Das können Firmen von den EU-Richtlinien zum Datenschutz lernen

Erstmalig sollen für Organisationen in der gesamten Europäischen Union gemeinsame Datenschutzvorschriften eingeführt werden. Die geplanten Regelungen beinhalten auch die sofortige Meldung von Sicherheitsvorfällen und sonstigen „Datenverlusten“. Dies ist die erste wesentliche und längst überfällige Aktualisierung der Datenschutzverordnung seit 1995.

Die Maßnahmen werden derzeit von der Europäischen Kommission ausgearbeitet und die Details sind noch nicht vollständig geklärt. Anschließend müssen noch die Regierungen der Mitgliedsländer zustimmen. Insbesondere Deutschland wird nicht bereit sein, seine bisherigen Datenschutzgesetze auf Anordnung aus Brüssel aufzulockern. Bis die Richtlinien in Kraft treten, wird es deshalb schätzungsweise noch zwei bis vier Jahre dauern.

Arne Jacobsen, Autor dieses Gastbeitrags für ZDNet, ist Director Deutschland, Österreich und Schweiz beim Data-Governance-Spezialist Varonis Systems (Bild: Varonis).

Laut der vorgeschlagenen Verordnung soll die EU künftig Unternehmen einfacher bestrafen können, die größere Datenschutzverletzungen nicht verhindern oder Kundendaten ohne deren Einwilligung an Dritte verkaufen. Außerdem sollen Informationen in sozialen Netzwerken und Cloud-Computing-Diensten besser geschützt werden. Sobald persönliche Daten gefährdet wurden, müssen Organisationen Datenschutzbehörden sowie die betroffenen Personen innerhalb von 24 Stunden benachrichtigen.

Europäische Richtlinien als „Goldstandard“

Die Verordnung wird auch für europäische Niederlassungen außereuropäischer Konzerne gelten, so dass diese gezwungen sein werden, ihre Datenschutzrichtlinien zu verschärfen. Alle Unternehmen mit mehr als 250 Mitarbeitern müssen zudem Datenschutzbeauftragte ernennen. Die neuen Vorschriften verleihen der EU bei Datenschutzangelegenheiten ähnliche Befugnisse wie bei Wettbewerbsangelegenheiten – hier können bei Verstößen Strafen in Höhe von bis zu zehn Prozent des Jahresumsatzes verhängt werden.

Bei einer Telekonferenz zwischen den Mitgliedern der Europäischen Kommission und dem US-Handelsministerium in Washington legte Kommissionsvizepräsidentin Viviane Reding den USA nahe, das europäische, weitaus strengere Modell zu übernehmen. Als Ziel dieser Verhandlungen zwischen den Regulierungsbehörden nannte sie „regulatorische Konvergenz“. Damit deutete sie an, dass sich die Gesprächspartner auf beiden Seiten des Atlantiks auf einen gemeinsamen Tenor ihrer Gesetze einigen sollten, die den Schutz persönlicher Daten durch ISPs und Content-Anbieter regeln.

Sie sagte außerdem, dass es nun an Washington liege, mit Europa aufzuschließen und den bereits von der EU gesetzten „Goldstandard“ zu erreichen. Während sich Europa und Washington über die Auswirkungen des Patriot Act der USA von 2001 und den angemessenen Schutz für europäische Daten und amerikanische Rechenzentren streiten, müssen US-amerikanische Organisationen, die auf dem europäischen Markt tätig sind, entsprechende Maßnahmen zur Erfüllung der Richtlinien einleiten.

Europa und die USA

Sollten wir uns also vor der EU-Bürokratie fürchten oder die Trommel für einen wasserfesten Datenschutz rühren? Nach Ansicht von Varonis sind die neuen Bestimmungen ein hervorragender Kompromiss zwischen den realen Datenschutzanforderungen der Bürger und den praktischen Herausforderungen des Datenmanagements im modernen Unternehmensumfeld.

Viele IT-Sicherheitsexperten haben Bedenken über die technischen Probleme geäußert, die bei der Verwaltung, Einschränkung und Überwachung des Zugriffs auf ihre wachsenden Datenspeicher auftreten könnten. Diese Bedenken sind zwar verständlich, doch mit der richtigen Technologie lassen sich diese Schwierigkeiten in der Praxis beheben.

Dank dem Safe-Harbor-Modell zwischen den USA und der EU sind auch US-Organisationen in der Lage, die EU-Datenschutzrichtlinien zu erfüllen. Dieses Programm ermöglicht es Unternehmen, die nach den Safe Harbor Principles zertifiziert wurden, personenbezogene Daten aus der EU in die USA zu übermitteln, obwohl die gesetzlichen Datenschutzregelungen der USA nicht dem europäischen Standard entsprechen. Die Safe Harbor Principles enthalten die sieben grundlegenden Prinzipien der EU-Datenschutzrichtlinien:

1. Informationspflicht
2. Wahlmöglichkeit
3. Weitergabe
4. Zugangsrecht
5. Sicherheit
6. Datenintegrität
7. Durchsetzung

Viele Organisationen standen bisher vor dem Problem, dass ihre Datenspeicher über keine oder nur sehr eingeschränkte Berechtigungsmanagement-, Klassifizierungs- und Auditing-Funktionen verfügen. Neue Metadaten-Framework-Technologien ermöglichen jedoch ein intelligentes, automatisiertes und kontrolliertes Datenmanagement über mehrere Plattformen hinweg. C-Level-Führungskräfte können so endlich ruhig schlafen.

Natürlich würden wir die gesetzlichen Vorschriften auch ohne die Androhung von Strafen erfüllen – oder? Vertrauliche Informationen sollten nur für diejenigen Nutzer zugänglich sein, die diese unbedingt benötigen. Doch wie viele Unternehmen verfügen tatsächlich über die erforderlichen Sicherheitsprozesse, um dies zu gewährleisten? Die Wahrheit ist: nicht viele.

Problematisch: Berechtigungen verwalten

In der Praxis ist es für viele IT-Abteilungen äußerst schwierig, die Berechtigungen auf dem aktuellen Stand zu halten – also sicherzustellen, dass sich die richtigen Nutzer in den richtigen Gruppen befinden und die richtigen Gruppen den richtigen Datenressourcen wie Ordnern, Sites und Postfächern zugeordnet sind. Dies ist äußerst wichtig, denn Nutzer verändern häufig ihre Position innerhalb der Organisation und benötigen Zugriff auf immer mehr Daten.

Die Prozesse zum Erteilen, Überprüfen, Analysieren und Aufheben von Zugriffsrechten sowie die Identifizierung sensibler Daten müssen jedoch automatisch erfolgen, und die Zugriffe sollten überwacht und analysiert werden. Denn nur dann ist eine Organisation in der Lage, ihr Berechtigungsmanagement auf dem aktuellen Stand zu halten, Zugriffsaktivitäten zu beobachten und mögliche Bedrohungen aufzuspüren.

In Bezug auf unstrukturierte Daten ist die Einführung einheitlicher Datenschutzvorschriften für die gesamte EU längst überfällig. Die Tatsache, dass dies komplexe Migrationsprozesse für einige multinationale Konzerne sowie Unternehmen darstellt, die neue Märkte erschließen, sollten wir als Chance und nicht als Bürde betrachten.

Ein wichtiger Punkt in den neuen Regelungen ist, dass sie von allen Unternehmen erfüllt werden müssen, die personenbezogene Daten wie Kundeninformationen, interne Personalverzeichnisse oder andere Listen speichern. Außerdem müssen alle Organisationen nachweisen können, wie und weshalb sie diese Daten verwenden. Dies ist ein Service gegenüber den Kunden, und in jedem gut organisierten Unternehmen sollten die dafür erforderlichen Prozesse ohnehin bereits vorhanden sein.

Ein weiterer umstrittener Aspekt der neuen Verordnung ist das „Recht auf Vergessenwerden„: Unternehmen können Informationen, die sie nicht mehr benötigen und auf deren Nutzung sie keinen legitimen Anspruch mehr haben, nicht einfach in ihrer Infrastruktur behalten – ansonsten drohen ihnen hohe Strafen.

Hier wird der Unterschied zwischen den US-amerikanischen und europäischen Datenschutzgesetzen deutlich: Während in den USA laut einem Bericht von Forrester Research vom September 2011 in der Regel die Belange der Industrie im Vordergrund stehen, richtet die EU den Fokus mehr auf das Recht des Einzelnen auf Schutz der Privatsphäre. Daraus ergeben sich einige Unterschiede in der Art und Weise, wie in der EU beziehungsweise in den USA mit Daten umzugehen ist, insbesondere wenn es um die Übermittlung von Daten zwischen Ländern mit verschiedenen regulatorischen Standards geht.“

Fazit

Einige befürchten, dass die geplanten Strafen von fünf Prozent des Jahresumsatzes zu hoch sein könnten. Eine Beschränkung auf zwei Prozent würde zwar Vielen entgegenkommen, doch höhere Strafen dienen als positive Abschreckung für Unternehmen, die mit ihren alten Datensicherheitssystemen einfach weitermachen wie bisher.

Durch die vorgeschriebene Ernennung von Datenschutzbeauftragten wird die Aufmerksamkeit vieler Unternehmen auf dieses große Problem des digitalen Zeitalters gerichtet. Außerdem kann so sichergestellt werden, dass die meisten Organisationen in Bezug auf die neuen Regelungen nicht nur Lippenbekenntnisse ablegen.

Ein weiterer positiver Aspekt ist, dass die Regelungen auch für außereuropäische – insbesondere US-amerikanische – Unternehmen gelten, die ihre Waren und Dienstleistungen in der EU anbieten möchten. Denn so können ähnliche Anforderungen wie die US-amerikanischen Sarbanes-Oxley-Regeln für die Unternehmensführung ausgeglichen werden. Amerikanische Firmen können nicht erwarten, in Europa eine Sonderbehandlung zu erhalten.

Bei der Einführung der neuen Regeln wird es auf beiden Seiten des Atlantiks viel Ächzen und Stöhnen geben. Doch wie bei den PCI-Regeln für den Zahlungsverkehr werden auch sie schon nach kurzer Zeit akzeptierte Geschäftspraxis und Teil der Datenschutz- und Datenmanagement-Landschaft sein. Die EU-Datenschutzrichtlinien mögen ein Drahtseilakt für Unternehmensvorstände sein, doch Kunden können sich darüber freuen, dass ihre Informationen bald noch besser geschützt werden.