Datenschutz ist keine Raketenwissenschaft

Die Anwendungspflichtige EU-Datenschutz-Grundverordnung (DSGVO) greift ab dem 25. Mai 2018. Für die Schweiz ist das signifikante Datum auf den 1. August 2018 terminiert. Verantwortliche müssen ab diesem Datum auch datenschutzkonform arbeiten.Kein Wunder ist das Thema auch zentrales Element der Eset-Security-Days, die in Zürich über die Bühne gegangen sind.

Drei grosse Pfeiler, so Michael Schröder, Business Development Manager des IT-Security-Spezialisten Eset, in seiner Rede, deckt die Datengrundschutz-Verordnung ab: Dazu gehört die Verschlüsselung, das Remote Management und Regeln um einen Grundschutz sicherzustellen.

Im Detail ist dies der Schutz gespeicherter und transferierter Daten. Daneben muss sichergestellt sein, dass der Zugriff (insbesondere von unterwegs) auf bestimmte Daten blockiert und eingeschränkt werden kann, und auch nur auf Anfragen oder Genehmigung gestattet ist. Und drittens müssen Logins und Zugänge zu Geräten und Ressourcen abgesichert werden sowie auf einem dem Unternehmen angemessenen Schutzniveau sein.

Schröder ging in seinem Vortag «Datenschutz ist keine Raketenwissenschaft» der Frage nach, inwieweit Schweizer Unternehmen von dieser Verordnung betroffen sein werden.

Tritt die Verordnung in der EU bereits am 25. Mai in Kraft, wird die in der Schweiz ab August 2018 der Fall sein. Dabei, so Schröder, spielt die Grösse der Firma keine Rolle. Nicht ganz unerheblich dürfte dabei sein, was detailliert in den Regularien festgehalten wird, falls es zu einem Verstoss kommt: So werden die Strafen, nach offiziellem Wortlaut der Verordnung, «abschreckend» sein. «In Deutschland können sich diese maximal auf bis zu 20 Millionen Euro belaufen, in der Schweiz immerhin noch auf 300 000 Franken», so Schröder in seiner Rede.

«Das Ganze ist derzeit so unberechenbar», so der Eset-Manger weiter, «da es im Grunde genommen noch keinen einheitlichen Bussgeldkatalog gibt. Firmen, die etwa gehackt wurden, und deren Daten auf diese Weise abhandenkommen, sind gegenüber deren Kunden rechenschaftspflichtig. Im weiteren Fall könnten sich findige Anwälte einschalten, um Abmahnungen zu lancieren und so einen Anspruch auf Schadensersatz geltend machen.» In diesem Zusammenhang wies Schröder darauf hin, dass «gerade der Mittelstand zu den grössten Angriffszielen von Cyberattacken gehöre».

Im zweiten Teil seines Vortrags beschäftigte sich der Eset-Mitarbeiter mit Lösungen. Das wichtigste:  Diese müssten sich von Unternehmen auch tatsächlich umsetzen lassen. «Entscheidender Faktor», so Schröder, «ist das Unternehmen selbst. Handelt es sich bei der Firma etwa um einen kleinen Handwerksbetrieb mit fünf Mann oder etwa um einen Grosskonzern, der etwa weltweit vernetzte Aussenstellen besitzt? Zwar geht es in beiden Fällen um Datensicherheit. Unter Berücksichtigung der eigenen Risikobetrachtung und des Betriebes können diese Anforderungen auch unterschritten werden, da sie auch aufgrund der Kosten immer auch im Verhältnis zur Betriebsgrösse stehen müssen.

Dennoch, und darauf wies Schröder fokussiert hin, zählen dazu die Implementierungskosten, die Zwecke der Verarbeitung, Eintrittswahrscheinlichkeit eines Hacks und ein dem Risiko angemessenes Schutzniveau. Nochmals zurück zum Anfang: Kümmert sich das Unternehmen (egal, wie gross es ist) nicht darum, läuft es im Fall eines erfolgreich geführten Hackingangriffs grosse Gefahr, mit Schadensersatzforderungen konfrontiert zu werden.