Um die persönlichen Daten von Menschen, die innerhalb der Europäischen Union leben, besser zu schützen, müssen Unternehmen verschiedene geeignete, organisatorische und technische Maßnahmen ergreifen. So müssen EU-Bürger beispielsweise umfassend darüber informiert werden, wie ihre Daten erfasst und verarbeitet werden. Bei Verstößen gegen die Datenschutzgrundverordnung drohen den Unternehmen Bußgelder in Höhe von bis zu 20 Millionen Euro - oder vier Prozent des weltweiten, jährlichen Gesamtumsatzes. Diese Strafen können übrigens bereits verhängt werden, wenn gegen DSGVO-Richtlinien verstoßen wird. Das Vorliegen eines konkreten IT-Sicherheitsvorfalls ist nicht erforderlich.
Kommt es hart auf hart, kann einem Unternehmen auch ein permanentes Verbot zur Datenverarbeitung auferlegt werden. Erste Abmahnungen auf Grundlage von DSGVO-Verstößen sind bereits in Umlauf. Zwar ist die DSGVO die Beschreibung eines Prozesses und weniger ein Technik-Thema - allerdings ist Letztere quasi der "Wirt" für die persönlichen Daten. Und damit auch ein essenzieller Pfeiler, um die Anforderungen des europäischen Datenschutzes umsetzen zu können.
Beispiel Drucker und Multifunktionsgeräte: Diese übertragen regelmäßig persönliche Daten. In einem Krankenhaus oder einer Anwaltskanzlei möglicherweise auch hochsensible Daten, die im Sinne der DSVGO geschützt werden müssen.
Das Datenleck, das keiner kannte
Im Alltag sieht die Praxis in vielen Unternehmen jedoch anders aus, wie Michael Gieseke, Produktmanager bei HP, zum Besten gibt: "Weil ein Multifunktionssystem von vielen IT-Verantwortlichen sicherheitstechnisch nicht wahrgenommen wird, haben Sie dort ein potenzielles Datenleck. Viele Kunden ahnen oft nicht, dass sie dort ein Problem haben - und damit können sie am Ende des Tages auch Bußgelder und Strafzahlungen erwarten."
Drucker, die für Denial-of-Service-Attacken vereinnahmt werden, unzureichend abgesicherte Scan-to-Email-Vorgänge, mitgeschnittene Druckdatenströme - jeden Tag treten viele Situationen auf, die potenziell zu Verstößen gegen die Regelungen der DSGVO führen können." Dabei müssen gar keine technisch raffinierten Hacks im Spiel sein: Das Vergessen eines vertraulichen Dokuments im Ausgabefach eines Printers reicht oft schon für ein Datendesaster. Und die Mitarbeiter realisieren vielleicht gar nicht, dass hier eine Security-Lücke klafft.
Die Sicherheit im Unternehmen wird dabei oft von den eigenen Mitarbeitern gefährdet. Die Ursachen dafür sind vielfältig: Verprellte, übergangene oder entlassene (Ex-)Kollegen könnten ebenso einen Datendiebstahl initiieren wie nachlässige Administratoren oder Flüchtigkeitsfehler-anfällige Aushilfen beim (fehlerhaften) Versenden von E-Mails. Brisant sind in Zusammenhang mit der Datenschutzgrundverordnung auch solche Daten, die von Unternehmen nicht mehr vorgehalten werden dürfen - etwa die Liste mit den Geburts- und Kontaktdaten ehemaliger Angestellter.
Der erste Schritt zur DSGVO Compliance
Um widerrechtlichen Datenabfluss zu verhindern und Ihr Business im Sinne der General Data Protection Regulation auszurichten, gilt es, an verschiedenen Stellschrauben zu drehen. Eine der wichtigsten: Ihre Hardware. Darum sollten Rechner, Drucker, Scanner - und generell alle Endpunkte im Unternehmen - möglichst bereits ab Werk mit entsprechenden Datenschutzmaßnahmen ausgestattet sein. Dazu gehören beispielsweise Features wie die Verschlüsselung von Netzwerk- und Datenstrom, Lösungen zur Authentifizierung von Nutzern und für das Reporting. Letzteres ist wichtig, weil die Dokumentation der ergriffenen Schutzmaßnahmen nach der DSGVO obligatorisch ist. HP-Systeme bringen diese und weitere Funktionen auf Hardware-Ebene mit und liefern damit den Grundstein für den Aufbau eines umfassenden Datenschutzes im Unternehmen, der in Einklang mit der DSGVO steht.
Die bloße Existenz dieser Funktionen gewährleistet allerdings nicht, dass Ihr Unternehmen automatisch DSGVO-compliant wird, wie Gieseke klarstellt: "Hardware kann niemals 'out of the box' DSGVO-konform sein, denn die Einhaltung der Richtlinien beinhaltet immer eine Prozessbeschreibung im jeweiligen Unternehmen. Diese Prozessbeschreibungen sind individuell - ein Produkt aber kann nicht zu individuellen Prozessen konform sein."
Wie Sie mit HP DSGVO-konform drucken
Deswegen bietet HP auch entsprechende Beratung und Services zur Umsetzung dieser individuellen Prozesse an. Beispielsweise den Jet Advantage Security Manager (Sicherheitsrichtlinien innerhalb der HP-Ausgabeflotte) oder die Vermittlung von Knowhow in der HP University oder in spezifischen Trainings-Programmen. Darüber hinaus offeriert HP mit seinen Security Advisory Services auch ganzheitlich orientierte Dienstleistungen. Diese reichen von der Ist-Analyse (in der bestimmte Schwachstellen offengelegt werden) über daraus abgeleitete Empfehlungen für Implementierung und Umsetzung, bis hin zu Nachhaltigkeitsservices.
Denken Sie daran: Im Falle eines Cyberangriffs ist der Endpunkt die letzte und erste Hürde für kriminelle Hacker. Entscheidend ist also, dass auch - und gerade - Drucker und Multifunktionsgeräte mit Sicherheitsmechanismen ausgestattet sind, die den Anforderungen des europäischen Datenschutzrechts genügen. Eine Kurzanleitung, um Ihre PCs und Drucker im Sinne der gesetzlichen Vorgaben "fit" zu machen, finden Sie hier.