Eine Datenpanne jagt die nächste – von Strafen hört oder liest man bisher wenig. Doch das wird sich ändern. Mittlerweile strafen immer mehr Datenschutzbehörden Unternehmen bei Verstößen gegen die Europäische Datenschutzgrundverordnung (EU-DSGVO) ab.
Gerade erst wurde Google in Frankreich mit einem Bußgeld von 50 Millionen Euro belegt. Und das nicht einmal, weil Daten verloren gegangen wären, sondern weil die Datenschutzbestimmungen nicht transparent genug waren. Insgesamt wurden seit Inkrafttreten der DSGVO im Mai 2018 mehr als 59.000 Datenpannen bekannt, davon knapp 12.600 in Deutschland.
Die Datenschutzbehörden verschiedener Bundesländer haben bekannt gegeben, dass sie ab sofort alle Verstöße gegen die DSGVO konsequent verfolgen werden. Dabei wollen sie den vollen gesetzlichen Rahmen ausnutzen und setzen so auf eine abschreckende Wirkung. Das heißt konkret, dass Bußgelder im 6-stellige Bereich oder höher nicht mehr die Ausnahme sein werden.
Wer noch hofft, dass die zuständigen Aufsichtsbehörden unterbesetzt sind und wie im Falle der Steuerkriminalität daher oft untätig bleiben, der irrt. Denn gerade der Datenschutz genießt einen zu Recht hohen Stellenwert, dem in Zukunft durch einen massiven Personalausbau verstärkt Rechnung getragen wird.
Elmar Eperiesi-Beck, Gründer und CEO der eperi GmbH. (Bild: eperi)
Empfindliche Strafen bei Verstößen
Dass der Umgang mit personenbezogenen Daten einer hohen Sorgfalt bedarf, wissen die meisten Unternehmen. Sie wissen auch, dass bei Verstößen empfindliche Strafen drohen. Doch die Geldstrafen sind nur eine Seite der Medaille. Mindestens genauso schlimm ist der Imageschaden, der den betroffenen Unternehmen entsteht. Der wirkt sich in den meisten Fällen nachhaltiger aus als eine Geldbuße.
Investitionen in den Datenschutz
Wer natürlich gar nicht erst in diese missliche Lage kommen will, der sollte rechtzeitig in den Datenschutz investieren.Das Zauberwort heißt Pseudonymisierung, die in der DSGVO ausdrücklich erwähnt wird. Das bedeutet, dass die Daten durch entsprechende zufällige Ersatzwerte unkenntlich gemacht werden, beispielsweise durch Tokenisierung.
Unternehmen sind natürlich bestens damit beraten, eine Datenschutz-Lösung zu wählen, die sowohl verschlüsseln als auch pseudonymisieren kann. Denn so erreichen sie auf jeden Fall DSGVO-Compliance. Ist diese Lösung dann außerdem noch einfach zu installieren und erfordert keine Änderungen an Client- oder Server-Systemen, ist das umso besser.
Wenn es um den Schutz von Cloud-Daten geht, ist Pseudonymisierung also der beste Weg, um kritische Daten vor unbefugtem Zugriff durch Dritte, Kriminelle, Mitarbeiter Dritter oder Administratoren in externen Rechenzentren zu schützen.
(Bild: eperi)
Wer haftet?
Was vielen Unternehmen immer noch nicht bewusst ist: Nur der Datenverantwortliche – also das Unternehmen – hat die Verantwortung für den Umgang mit personenbezogenen Daten und kann im Falle eines Datenlecks zur Verantwortung gezogen werden. Die Verantwortlichen haften dann nicht nur mit Firmeneigentum, sondern im schlimmsten Fall auch mit dem Privatvermögen.
Diese Verantwortung kann nicht auf einen Cloud-Provider abgeschoben werden. Auf der sicheren Seite ist also nur, wer keinem Dritten Zugang zu den kryptografischen Schlüsseln gewährt.
Gerade für Branchen wie Finanzdienstleistungen und Gesundheitswesen, deren Kerngeschäft die Nutzung und Verarbeitung sensibler Daten darstellt, ist Vertrauen das A und O. Nicht zuletzt können Unternehmen und Organisationen mit der Verschlüsselung von kritischen Daten einen Wettbewerbsvorteil für sich machen.
Quelle Titelbild: eperi GmbH