Datenschutz-Grundverordnung: Europäische Unternehmen und Kommunen vernachlässigen professionellen Datenschutz

Autor/Redakteur: Sven Hoge, Channel Manager DACH bei Ipswitch/gg

Sven_Hoge

„Wer jetzt kein Haus hat, baut sich keines mehr. Wer jetzt allein ist, wird es lange bleiben“, warnt Rilke die Unvorbereiteten vor dem nahenden Herbst. Ähnlich unter Zeitdruck stehen die europäischen Unternehmen, wenn es um die von der EU für Ende 2015 geplante Einführung einer Datenschutz-Grundverordnung (General Data Protection Regulation, GDPR) geht, wonach einheitliche Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen EU-weit gelten sollen. Die geplante Datenschutz-Grundverordnung (zu Deutsch DSGVO) wird das bis dahin geltende nationale Datenschutzrecht grundlegend verändern. Den EU-Staaten wird es dann nicht mehr möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch individuelle Eingriffe zu beeinflussen. Unternehmen und öffentliche Behörden zeigen sich hingegen noch auffallend unbeeindruckt, wenn nicht gar unwissend, wenn es um dieses Thema geht. Im Ernstfall können Nachlässigkeiten empfindliche Geldstrafen nach sich ziehen.

Eine kürzlich in Deutschland, Großbritannien und Frankreich durchgeführte Umfrage von Ipswitch machte erschreckend deutlich, dass mehr als die Hälfte (56 Prozent) der 316 befragten Unternehmensadministratoren nicht wusste, wofür die Abkürzung GDPR steht. 52 Prozent gaben zu, nicht auf die Datenschutz-Grundverordnung vorbereitet zu sein. 35 Prozent konnten nicht sagen, ob ihre IT-Richtlinien und Prozesse den neuen Vorgaben entsprechen. Und von 79 Prozent Cloud-Nutzern haben nur sechs Prozent bei ihrem Cloud-Anbieter nachgefragt, wie dieser es mit der Datenschutz-Grundverordnung denn halte. Lediglich zwölf Prozent fühlten sich gut auf die Änderungen vorbereitet. Zu einem ähnlich enttäuschenden Ergebnis kommt der neue Bericht des Britischen Information Commissioner’s Office (ICO). Demzufolge bestehe bei britischen Kommunalverwaltungen in puncto Schulungen und Verfahren des Datenschutzes ein erheblicher Verbesserungsbedarf. Wenn hier nicht nachgebessert würde, drohten überhöhte Risiken die geltenden Datenschutzbestimmungen massiv zu verletzen.

Unsichere Dateiverarbeitungsmethoden begünstigen Datenschutzverletzungen

Datenpannen, wie etwa von den veröffentlichten Privatfotos von Prominenten aus Apples angeblich gehacktem iCloud-Dienst über die Abmahnwelle für Redtube-Nutzer bis hin zu gestohlenen E-Mail-Adressen aus einem Dropbox-Mitarbeiterkonto, sind nur die medienwirksame Spitze missachteten Datenschutzes. Derartige Auswirkungen von Datenschutzverletzungen durch unsichere Dateiverarbeitungsmethoden verdeutlichen, wie wichtig die Einhaltung von gesetzlichen Richtlinien durch Unternehmen und Kommunen ist. Überdies zeigen all diese Vorfälle, wie einfach ungeschützte Daten, ohne ein funktionierendes Datenschutzverfahren, zu stehlen und zu missbrauchen sind.

Was können und sollten Organisationen tun, um ihre Daten sicher und gesetzeskonform zu verarbeiten? Das ICO nennt Maßnahmen, die es unbedingt zu beachten gilt: etwa die Zuweisung des Datenbesitzes an Schlüsselinstanzen, die Veröffentlichung von Richtlinien sowie ein Verfahrenszugang für alle Mitarbeiter. Diese erreichten Unternehmen durch einen protokollierten Filetransfer und eindeutige Unternehmensrichtlinien hinsichtlich der Vergabe von Zugriffsrechten auf bestimmte Daten.