Sergii Figurnyi - Fotolia

EU-DSGVO: Kryptischen Gesetzestexten mit Kryptologie begegnen

Bis zum Mai 2018 muss die EU-DSGVO umgesetzt werden. Jede Organisation, die mit personenbezogenen Daten arbeitet, muss sich daher richtig vorbereiten.

Die Uhr tickt. Und bei Verantwortlichen in Unternehmen, Behörden und anderen Organisationen wird es langsam eng. Denn am 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung, kurz DSGVO oder international auch GDPR, offizielle Rechtsgrundlage für den Umgang mit personenbezogenen Daten. Trotzdem ist die Unwissenheit noch weit verbreitet: Laut aktuellen Studien kennen viele kleine und mittlere Unternehmen die DSGVO überhaupt nicht. Jetzt zu handeln ist daher unabdingbar.

Am 27. April 2017 stimmte der Deutsche Bundestag einem sprachlichen Ungetüm zu: dem sogenannten Datenschutz-Anpassungs- und Umsetzungs-Gesetz (DSAnpUG). Damit soll die Jahre zuvor von der EU beschlossene Datenschutz-Grundverordnung (DSGVO) in deutsches Recht gegossen werden.

Bereits im Vorfeld hagelte es teils heftige Kritik, von Aktivisten wie Datenschutzbeauftragten gleichermaßen. Doch gleich, ob das neue Gesetz in der jetzigen Form den Bundesrat passiert oder nicht, als EU-Verordnung gilt die DSGVO auch ohne äquivalentes nationales Gesetz. Jedwede Organisationen, die mit personenbezogenen Daten arbeiten, müssen sich daher richtig vorbereiten.

Ignorieren, oder sich auf die bisherigen Datenschutzmaßnahmen im Sinne der noch geltenden Rechtslage zu verlassen, kann sehr teuer, wenn nicht gar existenzbedrohend werden. Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Firmenumsatzes sprechen hier eine ganz eindeutige Sprache. Und dennoch: Die Analysten von Gartner rechnen damit, dass noch bis Ende 2018 rund 50 Prozent der weltweit betroffenen Organisationen nicht DSGVO-konform sein werden. Dabei ist die Anpassung der unternehmenseigenen Compliance kein Hexenwerk.

Die wesentlichen Neuerungen der EU-DSGVO

Deutschland ist bekannt für seinen strengen Datenschutz, und das dazu gehörige Bundesgesetz gilt sogar global häufig als Richtmaß. Doch geht die DSGVO in vielerlei Hinsicht noch einen Schritt weiter. Unter anderem gelten personenbezogene Daten bereits als verletzt, wenn ihre Verfügbarkeit nicht gewährleistet ist.

Konkret muss etwa Anfragen von Kunden maximal einen Monat nach Eingang Folge geleistet werden – gleich, ob es sich um den Zugang zu oder das Löschen von Daten handelt. Auch bei Datenlecks muss wesentlich schneller (spätestens 72 Stunden nach Erkennen des Vorfalls) und umfangreicher (bei hochsensiblen Daten sind die Betroffenen direkt zu informieren) gehandelt werden.

Zudem gilt die Datenschutz-Grundverordnung weltweit – nämlich sobald es um personenbezogene Daten eines EU-Bürgers geht. Bei rund 500 Millionen Einwohnern und der wirtschaftlichen Bedeutung als mit Abstand größter Binnenmarkt der Welt muss die Reichweite der Verordnung als geradezu grenzenlos eingeschätzt werden. Schließlich muss jede Organisation, die mit Daten eines EU-Bürgers arbeitet, unabhängig von ihrem Standort sicherstellen, dass ihre Datenschutz-Maßnahmen DSGVO-konform sind.

Verschlüsselung als angemessenes Schutzniveau

Verklausulierte Formulierungen und kryptische Satzstellungen sind nichts Neues bei Gesetzestexten – auch die Datenschutz-Grundverordnung ist hier keine Ausnahme. Zunächst sollten auch ohne konkrete Vorgabe bei den Sicherheitsmaßnahmen VPN-Netze, Virenscanner und Firewalls für jede Organisation den absoluten Minimalstandard darstellen. Um auf Datenabfragen rechtzeitig und vollumfänglich reagieren zu können, ist ein entsprechendes Daten-Management ebenfalls unumgänglich – Verantwortliche müssen somit genau wissen, wo sich die ihnen anvertrauten Daten befinden und wie ihr Status ist.

So wichtig auch die beiden zuvor genannten Maßnahmen sind: Kommen Daten auf irgendeine Weise abhanden, hilft weder das eine noch das andere. Und sind Daten in diesem Fall frei zugänglich, wird es teuer. Sind sie jedoch durch moderne Verschlüsselung gesichert, schlagen Organisationen gleich zwei Fliegen mit einer Klappe: Zum einen haben sie sich durch die Chiffrierung personenbezogener Daten DSGVO-konform verhalten – Artikel 32 bezeichnet ausdrücklich die Verschlüsselung als „angemessenes Schutzniveau“.

Zum anderen gelten Daten bei einem hohen Verschlüsselungsgrad erst gar nicht als wirklich verloren. Der Grund: Sind Unbefugte nicht in der Lage, auf Daten sinnvoll zuzugreifen, sind diese für sie wertlos. Schließlich erhalten sie lediglich Zugriff auf einen kryptischen Datensalat, mit dem sie überhaupt nichts anfangen können. Das schützt Mitarbeiter- oder Kundendaten gleichermaßen und bietet einen weiteren Vorteil: Die betroffenen Personen müssen nicht über den Datenvorfall informiert werden.

Auch in der Cloud Verantwortung übernehmen

Verschlüsselung ist das eine – damit ist jedoch noch nicht die Frage des Key-Managements geklärt. Denn bei einer heutzutage standardmäßig heterogenen IT-Landschaft – unterschiedliche Betriebssysteme, stationäre und mobile Geräte sowie Server- und Cloud-Umgebungen – ist eine intelligente Schlüsselverwaltung ein ganz entscheidendes Erfolgskriterium. Schließlich müssen die Verantwortlichen sicherstellen, jederzeit die Übersicht zu behalten. Dafür gibt es beispielsweise zentralen Konsolen, mit denen sich alle über die gesamte IT-Infrastruktur vergebenen Schlüssel managen lassen. Sind zudem die Verschlüsselungs-Keys zum Eigenschutz selbst auch noch einmal verschlüsselt, ist das sozusagen gleich doppelt DSGVO-konform.

„Ein Jahr geht schnell vorüber. Daher sollte sich spätestens jetzt jeder Verantwortliche ausführlich mit den Voraussetzungen der Datenschutz-Grundverordnung auseinandersetzen.“

 James LaPalme, WinMagic

Doch endet die Verantwortung von Organisationen keineswegs bei den eigenen Geräten und Datenträgern. Denn wer Daten verwaltet und mit ihnen arbeitet gilt als ihr Urheber und kann den Datenschutz nicht an einen externen Dienstleister auslagern. Wer als Unternehmen etwa auf Cloud Computing setzt, bleibt für die Sicherheit der Daten verantwortlich. Auch wenn die meisten Cloud-Anbieter selbst verschlüsseln, sollte in diesem Fall ebenso wieder auf eigene Verschlüsselung gesetzt werden. Schließlich können Organisationen nur so wirklich gewährleisten, dass sie die Kontrolle über die Sicherheitsmaßnahmen behalten. Zudem schützen sie die Daten auch vor unberechtigtem Zugriff von Seiten des Cloud-Anbieters.

DSGVO – streng, aber handhabbar

Ein Jahr geht schnell vorüber. Daher sollte sich spätestens jetzt jeder Verantwortliche ausführlich mit den Voraussetzungen der Datenschutz-Grundverordnung auseinandersetzen. Auch externe Expertise zurate zu ziehen, kann eine wertvolle Maßnahme sein. Daraufhin lässt sich die IT-Sicherheit der eigenen Organisation entsprechend evaluieren und passend nachrüsten. Moderne Verschlüsselung sollte dabei nicht nur in Betracht gezogen, sondern als unentbehrlich verstanden werden. Denn wenn alle anderen Stricke reißen, ist sie der letzte Schutzwall, der – richtig eingesetzt – ein unüberwindbares Hindernis darstellt.

Über den Autor:
James LaPalme ist Vice President Business Development & Cloud Solutions bei WinMagic.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: EU-Datenschutz-Grundverordnung richtig umsetzen

Verschlüsselung als Sicherheitskonzept für Unternehmen

Verschlüsselung: Hintertüren führen ins Nichts

EU-Datenschutz-Grundverordnung: Unternehmen rechnen mit Kosten von 820.000 Euro

Artikel wurde zuletzt im Mai 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close