: Die Cloud-Anbieter selbst können noch immer auf die Daten zugreifen, und aufgrund gesetzlicher Gegebenheiten in ihren Herkunftsländern verpflichtet werden, Dritten Zugang zu gewähren.

Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue Technologien für die IT-Sicherheit, die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen. Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, der Kunde selbst entscheiden kann, wo seine Daten gespeichert werden und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgschance.

Und letztlich bleibt noch die Frage, wie es mit der europaweiten Harmonisierung des Datenschutzes klappt. Grundsätzlich gilt die EU-DSGVO in allen Mitgliedsstaaten und besitzt Anwendungsvorrang vor nationalen Regelungen. Zahlreiche sogenannte „Öffnungsklauseln“ geben den Gesetzgebern der Mitgliedsstaaten aber die Möglichkeit, die EU-DSGVO durch die eigene Gesetzgebung zu konkretisieren und zu ergänzen. Beim Umgang mit Arbeitnehmerdaten sieht die EU-DSGVO zum Beispiel vor, dass spezifischere Vorschriften erlassen werden können. Für Unternehmen mit europäischen Standorten bedeutet dies eine zusätzliche Herausforderung.

EU-DSGVO – auf dem Weg zu mehr Datenschutz

Die EU-DSGVO ist ein Meilenstein auf dem Weg zu mehr Schutz personenbezogener Daten. Nach zwei Jahren zeigt sich: Vieles wurde bereits erreicht und die Umsetzung läuft. Doch die Regelung ist erst ein Anfang. Weitere Vorgaben sind notwendig, um eine vollumfängliche digitale Souveränität zu erreichen. Die EU-DSGVO gibt dafür die grundlegende Richtung vor – Unternehmen, Gesellschaft und Politik müssen diesen Weg jetzt konsequent weitergehen. (sg)

Rohde & Schwarz Cybersecurity Herrmann
Dr. Falk Herrmann ist CEO von Rohde & Schwarz Cybersecurity.

Über den Autor: Dr. Falk Herrmann ist CEO von Rohde & Schwarz Cybersecurity. Der IT-Sicherheitsanbieter schützt digitale Informationen und Geschäftsprozesse von Unternehmen und öffentlichen Institutionen weltweit vor Cyberangriffen. Rohde & Schwarz Cybersecurity bietet innovative Datensicherheitslösungen für Cloud-Umgebungen, erweiterte Sicherheit für Websites, Webanwendungen und Webservices sowie Netzwerkverschlüsselung, Desktop- und Mobile-Security.

Lesen Sie auch: Corona zeigt: Europa braucht dringend eine gemeinsame Dateninfrastruktur

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Ein kontrollierter Einlass in Geschäfte nach der Wiedereröffnung erfordert eine wirksame Lösung. Mit dem Besucherkontrollsystem von dimedis können Händler die amtlichen Auflagen erfüllen.
Menschen sind immer auf der Suche nach einem Schnäppchen – das gilt für die Verbraucher genauso wie für Cyberkriminelle. Am Black Friday und Cyber Monday lockt auch das Dark Web mit Sonderangeboten für gestohlene Kreditkartendaten und neueste Malware. Warum Einzelhändler jetzt doppelt aufpassen sollten, erklärt Gastautor Stefan Bange von Digital Shadows.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Fashion commerce

Wann jetzt handeln gefragt ist

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.