Ein Jahr DS-GVO: Viel Lärm um nichts?

Vor einem Jahr trat die Europäische Datenschutz-Grundverordnung endgültig in Kraft. Ein Ende der Zeitenrechnung fand am 25. Mai 2018 allerdings genauso wenig statt wie am 31. Dezember 1999 oder dem 21. Dezember 2012. Es ist meiner Meinung nach aber durchaus angebracht, von einer echten Zeitenwende zu sprechen. Denn die DS-GVO wird tatsächlich „gelebt“ und hat zu einer breiten Sensibilisierung in Sachen Datenschutz geführt. „Viel Lärm um Nichts“ also? Oder doch eher „Ende gut, alles gut“? In Wahrheit ist es weder das Eine noch das Andere – wir haben in dieser „Unendlichen Geschichte“ schlichtweg unser Ziel noch nicht erreicht. Das nächste Kapitel wird gerade aufgeschlagen – in Form des „Gesetzes zum Schutz von Geschäftsgeheimnissen“ (GeschGehG), das Ende April in deutsches Recht umgesetzt wurde.

Eines haben die vielen Gespräche, die meine Kollegen und ich in den vergangenen Monaten geführt haben, ganz deutlich gezeigt: Die DS-GVO ist richtungsweisend, sie wird in Unternehmen gelebt – und sie hat, selbst bei Privatanwendern, zu einer enormen Sensibilisierung in Sachen Datenschutz geführt. Ähnlich wie beim Jahr-2000-Problem oder dem durch den Maya-Kalender vermeintlich prognostizierten Weltuntergang 2012 fand vor einem Jahr kein Ende der Zeitenrechnung statt.

Zwar war offensichtlich, dass Unternehmen nicht sofort belangt werden würden – wer seit dem Stichtag den Aufsichtsbehörden aber nicht belegen kann, zumindest an einer den Anforderungen entsprechenden Anpassung seiner Prozesse und Tools zu arbeiten, der handelt(e) grob fahrlässig und muss zu Recht mit Strafen rechnen. Auch nach der ersten großen Welle, kurz vor Inkrafttreten der DS-GVO (die beispielsweise dazu führte, dass wir eine spezielle Lösung für kleine Firmen mit bis zu 25 Mitarbeitern auf den Markt brachten), registrieren wir nach wie vor zahlreiche Anfragen aus den unterschiedlichsten Branchen, beispielsweise dem Gesundheitssektor mit seinen besonders sensiblen Patientendaten. Neben der Übertragung großer Datenmengen und dem Schutz vor Spionage fällt ein Stichwort dabei immer häufiger: Compliance.

Fortsetzung folgt: Handlungsdruck nimmt zu

Unternehmen sind nach wie vor in ganz unterschiedlichem Maße gewappnet. Während die Einen lieber einmal zu oft nachfragen, haben die Anderen entsprechende Maßnahmen zeit- und budgettechnisch noch immer nicht eingeplant. Das liegt daran, dass Behörden in der DACH-Region zurückhaltender agiert haben. Und genau das wird sich nun ändern, der Handlungsdruck nimmt zu. Nach dem Stichtag waren Behörden eher in beratender Funktion aktiv und boten bei Anfragen eine „stützende Schulter“, viele Datenschutzbeauftragten verhielten sich – auch wegen Personalmangels – eher reaktiv. Nun werden sie die Unterstützung bei Beratungsanfragen immer stärker zugunsten von Sanktionen zurücknehmen.

Was ohnehin nicht heißt, dass bisher alles ruhig geblieben wäre: Im Juli 2018 stahlen Cyber-Kriminelle Passwörter, E-Mail-Adressen und Pseudonyme von über 300.000 verifizierten Nutzern bei einem Chat-Portal und veröffentlichten die Daten im Internet. Für die Betroffenen war die Datenpanne sehr ärgerlich, dem deutschen Anbieter kam sie teuer zu stehen. Er erhielt als erstes Unternehmen eine Strafe nach der Datenschutz-Grundverordnung und musste ein Bußgeld in Höhe von 20.000 Euro zahlen. Er hatte die Daten seiner Kunden nicht verschlüsselt, sondern im Klartext gespeichert.

Einer aktuellen repräsentativen Forsa-Befragung im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zufolge hatten viele deutsche Unternehmen bereits Probleme mit der Datensicherheit, jeder 25. Mittelständler meldete eine Datenpanne. Wie teuer ein Verstoß werden kann, zeigen die Rekordstrafen in Portugal und vor allem Frankreich, wo die Datenschutzaufsicht ein Bußgeld von 50 Millionen Euro gegen den US-Konzern Google verhängte.

Nebeneffekt der verschärften Datenschutz-Vorschriften: Die Nachfrage nach Cyber-Versicherungen gegen Internetkriminalität steigt. Diese Versicherungen können übrigens eine gute Sache sein, wenn noch einige Ergänzungen folgen und wenn Unternehmen die IT-Security dadurch nicht auf die leichte Schulter nehmen. Daher sollten sich die Beitragshöhen an verschiedenen Sicherheitsstandards orientieren: Wie bei Zahnversicherungen, die bei regelmäßiger Prophylaxe günstiger werden. Und nur wenn anerkannte Tools – wie beispielsweise für die von der DS-GVO geforderte E-Mail-Verschlüsselung – eingesetzt werden, kann der Vertrag zustande kommen.

Unendliche Geschichte: Vom Schreckgespenst zum Exportschlager

Parallel zeigt sich: Der Datenschutz nach Vorbild der europäischen Verordnung wird zum „Exportschlager“. Politik und Unternehmen in den USA sind aufmerksam geworden und suchen nach konkreten Lösungen. Ende des vergangenen Jahres hatte Apple-CEO Tim Cook die Verordnung ausdrücklich als Basis für einen weltumspannenden Datenschutz gelobt, vor Kurzem forderte Facebook-Chef Mark Zuckerberg weltweite Internet-Regulierung nach ihrem Vorbild.

Noch gibt es ein vergleichbares Gesetz auf dortiger Bundesebene nicht. Doch mit Kalifornien und Vermont haben die ersten Bundesstaaten neue Datenschutzgesetze nach europäischem Vorbild erlassen. Der „California Consumer Privacy Act“ soll 2020 in Kraft treten, im Zentrum steht der Schutz der Verbraucher beim Umgang mit personenbezogenen Informationen. Das Besondere am CCPA ist, dass er von einer Bürgerinitiative ausging – deutlicher kann ein Signal für das Bürgerinteresse an einem funktionierenden Datenschutzsystem nicht sein.

Ich bleibe dabei: Die Bundesebene in den USA muss und wird nachziehen – und das wird die IT-Branche und ihre Kunden weltweit nachhaltig beeinflussen. Fortsetzung folgt…

Das nächste Kapitel wird gerade aufgeschlagen – in Form des „Gesetzes zum Schutz von Geschäftsgeheimnissen“. Es sollte 2018 im Schatten der DS-GVO ebenfalls umgesetzt werden und trat nun mit Verzögerung Ende April in Kraft. Unternehmen, die bei der Umsetzung der DS-GVO-Anforderungen gründlich gearbeitet haben, haben hierfür wertvolle Vorarbeit geleistet. Wer Geschäftsgeheimnisse rechtlich schützen will, muss nachweisen, dass er Geheimhaltungsmaßnahmen getroffen hat – wie die Verschlüsselung von E-Mails.

Über Matthias Kess

Matthias Kess ist CTO der Cryptshare AG mit Sitz in Freiburg im Breisgau, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt.

Über die Cryptshare AG

Die inhabergeführte Cryptshare AG widmet sich seit ihrer Gründung im Jahr 2000 der Entwicklung und dem Vertrieb von Softwarelösungen für Unternehmen. Hauptsitz und Entwicklungsstandort mit über 60 Mitarbeitern ist Freiburg im Breisgau. Vertriebsstandorte gibt es in Großbritannien sowie den Niederlanden, eine Tochtergesellschaft in den USA.

Im Mittelpunkt des Angebots steht Cryptshare, eine Kommunikationslösung für den sicheren Austausch von Informationen. Mit ihr lassen sich E-Mails und Dateien jeder Größe und Art ad hoc austauschen – einfach und sicher, nachvollziehbar und kostengünstig. Sie ist in mehr als 2.000 Unternehmen in über 30 Ländern bei rund 4 Millionen Anwendern im Einsatz. Cryptshare wurde bereits 2017 mit dem „Cybersecurity Excellence Award“ in der Kategorie „E-Mail Security“ ausgezeichnet.

Weitere Informationen finden sich unter www.cryptshare.com. Anwender können sich auch im Blog informieren.

Firmenkontakt und Herausgeber der Meldung:

Cryptshare AG
Schwarzwaldstraße 151
79102 Freiburg
Telefon: +49 (761) 38913-0
Telefax: +49 (761) 38913-115
http://www.cryptshare.com

Ansprechpartner:
Marcus Wenning
phronesis PR GmbH
Telefon: +49 (821) 444800
E-Mail: info@phronesis.de
Marcus Ehrenwirth
phronesis PR GmbH
Telefon: +49 (821) 444800
E-Mail: info@phronesis.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.