Home » News » Allgemein » Datenschutzgesetze: Rekorde bei Bußgeldern erwartet

Datenschutzgesetze: Rekorde bei Bußgeldern erwartet

Die Rekord-Bußgelder bei der DSGVO aus den vergangenen zehn Monaten legen offen, dass Firmen bereits überfordert sind, bestehende Regeln einzuhalten.

5 Min. Lesezeit
©AdobeStock/vegefox.com

Die EU-Kommission hat die Regeln für die Datenwirtschaft weiter modernisiert. Die Rekord-Bußgelder bei der DS-GVO aus den vergangenen zehn Monaten legen offen, dass Firmen bereits überfordert sind, bestehende Regeln einzuhalten. Und die Aufgabe wird schwerer, da neue Vorgaben hinzukommen und die Menge der Daten wächst.

GDPR, Data Act und Privacy Shield 2.0 – es ist Zeit, dass Firmen ihr Datenmanagement grundsätzlich überdenken, um endlich die Kontrolle zurückzugewinnen und Compliance-Risiken einzudämmen. Auf gut 1,6 Milliarden Euro summieren sich alle Bußgelder, die seit der Einführung der EU-Datenschutz-Grundverordnung (DS-GVO) am 25. Mai 2018 gegen Firmen verhängt wurden. Organisationen aus der ganzen Welt wurden für Verstoße geahndet. Allein in den vergangenen zwölf Monaten haben europäische Datenschutzbehörden schwere Strafen gegen fünf prominente amerikanische Unternehmen aus dem Technologiebereich verhängt. Diese fünf Fälle stehen für Geldstrafen in Höhe von mehr als 1,2 Milliarden Euro. Auch die Zahl der gemeldeten Verstöße ist im gleichen Zeitraum von 639 auf 1037 schneller denn je gestiegen. Auch wenn die Auswertungen noch laufen – wenn die Verordnung am 25. Mai ihren vierten Jahrestag feiert, wird 2021 Rekorde bei den Bußgeldern aufstellen. Wer wegen der Pandemie eine laschere Auslegung der Richtlinien erhofft hatte, wird überrascht sein.

Während dieser Zeit haben sich andere starke Trends herausgebildet. Die rasante Digitalisierung, die Pandemie und Remote-Working als schnelle und kluge Antwort darauf haben mehr Daten an immer mehr Orten entstehen lassen. Firmen kommen offensichtlich nicht mehr hinterher, diese Explosion an Daten und Datensilos in den Griff zu kriegen, zumal sich die Rahmenbedingungen erneut stark ändern.

Im März haben Ursula von der Leyen, Präsidentin der EU-Kommission, sowie Joe Biden, US-Präsident, gemeinsam angekündigt, eine neue Regelung für den transatlantischen Datenverkehr zu verabschieden. Wann dieses Trans-Atlantische Data Privacy Framework, auch „Privacy Shield 2.0 Abkommen“ genannt, als neue Rechtsgrundlage in Kraft tritt, blieb noch offen. Aber auch diese Regel wird sich darauf auswirken, wie Firmen mit internationalem Geschäft ihre Daten handhaben, wie sie personenbezogene Daten verarbeiten, transferieren, speichern und archivieren. Und just einen Monat vorher hat die EU-Kommission mit dem „EU Data Act“ neue Ansätze vorgestellt, um den Datenmarkt in Europa zu regulieren.

 

Blick auf die Daten verzerrt

Viele Firmen haben ihre Daten auf viele Speicherorte verteilt. Und wie die Zahl der Verstöße zeigt, fällt es ihnen zunehmend schwer, dieses Archipel aus proprietären isolierten Dateninseln zu verwalten. IT-Teams müssen viel Zeit und Ressourcen einsetzen, um Fragen der Governance, Archivierung und Compliance zu regeln. Das Zerrbild verursacht dabei eine Reihe eklatanter Probleme, die mit der Datenmenge und der Zahl der Regularien mitwachsen. So ist kaum ersichtlich, ob Daten redundant vorhanden, kritische personenbezogene Daten an riskanten Speicherorten abgelegt oder im Backup-Plan übersehen worden sind.

Ein Unternehmen kann diese Inseln mit Prozessen und Einzeltools in den Griff zu bekommen, muss allerdings mit hohen Infrastruktur- und Betriebskosten, mangelnder Integration zwischen den Produkten und immer komplexen Architekturen rechnen. Und es ist fraglich, ob in solch einer fragmentierten Umgebung alle Daten vor Ransomware geschützt und wichtige Aufgaben wie eine schnelle Recovery in der nötigen Zeit und Qualität überhaupt umsetzbar sind, um den Betrieb am Laufen zu halten.

Wolfgang Huber, Regional Director DACH bei Cohesity, empfiehlt Unternehmen daher, sich vom Archipel zu lösen und nach einem Ansatz der nächsten Generation für das Datenmanagement zu suchen. Auf dieser Grundlage können Firmen die Datensilos aufbrechen und zusammenführen und komplexe Architekturen radikal vereinfachen. Alle darin gespeicherten Daten lassen sich viel strenger nach Compliance-Vorgaben verwalten und besser vor Ransomware schützen.

 

1) Zugriff auf Werte erkennen

Unternehmen müssen wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann können sie Fragen der Governance und Compliance beantworten und beispielsweise steuern, dass bestimmte Datentypen gewisse Speicherorte nicht verlassen dürfen. Und sie müssen genau überblicken, wer auf diese Daten zugreifen kann, um beispielsweise überzogen privilegierte User zu entdecken. Und sie können KI/ML-Technologie nutzen, um ungewöhnliche Sicherungs- oder Zugriffsmuster oder anderes anormales Verhalten aufzuspüren. Diese Indizien helfen, mögliche interne und externe Angriffe wie Ransomware frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten.

 

2) Einheitlichen Blick auf die Daten gewinnen

Idealerweise sind all diese Funktionen und der Überblick über die Datenlandschaft über eine Konsole zu erreichen, auf die nur autorisierte User dank Multifaktor-Authentifizierung und Access-Control-Lists zugreifen können – und zwar unabhängig davon, ob die Daten in einer hybriden Cloud oder in einem SaaS-Dienst abgelegt sind.

 

3) Widerstandsfähige hochskalierbare Infrastruktur etablieren

Die Daten selbst sollten in einer zentralen Datenmanagement-Plattform, idealerweise auf Basis eines hyperconverged Filesystems, zusammengeführt werden, die hochskaliert und das Zero-Trust-Modell noch weiterführt. Neben den bereits erwähnten strengen Zugriffsregeln und der Multifaktor-Authentifizierung sollte die Plattform unveränderliche so genannte Immutable Snapshots erzeugen. Keine externe Anwendung und unbefugte User können diese Snapshots nicht verändern.

Unternehmen sollten die Daten sowohl beim Transport als auch beim Ablegen stark verschlüsseln, damit sie besser vor Manipulationsversuchen und Cyberattacken wie Ransomware geschützt sind.

 

4) Als Service verfügbar

Einige Unternehmen wollen heute Aufgaben nicht mehr komplett selbst abwickeln, sei es, weil sie die Investitionen scheuen, ihre IT-Teams sich auf andere wichtigere Aufgaben konzentrieren wollen, oder sie schlicht Hilfe suchen. In diesen Fällen sollten sie auf einen Anbieter setzen, der so genannte Data-Management-as-a-Service (DMaaS) anbietet. Dieses Portfolio von „Software-as-a-Service“ (SaaS)-Angeboten wurde entwickelt, damit Unternehmen und mittelständischen Kunden ihre Daten auf einfache Weise sichern, verwalten und analysieren können.

 

Ausblick

Die Politik wird gewiss neue Regeln für die Datenwirtschaft entwickeln, da sie für alle Branchen der Wirtschaft eine große Rolle spielt. IT-Teams in den Unternehmen werden also weiterhin auf neue Rahmenbedingungen reagieren müssen. Um endlich aus der Komplexitätsfalle herauszufinden, sollten sie ihre Datensilos Schritt für Schritt in eine einheitliche Datenmanagement-Plattform der nächsten Generation überführen. Dort können sie dann von Synergieeffekten profitieren, indem sie ihre Produktionsdaten sichern und gleichzeitig über KI-gestützte Funktionen die Sicherheitslage, Governance und Compliance verbessern. Und nebenbei Zeit und Geld sparen, da das Management dieser Infrastruktur viel einfacher wird.

Andere interessante News

Mann vor Laptop macht einen erfolgreichen Check

Wie KMUs ihre IT-Sicherheit checken können

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Partner haben den CyberRisikoCheck entwickelt, um kleine und mittlere Unternehmen (KMU) bei der Steigerung ihrer Cyberresilienz zu unterstützen. Über 60 IT-Dienstleister wurden erstmals für die Anwendung dieses Verfahrens geschult.

Security Awareness Schulung

Security-Awareness-Schulungen nur Mumpitz?

Eine aufschlussreiche Umfrage enthüllt alarmierende Schwachstellen in den IT-Sicherheitsstrategien deutscher Unternehmen. Erstaunlicherweise betrachten fast die Hälfte der Geschäftsführungen Security-Awareness-Schulungen als überflüssig.

IoT - Internet of Things Security

Was für den Schutz vernetzter IoT-Geräte nötig ist

Seit dem ersten netzwerkverbundenen Verkaufsautomaten im Jahr 1982 hat sich in der Entwicklung von IoT-Geräten viel verändert. Die Verbindung von Geräten mit dem Internet hat zu großen Innovationen in verschiedenen Bereichen geführt. Allerdings bringen diese Technologien auch erhebliche Risiken mit sich.