ESG ist zwar noch nicht in aller Munde, macht aber auch in Deutschland immer mehr von sich reden.
ESG
Environmental, Social & Corporate Governance (ESG) ist zwar noch nicht in aller Munde, macht aber auch in Deutschland immer mehr von sich reden. Es handelt sich um einen relativ neuen Ansatz, um zu bewerten, in welchem Maße Unternehmen sich für Ziele einsetzen, die über die Gewinnmaximierung für ihre Aktionäre, Eigentümer, Stakeholder etc. hinausgehen. Zu diesen Zielen gehören beispielsweise bestimmte ökologische Vorgaben, die Unterstützung bestimmter sozialer Bewegungen und die Frage, ob das Unternehmen in einer Weise geführt wird, die Diversität, Gleichheit und Inklusion fördert. Auch an den Umgang mit Daten stellen ESG-Vorgaben wichtige Anforderungen. Unternehmen werden demnach auch daran gemessen, wie sorgfältig sie mit sensiblen Daten ihrer Angestellten, Kunden und Partner umgehen. Woran aber sollten Unternehmen sich orientieren, um sicher zu stellen, dass sie dem Datenschutzaspekt von ESG gerecht werden?
GeschGehg
Eine gute Orientierung bietet das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), das seit 2019 entsprechende EU-Richtlinien in deutsches Recht umsetzt und erstmals juristisch definiert, was ein Geschäftsgeheimnis darstellt. In die Definition fließt u.a. die Bestimmung ein, dass nur dann ein Geschäftsgeheimnis vorliegt, wenn das Unternehmen angemessene Geheimhaltungsmaßnahmen getroffen hat. Beurteilt also ein Gericht im Falle eines Datendiebstahls die Geheimhaltungsmaßnahmen als unzureichend, hat ein Unternehmen keinen Anspruch auf Strafverfolgung, weil es sich dann nicht um Geschäftsgeheimnisse im juristischen Sinne handelt. Sind Geschäftsgeheimnisse, also letztlich Daten, nicht genügend gegen kriminellen Zugriff gesichert, droht zum finanziellen Verlust auch noch der Image-Schaden.
DSGVO
Die inzwischen bekanntesten juristischen Vorgaben für einen sorgfältigen Umgang mit Daten ergeben sich über das GeschGehG hinaus aus der Datenschutzgrundverordnung (DSGVO) zusammen mit dem Schrems-II-Urteil. Demnach dürfen Unternehmen nur dann personenbezogene Daten an außereuropäische Cloud-Dienste übertragen, wenn sie geeignete technische Maßnahmen zum Schutz dieser Daten vor unbefugtem Zugriff durch Dritte treffen. Hier ist vor allem der unbefugte Zugriff durch außereuropäische Staaten gemeint. Der Europäische Datenschutzausschuss (EDSA) wird noch konkreter und nennt die Verschlüsselung oder Pseudonymisierung von Daten, bevor diese an die Cloud übertragen werden, als adäquate Maßnahme, um DSGVO-Konformität zu erreichen.
Datenverschlüsselung hilft
Die Verschlüsselung und/oder Pseudonymisierung von Daten, bevor diese die geschützte Unternehmensumgebung verlassen, erweist sich als bestes Mittel, um empfindliche Strafen wegen eines Verstoßes gegen die DSGVO zu vermeiden. Weil es sich um die stärkste technische Maßnahme zum Schutz von Daten handelt, ist die Verschlüsselung auch Mittel der Wahl, wenn es darum geht, sich im Rahmen des GeschGehG zu schützen und die ESG-Vorgaben zum Datenschutz zu erfüllen. Letztere gewinnen auch für deutsche Unternehmen stets an Bedeutung.
Jede auch nur halbwegs realistische IT-Sicherheitsstrategie muss anerkennen, dass es keinen absoluten Schutz vor unbefugtem Zugriff auf Daten geben kann. Selbst technisch äußerst fortschrittliche Unternehmen können schlagzeilenträchtig Opfer von Cyberangriffen werden, zumal die Kriminellen verstärkt menschliche Schwächen ausnutzen, um sich Zugriff zu IT-Systemen zu verschaffen. Die einzige technische Maßnahme, die ein Unternehmen auch gegen menschliche Schwächen wappnet, ist die Kryptographie. Auch Verschlüsselung kann zwar nicht verhindern, dass sensible Daten in die falschen Hände geraten. Sie sorgt jedoch dafür, dass die gestohlenen Daten für Kriminelle und fremde Staaten wertlos, weil unlesbar, sind.
Ein Grund Mehr
Letztlich stellt also auch der ESG-Trend keine neuen Anforderungen an den Datenschutz, sondern liefert lediglich einen Grund mehr, sensible Daten zu verschlüsseln. Als stärkste technische Maßnahme zum Datenschutz bietet die Verschlüsselung darüber hinaus Zukunftssicherheit. Anders ausgedrückt: Mehr geht nicht!
Disclaimer:
Soweit dieses Dokument juristische Erläuterungen und Ratgeber enthält, so stellen diese unverbindliche Informationen ohne jede Gewähr für Vollständigkeit und Richtigkeit dar. Es handelt sich insoweit nicht um Rechtsberatung und die Eperi GmbH erhebt auch keinesfalls den Anspruch eine solche darzustellen oder gar zu ersetzen.
