Donnerstag, 5. Dezember 2019

Eine neue Ära des Datenschutzes Hackerparadies - was Unternehmen künftig blüht und droht

Cyber-Angriff: Auf den Schaden kommen künftig hohe Strafen obendrauf. Die Datenschutz-Grundverordnung (DSGVO) der EU, die im Mai 2018 finale Rechtskraft erlangt, kennt keine Kompromisse
Getty Images
Cyber-Angriff: Auf den Schaden kommen künftig hohe Strafen obendrauf. Die Datenschutz-Grundverordnung (DSGVO) der EU, die im Mai 2018 finale Rechtskraft erlangt, kennt keine Kompromisse

3. Teil: Auf die Schäden kommen Strafzahlungen obendrauf

Künftig kommen auf die Schäden auch noch Strafzahlungen drauf. Viele hiesige Unternehmen glauben, dass die DSGVO sich an die existierenden deutschen Datenschutzvorgaben anlehnt und sie daher nur wenig ändern müssen. Weit gefehlt.

Das neue EU-Gesetz regelt nicht nur, welche personenbezogenen Daten von wem gespeichert, verarbeitet und weitergegeben werden dürfen und in welchen Fällen um Erlaubnis gebeten werden muss. Die für alle 28 EU-Mitgliedsländer vereinheitlichten Regeln definieren auch, dass die datenerhebenden Unternehmen die volle Verantwortung für die Integrität und Sicherheit der persönlichen Informationen tragen. Sie müssen beweisen, dass sie alles getan haben, um Cybergefahren zu erkennen und abzuwehren. Bei neuen Systemen muss dokumentiert werden, wie Datenschutz und -sicherheit von vornherein in die IT-Prozesse eingebaut wurden.

Solche umfassenden Sicherheitsgarantien lassen sich nicht delegieren. Auch Unternehmen, die ihre Datenverarbeitung zu Cloud- oder Outsourcinganbietern verlagern, stehen in der Pflicht. Sie müssen dafür sorgen, dass sich die Servicefirma DSGVO-konform verhält. Schlimmstenfalls haften beide - Auftraggeber und Dienstleister.

Mehr noch: Sind personenbezogene Daten von einem Hackerangriff betroffen, ist die attackierte Firma verpflichtet, umgehend den zuständigen Landesdatenschutzbeauftragten zu informieren. Gleiches gilt bei selbst verschuldeten Datenpannen. Für die Meldung haben Unternehmen in der Regel nicht mehr als 72 Stunden Zeit. Zudem müssen die betroffenen "Datensubjekte" (alias Kunden) über den Vorfall informiert werden - je nachdem, wie stark ihre Rechte und Freiheiten gefährdet sind. Diese Nachricht darf "keinesfalls schuldhaft verzögert" werden, wie der auf IT-Recht spezialisierte Anwalt Thomas Rickert in schönstem Juristenslang erörtert.

manager magazin

Für die Firmen wird es dadurch sehr viel schwerer, Sicherheitsvorfälle zu verschweigen. Bislang wird nicht mal jeder dritte geglückte Hackerangriff gemeldet - aus Angst vor Imageschäden.

Für die Einhaltung all dieser Vorsorge- und Informationspflichten werden hierzulande nicht nur die Organisationen zur Rechenschaft gezogen. In Deutschland haften die Datenschutzverantwortlichen und Geschäftsführer auch persönlich.

Strenge Pflichten, abschreckende Strafen und dazu die Aussicht, selbst im Gefängnis zu landen - Führungskräfte hätten allen Grund, Datenschutz und IT-Sicherheit zur Chefsache zu machen. Tun aber nur die wenigsten.

© manager magazin 11/2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung