<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2038511469714819&amp;ev=PageView&amp;noscript=1">

DSGVO Compliance: Macht Platz, CIOs, hier kommt der Neue

1. September 2017

Lange Zeit haben sich Unternehmen, deren Abteilungen sich zur Geschäfts-, Kooperations- und Effizienzsteigerung auf Cloud- und SaaS-Lösungen (Software as a Service) sowie anwendungsgestützte Zusammenarbeit verließen, im Rahmen der Datenschutzanforderungen ausschließlich auf IT-Sicherheit, -Infrastruktur und -Vorgänge gestützt - und sind nun als notorische „Neinsager“ in Sicherheitsfragen verrufen. Doch mit der kommenden Datenschutz-Grundverordnung (DSGV) wird sich einiges ändern: Von nun an sind Rechts- und Compliance-Abteilungen für den Datenschutz im Rahmen der Unternehmensführung verantwortlich.

VON RAVI PATHER, EPERI

Denn aufgrund der möglichen Geldbußen von bis zu 4 % des Gesamtumsatzes, der Verstoßmeldungen mit namentlicher Nennung und dem entstehenden Markenschaden ist der Datenschutz nun zu einem Risikofaktor auf Unternehmensebene geworden. Folglich obliegt die Überwachung und Steuerung dieses neuen Risikos in letzter Instanz dem Geschäftsführer und dem Vorstand.

Organisationen müssen jedoch erkennen, dass Datenschutz nicht mit der bloßen Einhaltung der rechtlichen Vorschriften der DSGVO gleichzusetzen ist und dass der Begriff des „Datenschutzes“ nun eine wesentlich umfassendere Bedeutung für das ganze Unternehmen trägt. Nunmehr sind die Interessenträger sämtlicher Geschäftsbereiche (d.h. die jeweiligen Verantwortlichen) in die unternehmerischen Vorgänge rund um den Datenschutz und Compliance einzubeziehen. Dies schließt gleichermaßen die Definition sensibler Daten sowie die einhergehende Compliance und Datenkontrolle ein, insbesondere bei der Nutzung der Vorzüge cloudbasierter SaaS-Anwendungen (die Auftragsverarbeiter) für das Unternehmen.

Die Problemstellung

Das folgende Szenario sollte jedem modernen Unternehmen vertraut sein: Im Sinne der Förderung der Zusammenarbeit und der Produktivitätssteigerung wählt der Personal-/ Vertriebs-/ Marketing-Leiter eine geeignete cloudbasierte SaaS-Lösung zur Optimierung der Unternehmensfunktionen aus. Er/ sie gibt zur Lösung der anstehenden unternehmerischen Problemstellung sein/ ihr Bestes und überhäuft die Sicherheitsabteilung mit Zusicherungen, dass der SaaS-Anbieter die Daten verschlüsselt und damit auch „schützt“. Der Anbieter verwendet eine sichere https-Verbindung bei der Übertragung der Daten in die und von der Cloud. Zudem verfügt er über ein geschütztes Rechenzentrum, dessen Experten die Verfügbarkeit rund um die Uhr sicherstellen und gleichzeitig Hacker-Angriffe abwehren. Alles scheint großartig, die Cloud bietet dem Unternehmen großartige Vorzüge sowie Sicherheit und kostengünstige Nutzung.  Sieht aus, als hätten wir die perfekte Lösung gefunden, oder?

Jein. Bei der Cloud handelt es sich zwar tatsächlich um eine hervorragende Option für mehr Flexibilität und Produktivität von Unternehmen. Doch Unternehmen, die blinde Entscheidungen ohne bedingungslose und methodische Hinterfragung des Schutzes von Daten treffen, verstoßen womöglich gegen die Vorschriften der DSGVO, welche u. a. spezifische und eindeutige Richtlinien und Pflichten für den Schutz und die Verarbeitung personenbezogener und sensibler personenbezogener Daten vorschreiben und somit verbindliche Strukturen für die Verantwortlichen schaffen. Auch Dritte, welche mit personenbezogenen Daten von EU-Bürgern in Berührung kommen, werden hierbei in die Pflicht genommen (Auftragsverarbeiter).  

Die Folgen

Die Rechts-, Risiko- und Compliance-Teams eines Unternehmens erfüllen nunmehr eine Schutzfunktion für das Unternehmen und sind aktiver Teil der Geschäftsführung. Wo einst noch die IT-Sicherheit alleine für Datensicherheit und Datenschutz verantwortlich war, spielt nun die Compliance eine wesentliche Rolle und beeinflusst maßgeblich die Geschäftsentscheidungen in Verbindung mit sensiblen Daten. Den IT-Abteilungen obliegt nun vielmehr die Umsetzung solcher Lösungen, welche die Datenschutzanforderungen erfüllen.

Betrachten wir also abermals das oben genannte Beispiel, erfüllen die Behauptungen des SaaS-Anbieters über den angeblichen „Schutz“ der Daten eines Unternehmens kaum die spezifischen Anforderungen der DSGVO an den Datenschutz. Die bloße Verschlüsselung von gespeicherten Daten (Data at Rest) durch den SaaS-Anbieter bedeutet nicht automatisch, dass die jeweilige Organisation volle Kontrolle über diese Daten hat und die Anforderungen an die Compliance erfüllt, erst recht nicht, wenn ein solcher Anbieter selber vollständige oder auch nur teilweise Gewalt über die kryptografischen Schlüssel hat. Das grundlegende Prinzip hinter pseudonymisierten Daten gemäß DSGVO wird durch eine durch den SaaS-Anbieter gesteuerte Verschlüsselung oder durch dessen Zugang zu kryptografischen Schlüsseln ad absurdum geführt.

Selbst die Verwendung einer sicheren https-Verbindung stellt keine Garantie für den Datenschutz dar, da die Schwachstellen an beiden Enden einer solchen Tunneling-Verbindung in der Industrie bereits hinreichend bekannt sind.

Die in der DSGVO ausführlich dokumentierte Lösung lautet Datenkontrolle. Insbesondere stellt sich hier die Frage, ob ein Auslesen oder eine Gefährdung zuvor verschlüsselter sensibler Daten rückgängig gemacht werden kann. Lautet die Antwort ja, so handelt es sich weiterhin um im Sinne der DSGVO zu schützende Daten.

Früher wurde hier lediglich auf Länderbasis eine recht allgemein gehaltene Datenansässigkeit mit Verantwortlichkeiten in Abhängigkeit von Standort und geltender Rechtsprechung angewendet. Die DSGVO schafft hier jedoch Abhilfe und die Zuständigkeit liegt nun deutlich bei der Organisation als Hauptverantwortliche (Data Controller) für ihre durch Datenverarbeitungssysteme Dritter verarbeiteten personenbezogenen und sensiblen personenbezogenen Daten.

Hinweise für Unternehmen als Daten Verantwortliche

Die Behauptungen von SaaS-Anbietern über die angebliche Compliance mit den Vorschriften der DSGVO aufgrund der Verschlüsselung lediglich gespeicherter personenbezogener Daten und sensibler personenbezogener Daten sollte keinerlei Einfluss auf die Entscheidungen der Geschäftsführung haben. Zugegeben, größtenteils wird die Sicherheit gegeben sein, jedoch entspricht dies weder der direkten Gewalt über personenbezogene Daten noch der Einhaltung der Compliance- und Schutzvorschriften der DSGVO. Für moderne Unternehmen muß die Frage nach dem Schutz der Daten selbst eine größere Bedeutung zukommen als die Frage nach den Sicherheitsvorkehrungen des Cloud-Anbieters.

Für verantwortungsbewusste und gut aufgestellte Unternehmen werden weder die Compliance noch ihre Umsetzung gemäß den rechtlichen Anforderungen ein Problem darstellen. Die drohenden Geldbußen von bis zu 4 % des Gesamtumsatzes, Benachrichtigungen bei Sicherheitsvorfällen und der einhergehende Markenschaden stellen hier einen zusätzlichen Anreiz dar. Im Grunde sind hierbei die drei folgenden Schritte zu befolgen:

  1. Welche Daten sind für die Cloud bestimmt? Sind diese wesentlich für das Unternehmen? Sind hierbei personenbezogene Daten, wie Name, Kontakt-, Finanz-, Patientendaten oder Kaufbelege oder sensible personenbezogene Daten, wie Gehaltsauskünfte, ethnische Herkunft, Sexualität, Religion bzw. Glaubensrichtung usw. betroffen?
  2. Datenklassifizierung - Welche Daten unterliegen standortabhängig welchen rechtlichen bzw. Compliance-Anforderungen?
  3. Compliance durch die systematische Festlegung von Richtlinien und Kontrollmechanismen für solche Daten, welche die Organisation verlassen (siehe hierfür DSGVO-Prinzipien für Zentralisierung, Datenschutz by Design und umfassende Sicherheit). 

Zu beachten ist hier außerdem, dass klassische Compliance-Tools, beispielsweise Data Leakage Prevention (DLP) oder nunmehr auch Cloud Access Security Brokers (CASB) Informationen vor Eintritt in die Cloud blockieren und somit eher unvorteilhaft für moderne Unternehmen sind. Stattdessen sollten Organisationen fortan fortschrittliche Lösungen wie Cloud Data Protection (CDP) bevorzugen, welche die personenbezogenen Daten bei Übertragung, Speicherung und Verarbeitung innerhalb der Cloud verschlüsseln und tokenisieren sowie ihre Nutzbarkeit für Organisationen durch ausgefeilte Such- und Sortierfunktionen optimieren können. Vor allem sollte die Kontrolle - beispielsweise die Verwaltung der kryptografischen Schlüssel - immer vollständig bei der Organisation selber verbleiben und nicht bei einem SaaS-Anbieter. Nur so können die Datenkontroll- und Compliance-Standards eingehalten werden. 

Fazit

Die Zeiten der harten Entscheidungen über Cloud- und Geschäftsanwendungen seitens der IT oder des CIO sind vorbei. Die DSGVO hat den Hauptgesichtspunkt nun auf den Schutz und die Kontrolle der Daten verlegt. Durch die Erweiterung der unternehmensweit relevanten Risiken um die Datenkontrolle verlagert sich der uralte Kampf zwischen Geschäftsleitung, IT- und Rechtsabteilung/Compliance nunmehr auf Recht und Compliance, in deren Verantwortung nun die Vermeidung substantieller Geldbußen und Strafen aufgrund der kommenden DSGVO liegt. Nur durch Anerkennung der Datenkontrolle als Kernelement der Compliance und durch die Ergreifung entsprechender Maßnahmen für die Klassifizierung und Einrichtung moderner cloudbasierter Datenschutzlösungen für personenbezogene und sensible personenbezogene Daten, bevor diese die Organisation verlassen, sowie durch Einrichtung eines für die Datenkontrolle geeigneten Systems können sowohl Compliance als auch der wirksame Schutz in Einklang miteinander funktionieren. Wenn Mitteilungen über eine trotz Pseudonymisierung eingetretene Verletzung des Schutzes personenbezogener Daten durch Steuerung des unternehmensweit relevanten Risikos vermieden werden können, wird die Auswirkung der DSGVO auf das Unternehmen deutlich reduziert und bedeutet gleichermaßen einen Schritt vorwärts in die richtige Richtung.

Share Button: LinkedIn Share Button: XING Share Button: Twitter Share Button: Facebook