Interview mit Dr. Anton Grashion von Cylance zur DSGVO
Inzwischen sind es nur noch wenige Monate bis die EU-Datenschutz-Grundverordnung in Kraft tritt. Dazu Fragen und vor allem Antworten von Dr. Anton Grashion, Senior Director Product Marketing EMEA, Cylance.
Frage: „Was müssen Unternehmen generell tun, um den Vorgaben der DSGVO zu entsprechen und was sollten sie inzwischen getan haben?“
Grashion: „Es gibt jede Menge Beiträge, Empfehlungen und Checklisten, die seit Monaten praktisch täglich veröffentlicht werden. Jedes Unternehmen sollte also wissen, was zu tun ist.
Ganz grob zusammengefasst sollten Firmen die folgenden Punkte beachten: Ein Audit in Bezug auf personenbezogene Daten durchführen, sicherstellen, dass die Firma nachweislich die Vorgaben der DSGVO erfüllt, detaillierte Aufzeichnungen in Hinsicht auf die verarbeiteten Daten erstellen und vorweisen können sowie alle Datenschutzhinweise überprüfen und aktualisieren. Darüber hinaus müssen die Unternehmen interne Richtlinien und die zugehörigen Prozesse überprüfen, denn die DSGVO erfordert neue Prozesse im Hinblick auf die gebotene Transparenz und um die individuellen Rechte jedes Einzelnen im Hinblick auf den Umgang mit seinen Daten umzusetzen und es gilt Privacy by Design und Privacy by Default zu implementieren. Außerdem sind Firmen gefordert, bei ihren Mitarbeitern und Mitarbeiterinnen das erforderliche Bewusstsein für die Umsetzung der DSGVO zu schaffen, Schulungen durchzuführen und Checklisten im Hinblick auf die Datenschutzvorgaben der DSGVO umsetzen und interne Prozesse zu implementieren, um die Anzeigepflicht bei einem Datenschutzvorfall einzuhalten, ebenso wie Planungen, was im Falle eines Datenschutzvorfalls zu geschehen hat und in welcher Reihenfolge. Dazu gehört es, die entsprechenden Compliance-Verantwortlichkeiten personell festzumachen und Budgets anzuweisen und einen Datenschutzbeauftragten zu benennen, zu schulen und in die Lage zu versetzen, dass er seinen Job den Anforderungen entsprechend tun kann.“
Frage: „Den Unternehmen wurden zwei Jahre Zeit gegeben, um die Anforderungen der DSGVO umzusetzen. War das, jetzt wo wir nur noch einige Monate vom Inkrafttreten entfernt sind, ausreichend?“
Grashion: „Ja, davon bin ich überzeugt. Und Firmen haben auch jetzt noch Zeit, rechtzeitig zum Stichtag im Mai fertig zu werden. Natürlich hängt das von der Größe des Unternehmens und dem individuellen Anforderungsprofil ab.“
Frage: „Und wenn nicht, warum nicht? Man konnte zeitweise schon fast von Panikmache rund um die DSGVO sprechen. Wo liegen Ihrer Ansicht nach die tatsächlichen Herausforderungen?“
Grashion: „Wenn ich an dieser Stelle vereinfachen darf, gibt es im Wesentlichen zwei Arten von Kosten, wenn es um die DSGVO geht. Zum einen die unumgänglichen Fixkosten und zum anderen die variablen Kosten. Zu den Fixkosten gehören die Aufwendungen, die ein Unternehmen für ein Audit seiner PII-Daten aufbringen muss. Auch alle Arten von notwendig werdenden Assessments fallen in diesen Bereich. Dazu zählen der administrative und operationale Aufwand, der mit der Benennung und Etablierung eines Datenschutzbeauftragten verbunden ist. Ebenso wie ein Berichtswesen, das sicherstellt, die individuellen Verbraucherrechtssanforderungen und Nachweispflichten zu gewährleisten. Das sind Vorschriften, denen jede Firma Folge leisten muss. Was die Panikmache anbelangt, konzentriert die sich eher auf die variablen Kosten. Die Kosten, die potenziell entstehen, wenn es zu einem Datenschutzvorfall kommt, bei dem personenbezogene Daten betroffen sind. In einer Studie, die das Beratungsunternehmen Accenture jüngst gemeinsam mit dem Ponemon Institute veröffentlicht hat, werden Zahlen von über 90 Prozent genannt, wenn es um die Folgekosten eines potenziellen Datenschutzvorfalls geht. Gemeint sind Folgekosten, durch entgangene Geschäfte, den entstandenen Rufschaden und natürlich die eigentlichen mit der Datenschutzverletzung assoziierten Strafen. Es ist also ganz offensichtlich, dass Unternehmen ihre Anstrengungen darauf konzentrieren, Datenschutzvorfälle so gut wie möglich zu verhindern, wenn die variablen Folgekosten derart unkalkulierbar sind wie in diesem Fall.“
Frage: „Wenn das alles so kompliziert ist wie man uns glauben machen will, gibt es geeignete Technologien, die bei der Umsetzung der DSGVO helfen?“
Grashion: “Absolut, ja. Es gibt eine ganze Reihe von Technologien und Methoden, die helfen, die DSGVO regelkonform umzusetzen. Wir konzentrieren uns dabei in erster Linie darauf, Malware vorausschauend abzuwehren, bekannte Malware und, was noch wichtiger ist, bisher unbekannte Schadsoftware.“
Frage: „Aus ihrer Sicht: ist es realistisch, dass die Vorschriften umgesetzt werden und ihre Umsetzung tatsächlich kontrolliert werden kann?“
Grashion: „Auch das, ja. Wenn man einigen der aktuellen Studien Glauben schenken darf, haben doch viele Firmen inzwischen die notwendigen Voraussetzungen geschaffen. Die Einhaltung zu überwachen, dabei sind zunächst die Unternehmen selbst gefragt. Sie müssen die entsprechenden Berichte zur Verfügung zu stellen. Und schließlich sind Regulierer und Regulierungsbehörden angetreten, den Forderungen der DSGVO Nachdruck zu verleihen. Wie sich das tatsächlich auswirkt, wenn die ersten Fälle in der Praxis auftreten, das ist noch eine ganz andere Sache.“
Frage: „Sind die Anforungen der DSGVO am Ende doch gar nicht soweit entfernt von dem was man als ‚gute‘ und ‚empfohlene‘ Sicherheitsmaßnahmen und Compliance-Prozesse betrachten würde? Und denen sollte jedes Unternehmen ja ohnehin verpflichtet sein.“
Grashion: „Da stimme ich zu. Etliche Firmen haben beim Schutz von PII-Daten sehr gute Praktiken umgesetzt. Vieles davon hat die DSGVO formalisiert und jetzt für alle EU-Staaten harmonisiert. Das halte ich unbedingt für eine gute Sache.“
Frage: „Worin bestehen die Hauptaufgaben einer IT-Abteilung, wenn sie sicherstellen will, dass ein Unternehmen auch weiterhin den Compliance-Anforderungen entspricht?
Grashion: „Ganz platt gesprochen – verhindern Sie soweit wie möglich, dass personenbezogene Daten von einer Datenschutzverletzung betroffen sind. Die Anforderungen der DSGVO sind etwas vage formuliert, wenn es an die ‚State of the Art‘-Technologien geht, die Firmen einsetzen sollten, um gegen Datenschutzverletzungen vorzubeugen und Angriffe abzuwehren. Da gibt es einiges an Interpretationsspielraum für Kommentare. Artikel 29 ist beispielsweise kürzlich um einige spezifische Reporting-Empfehlungen bei der Anzeigepflicht erweitert worden. Dabei geht es insbesondere um Ransomware. Wenn es einer Ransomware gelingt personenbezogene Daten zu verschlüsseln, dann ist das als Datenschutzverletzung meldepflichtig. Ebenso ist es meldepflichtig, sollten Sie kein ausreichendes Backup dieser Daten gefahren haben. Und selbst wenn Sie ein Backup haben, können die Regulierungsbehörden an dieser Stelle nachfassen, etwa ob Sie ausreichende Datenschutzvorkehrungen getroffen haben was insbesondere den Schutz vor Malware anbelangt. Zudem muss die Lösung nachweislich einen ausreichenden Malware-Schutz bieten.“
Frage: „Gibt es noch weitere erwähnenswerte Punkte?“
Grashion: „Regulierer und Regulierungsbehörden sind sicherlich nicht dazu da Firmen unnötig zu bestrafen, die Opfer einer Datenschutzverletzung geworden sind. Aber diese Kontrollinstanzen sollten in der Lage sein, gute Praktiken aufzuzeigen, die zur Umsetzung der DSGVO geeignet sind. Jedes Unternehmen, das in der Lage ist zu zeigen, dass und wie es personenbezogene Daten schützt, wird davon profitieren. Insbesondere was seinen Ruf und die Position im Wettbewerb anbelangt.“