DSGVO und ihre Folgen besser verstehen

RechtRegulierung

Detlef Schmuck von TeamDrive Systems GmbH sieht die DSGVO als mögliche Bedrohung unternehmerischer Existenzen. Als Gründe nennt er enorm hohe Strafzahlungen, die durch die Verordnung drohen, einen frappierenden Mangel an Fachkräften der IT-Sicherheit, sowie Unklarheiten im Umgang mit gesetzlichen Formulierungen.

Konsequente Datensicherheit ist für sensible Unternehmensdaten absolute Pflicht. Doch strikte Vorgaben und Gesetzgebungen setzen kleine und mittelständische Unternehmen immer stärker unter Druck. Die geplante Standardisierung der Sicherheitslandschaft ist für Firmen mit nur wenigen Beschäftigten auch sicher nicht leicht. Bisher hatten diese Unternehmen im Regelfall auf die Schaffung eigener Lösungen gesetzt, um Daten zu sichern.

Detlef Schmuck, der Autor dieses Gastbeitrag für silicon.de, ist Geschäftsführer von TeamDrive. (Bild: TeamDrive)
Detlef Schmuck, der Autor dieses Gastbeitrag für silicon.de, ist Mitgründer und COO von TeamDrive. (Bild: TeamDrive)

Im Ergebnis verfügen sie heute nur selten über eine umfassende Sicherheitsstruktur, die ihre IT-Infrastruktur professionell schützt. Unternehmen mit weniger als zehn Mitarbeitern mussten bislang außerdem nicht einmal einen Datenschutzbeauftragten beschäftigen. Die Herausforderung Datensicherheit war in kleinen und mittelständischen Unternehmen damit eher eine individuelle Angelegenheit und ihre Inhalte für Außenstehende kaum nachvollziehbar.

Ab 2018 ist mit diesem Wildwuchs endgültig Schluss. Bis zum 28. Mai des kommenden Jahres müssen auch kleine Unternehmen die Vorgaben und Anforderungen der so genannten Datenschutzgrundverordnung (DSGVO) umgesetzt haben. Nach fast vierjähriger Debatte hatten sich der Europäische Rat, das Europäische Parlament und die Europäische Kommission auf die Inhalte der Verordnung geeinigt. Den Unternehmen wurde ein Zeitraum von zwei Jahren zugestanden, um die internen Strukturen auf die Vorschriften der DSGVO anzupassen.

Um zu verstehen, warum kleine und mittelständische Unternehmen an der Herausforderung DSGVO trotz dieser Vorbereitungsphase im Zweifel scheitern werden, muss der Blick auf die Entwicklung der Digitalisierung gelenkt werden.

Am Anfang steht die Cloud

Die Cloud steht ein Stück weit stellvertretend für die Digitalisierung. Der Grund dafür ist einfach: Je mehr digitalisiert wird, desto mehr Daten entstehen und diese müssen auch irgendwo gespeichert werden. Ziel der IT-Sicherheit ist es, diese Daten zu schützen. Auch die Sicherheit der Datenübermittlung und der Datenintegrität erfordert hohe Aufmerksamkeit. Dazu kommt, dass bestimmte Vorgaben und Gesetze eingehalten werden müssen. Einer effizienten Arbeit im Tagesgeschäft sollten Sicherheitsmaßnahmen allerdings nicht im Weg stehen – und genau diesen Spagat zwischen Datenschutz und digitalem Fortschritt ermöglicht die Cloud.

Multi-Cloud (Bild: Shutterstock.com/bluebay)
Vielen Unternehmern ist gar nicht bewusst, dass es “die Cloud” gar nicht gibt. Vielmehr können sich Anwender zwischen verschiedenen Cloud Umgebungen entscheiden. (Bild: Shutterstock.com/bluebay)

Dennoch empfinden viele Unternehmen die Verantwortung für die Sicherheit der genutzten Daten als Last. Oft setzen sie daher noch auf On-Premise Lösungen, also auf die Datenhaltung in den eigenen Räumlichkeiten. Vor allem Sicherheitsbedenken und Datenschutzgründe verunsichern Verantwortliche und halten Unternehmen davon ab, auch nur einen Teil des Datenmaterials in der Cloud zu speichern. Auch die Angst vor Abhängigkeit von einem bestimmten Anbieter steht auf der Liste der Vorbehalte gegen Cloud-Lösungen.

Bei allen Bedenken sollten sich Firmen allerdings bewusstmachen, dass eine Cloud unschätzbare Vorteile beim Thema IT-Sicherheit bietet. Nur ein erfahrener Cloud-Anbieter ermöglicht durch sein Wissen und das genutzte Netzwerk schließlich eine unterbrechungsfreie Stromversorgung und ist in der Lage, aufwändige Vorkehrungen für Brandschutz sowie Backup-Lösungen an verteilten Standorten zu treffen. Dazu verfügen die Verantwortlichen durch die Leistungen der Cloud-Anbieter stets über eine aktuelle Firewall und neueste Verschlüsselungstechnologien. Alles Aufgaben, die für ein Unternehmen, das auf sich allein gestellt ist, im Tagesgeschäft kaum machbar sind.

Dennoch wäre ein blindes Vertrauen in den Anbieter einer Cloud-Lösung unangebracht. Wer seine Daten in die Cloud lagert, sollte sich vielmehr über drei Inhalte bei seinem Anbieter informieren: Über den Standort der Rechenzentren, Zertifizierungen des Anbieters und die integrierten Angebote:

1. Standort der Rechenzentren und Zertifizierungen

Hier geht es um die Kontrolle über den Datenfluss und die Services, die in diesem Zusammenhang möglich werden. Relevant ist ein Standort innerhalb Deutschlands. Nur dann unterliegen die Daten deutschem Recht und werden auch dementsprechend geschützt. Zertifikate belegen, dass der Anbieter bestimmte Richtlinien einhält. Das wird wichtig, wenn es darum geht, eine Auswahl aus einer Vielzahl an Cloud-Anbietern zu treffen.

2. Sicherheit und Verschlüsselung der Daten in der Cloud

Auch ein sicherer Standort allein ist kein ausreichender Schutz, sondern es sollte insbesondere darauf geachtet werden, dass Daten in der Cloud möglichst immer hoch verschlüsselt bleiben. Der Gesetzgeber honoriert eine Ende-zu-Ende-Verschlüsselung mit reduzierten Haftungs- und Melderisiken, sollte es zu einem Datenleck in der Cloud kommen.

3. Cloud ist nicht gleich Cloud

Vielen Unternehmern ist gar nicht bewusst, dass es “die Cloud” gar nicht gibt. Vielmehr können sich Anwender zwischen verschiedenen Cloud Umgebungen entscheiden. Dazu gehören “public”, “private” oder “hybrid”-Cloud. Als Hybrid Cloud wird eine Cloud Umgebung bezeichnet, in der Unternehmen einen Teil On-Premise verwalten, während der andere Datenanteil bei einem Service Provider gehostet wird.

Compliance (Bild: Shutterstock)

Die Vorschriften der DSGVO

Die Gesetzgebung schreibt durch die DSGVO strenge Richtlinien vor, wie diese Daten in der Cloud zu sichern sind. Ein Hauptbestandteil der “neuen Sicherheit” soll sein, dass natürliche Personen künftig einen einfacheren Zugang zu ihren Daten haben sollen. Jede natürliche Person hat damit das Recht zu erfahren, welche Daten über sie gesammelt und gespeichert werden. Sie soll über die weitere Ver- und Bearbeitung der Daten konsequent informiert werden. So soll es jeder natürlichen Person möglich werden, zeitnah Maßnahmen zu ihrem Schutz zu ergreifen.

Hintergrund dieser umfassenden Informationspolitik ist, dass personenbezogene Daten der jeweiligen natürlichen Person gehören und nicht einem mit der Datenverarbeitung befassten Internetdienst. Entsprechend wird nach in Kraft treten der Verordnung auch jede natürliche Person das Recht haben, ihre Daten von einem Internetanbieter zum anderen mitzunehmen. Zudem hat jede Person auch das Recht, dass Daten dauerhaft gelöscht werden.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Dass diese Inhalte zum Schutz personenbezogener Daten eingehalten werden, dazu sind Behörden und Unternehmen verpflichtet. Jederzeit müssen sie problemlos nachweisen können, dass die Vorgaben eingehalten werden.

Zusammengefasst sehen sich Unternehmen künftig folgenden Änderungen und Aufgaben im Umfeld der DSGVO gegenüber:

  1. Anpassung der Unternehmensstruktur: Einführung eines Datenschutzmanagements, um personenbezogene Daten zu sichern
  2. Sich Gefahren bewusst machen: hohe Strafen, noch nicht umgesetzte Regelungen, keine Fachkräfte, kein Datenschutzbeauftragter
  3. Bei Folgen richtig reagieren: Kommen personenbezogene Daten abhanden, ist das der Aufsichtsbehörde innerhalb von 72 Stunden zu melden. Zudem ist der betroffene Personenkreis in vielen Fällen unverzüglich über den Datenverlust zu informieren.
  4. Zu erwartende Strafen: Die Strafe für Verstöße kann bis zu 20 Millionen Euro, oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes betragen. Da die deutsche Versicherungswirtschaft Versicherungen gegen Geldbußen wegen Sittenwidrigkeit ausschließt, heißt das: Die Zeche zahlt der Verantwortliche persönlich.

Status quo und Aufgaben der Zukunft

Viele Unternehmen haben bis zum jetzigen Zeitpunkt die Verordnung noch längst nicht umgesetzt. Immer noch werden viel zu viele Daten beispielsweise auf USB Geräten gespeichert, doch die kleinen Helfer gehen oft verloren. Eine folgenschwere Tatsache, denn verschlüsselt sind die Daten auf den kleinen Helfern so gut wie nie. Auch eine Lösung der schleppenden Umsetzung im Auftrag der DSGVO ist noch lange nicht in Sicht, denn Fachkräfte der IT-Sicherheit sind rar. Gerade kleinere Unternehmen stehen vor der großen Aufgabe, einen Datenschutzbeauftragten zu wählen, der bei der Lösung der Herausforderungen hilft.

TeamDrive bietet als Sync&Share-Anbieter den Anwendern eine helfende Hand. Die Software überwacht beliebige viele lokale Dateien und Ordner im Dateisystem und synchronisiert diese mit den persönlich eingeladenen Team-Mitgliedern. Als Vermittlungsserver kann die eigene Cloud dienen, eigene Server oder ein kompatibler WebDAV Server.

Die kostenlose Software TeamDrive Personal Server kann ebenfalls für diesen Zweck verwendet werden. Der integrierte Audit Trail ermöglicht eine detaillierte, durchgängige und nachvollziehbare Beschreibung aller Veränderungen von Daten und Dokumenten in TeamDrive und ist mit AES 256 Bit verschlüsselt. Es hilft, eine automatische Versionsverwaltung sowie automatische Backup-Funktion der Daten einzurichten und ermöglicht eine Offline-Bearbeitung mit automatischer Synchronisation. Bei allen Features unterstützt vor allem eine vollständig redundante Datensicherung in der Cloud durch Ende-zu-Ende-Verschlüsselung dabei, sich mit wenig Aufwand wieder auf das Wesentliche zu konzentrieren: Die eigene tägliche Arbeit ohne Sorgen vor gesetzlichen Folgen.