MEGA Community

mwolf · ‎19-08-2020

In Deutschland wurden bereits im Jahr 2019 auf Basis der DSGVO ca. 187 Bußgelder verhängt. Insgesamt wurden seit dem Start des neuen Regelwerks sogar schon rund 21.000 Datenpannen gemeldet (Stand: Dezember 2019). Die Zahl und Summe der bereits verhängten Bußgelder wird also weiterhin ansteigen. Hinzu kommt, dass Verstöße nach den neuen Vorschriften deutlich höher sanktioniert werden können. Waren nach dem alten Bundesdatenschutzgesetz maximal 300.000 Euro Bußgeld möglich, können nun bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes fällig werden.

Einerseits ist dies eindeutig eine gute Nachricht für den Schutz personenbezogener Daten, aber angesichts der Kosten, die wahrscheinlich auf die eine oder andere Weise auf den Verbraucher umgemünzt werden, sollte dies nicht unbedingt ein Grund zum Feiern sein. Darüber hinaus werden die bereits verhängten Geldstrafen für Unternehmen zwar als Mahnung dienen, aber für viele bestehen weiterhin dadurch finanzielle Risiken.

Während die Bußgelder selbst und die anschließenden Berufungen Schlagzeilen machen, stellt sich die eigentliche Frage, wie andere Organisationen solche Risiken vermeiden und einen programmatischeren Ansatz zur Einhaltung von Vorschriften verfolgen können.

In diesem Artikel gehen wir einerseits auf die Ursachensuche der genannten Verstöße ein
und schlagen ebenfalls praktische Lösungsansätze vor.

Was verursachte die Verstöße bzw. Datenpannen?

Einer der Hauptgründe, der für beide Verstöße in England angeführt wurde, war das Vorhandensein ungepatchter Legacy-Anwendungen und von Schatten-IT-Plattformen, die Cyberkriminellen als perfekter "Einstiegsweg" dienen können, um den Datenverkehr umzuleiten und so an die persönlichen Daten zu gelangen.

Aufgrund der Besonderheiten von British Airways und Marriott und der Komplexität beider Organisationen können ihre Netzwerke von Content-Management-Systemen, Websites, mobilen Anwendungen und Online-Diensten eine Schwachstelle für die Cybersicherheit und in der Folge für GDPR und andere gesetzliche Vorschriften darstellen.

Dies zeigt sich besonders deutlich im Fall von Marriott, das 2016 die Starwood Hotels Group erwarb, dessen IT-Systeme sich jedoch bereits 2014 als problematisch erwiesen. Nach der Übernahme dauerte es jedoch noch bis zum Jahr 2018, bis die Verstöße bekannt wurden. In Bezug auf die Einhaltung der GDPR-Vorschriften war das ICO (Information Commissioner’s Office UK) der Ansicht:

“Marriott had failed to undertake significant due diligence when it acquired Starwood and should have done more to make sure its IT systems were secure.”

Daten das neue Gold bzw. Öl, oder doch eher Uran?

Für einige Beobachter besteht die Lösung zur Einhaltung des GDPR in einer Löschung der Daten.

Als Reaktion auf die Offenlegung der persönlichen Daten von über 650.000 ihrer Kunden verfolgte beispielsweise die britische Gaststättenkette Wetherspoon den etwas nuklearen Ansatz zum Datenschutz, indem sie die meisten ihrer Kundendaten löschte, um weitere Verletzungen zu vermeiden.

Während diese Lösung bei Wetherspoons funktionierte, sind Daten für einige Firmen eher wie Öl, sie erfordern einen sorgfältigen Umgang, sind jedoch gleichzeitig ein lebenswichtiges Gut für die jeweiligen Unternehmen. Sie sind Antrieb für das Unternehemenswachstum, bspw. zum besseren Verständnis der Kundenanforderungen, Kaufhistorie, oder gar gesamten Customer Journey. Eine Löschung steht außer Frage.

Für diese Unternehmen gilt es, die Einhaltung von Vorschriften durch die Transformation von Prozessen, Anwendungen und Systemen zu gewährleisten, ohne die Marktflexibilität dadurch zu beeinträchtigen.

Anstatt Daten als eine Bedrohung für das Unternehmen wahrzunehmen, können sie sich Wettbewerbsvorteile verschaffen, indem sie Kundenloyalität aufbauen.

Zum Zeitpunkt der Abfassung dieses Artikels sollte gesagt werden, dass sowohl British Airways als auch Marriott die Absicht bekundet haben, beim ICO gegen ihre jeweiligen Geldbußen Berufung einzulegen. Unabhängig vom Ausgang dieser Berufungen gibt es jedoch keine Umkehrung der negativen Presse und der bereits eingetretenen negativen Auswirkungen auf Aktienkurse und Marke.

Compliance-by-Design

Genau wie ein solides Haus muss der Datenschutz auf einem tragfähigen Fundament stehen und nicht auf einem Flickenteppich von Einzellösungen.

Der Kern des Prinzips der GDPR-Compliance-by-Design ist die Einhaltung einer 6-stufigen Methodik, bei der der Datenschutz im Mittelpunkt steht. Dies beginnt mit der Durchführung erster Bewertungen innerhalb einer Organisation, um alle Interessengruppen zu identifizieren, und welche Datenverarbeitungsaktivitäten eine Datenschutzfolgenabschätzung (Data Protection Impact Assessment, DPIA) erfordern. Mit diesem Wissen können Daten kategorisiert und nach ihrer Sensitivität identifiziert werden, um auf der Grundlage der Analyse Prioritätsordnungen zu bilden.

Mit dem "Compliance-by-design"-Ansatz wird der Prozess der Durchführung von DPIAs automatisiert und umfasst die Dokumentation von Geschäftsprozessen, die Bewertung der regulatorischen Risiken und vor allem eine Beschreibung der ergriffenen Schutzmaßnahmen.

Die Fähigkeit, dieses Informationsniveau rechtzeitig bereitzustellen, zeigt sich auch in der Tatsache, dass die Reaktion von British Airways auf den Verstoß gelobt wurde, und insbesondere in der Tatsache, dass die betroffenen Kunden und das Büro des Information Commissioner's Office (ICO) innerhalb der 72 Stunden alarmiert wurden, die die GDPR-Bestimmungen dafür vorsehen.

Um zu vermeiden, dass die Daten Ihrer Organisation nach dem "Wetherspoons-Verfahren" behandelt werden, ist der Maßnahmenplan ebenfalls ein entscheidender Aspekt des "Compliance-by-Design"-Ansatzes. Dieser ermöglicht die Sicherung von Prozessen und Anwendungen, die persönliche Daten kontrollieren oder verarbeiten - ohne die Geschäftsfähigkeit oder Agilität des Unternehmens zu beeinträchtigen. Er erleichtert auch die Dokumentation und Kommunikation mit und zwischen den, an der Einhaltung der Vorschriften Beteiligten. Darüber hinaus ermöglicht er jeder Person innerhalb eines Unternehmens, Vorfälle im Zusammenhang mit der Einhaltung der Vorschriften zu melden, so dass der Datenschutzbeauftragte und andere Führungskräfte die Maßnahmen zentral überprüfen, Schweregrade zuweisen und notieren können.

Daten von Wert sind es wert sie zu betrachten

Für die meisten Organisationen sind Daten Öl - sie sind äußerst wertvoll, ja sogar für das Geschäft unerlässlich. Mit einer umfassenden Lösung, die es Unternehmen ermöglicht, den GDPR-Bedarf schnell zu ermitteln, die erforderliche Dokumentation wie DPIAs zu erstellen und Änderungen der Compliance für das gesamte Unternehmen zentral zu verwalten, besteht keine Notwendigkeit, Daten wie Uran zu behandeln.

Erfahren Sie mehr in unserem White Paper hierzu: "Accelerate Your GDPR Compliance in 6 Steps"