Foto: Fotolia, Sean Gladwell
Auf den ersten Blick scheint die geplante EU-Datenschutzverordnung nicht den Bedürfnissen unserer Channel-Partner zu entsprechen. Doch Veränderungen bieten häufig Chancen. Dass nun erstmalig gemeinsame Datenschutzvorschriften für Organisationen in der gesamten Europäischen Union eingeführt werden sollen, ist in Wahrheit eine gute Nachricht. Die neuen Regelungen sehen vor, dass Unternehmen im Falle einer Sicherheitsverletzung alle Betroffenen sofort benachrichtigen müssen. Unsere Channel-Partner zeigten sich bestürzt darüber, dass Hackerangriffe von großen Namen der Branche wie DigiNotar einfach verschwiegen wurden.
Dies ist die erste wesentliche und längst überfällige Aktualisierung der Datenschutzverordnung seit 1995. Die Maßnahmen werden derzeit von der Europäischen Kommission ausgearbeitet und die Details sind noch nicht vollständig geklärt. Anschließend müssen die nationalen Regierungen zustimmen. Insbesondere Deutschland wird nicht bereit sein, seine bisherigen Datenschutzgesetze auf Anordnung aus Brüssel aufzulockern. Bis die Richtlinien in Kraft treten, kann es deshalb noch zwei bis vier Jahre dauern.
Trotz der Wirtschaftskrise, die in den letzten Monaten für Schlagzeilen gesorgt hat, bleibt Europa für nordamerikanische Unternehmen ein wichtiger Markt. Er stellt einen Stützpunkt für die Märkte im Nahen Osten und in Afrika dar, und London ist nach wie vor einer der wichtigsten Finanzzentren der Welt. Was finanzielle Integrität angeht, hat die Koalitionsregierung des Vereinigten Königreichs in Europa eine Vorreiterrolle übernommen. Europa hat jedoch die Angewohnheit, sich selbst Steine in den Weg zu legen, und einige sind der Ansicht, dass dies auch auf die neuen Richtlinien zutrifft.
Laut der vorgeschlagenen Verordnung soll die EU künftig Unternehmen einfacher bestrafen können, die größere Datenschutzverletzungen nicht verhindern oder Kundendaten ohne deren Einwilligung an Dritte verkaufen. Außerdem sollen Informationen in sozialen Netzwerken und Cloud-Computing-Services besser geschützt werden. Sobald persönliche Daten gefährdet wurden, müssen Organisationen Datenschutzbehörden sowie die betroffenen Personen innerhalb von 24 Stunden benachrichtigen. Die Verordnung wird auch für europäische Niederlassungen außereuropäischer Konzerne gelten, so dass diese gezwungen sein werden, ihre Datenschutzrichtlinien zu verschärfen. Alle Unternehmen mit mehr als 250 Mitarbeitern müssen zudem Datenschutzbeauftragte ernennen. Die neuen Vorschriften verleihen der EU ähnliche Befugnisse wie bei Wettbewerbsangelegenheiten - hier können bei Verstößen Strafen in Höhe von bis zu 10 % des Jahresumsatzes verhängt werden.
Strengeres Modell empfohlen
Bei einer Telekonferenz zwischen den Mitgliedern der Europäischen Kommission und dem US-Handelsministerium in Washington legte Kommissionsvizepräsidentin Viviane Reding den USA nahe, das europäische, weitaus strengere Modell zu übernehmen. Als Ziel dieser Verhandlungen zwischen den Regulierungsbehörden nannte sie "regulatorische Konvergenz". Damit deutete sie an, dass sich die Gesprächspartner auf beiden Seiten des Atlantiks auf einen gemeinsamen Tenor ihrer Gesetze einigen sollten, die den Schutz persönlicher Daten durch ISPs und Content-Anbieter regeln. Sie sagte außerdem, dass es nun an Washington liege, mit Europa aufzuschließen und den bereits von der EU gesetzten "Goldstandard" zu erreichen. Während sich Europa und Washington über die Auswirkungen des Patriot Act der USA von 2001 und den angemessenen Schutz für europäische Daten und amerikanische Rechenzentren streiten, müssen US-amerikanische Organisationen, die auf dem europäischen Markt tätig sind, entsprechende Maßnahmen zur Erfüllung der Richtlinien einleiten.
Keine Angst vor der Bürokratie
Sollten wir uns also vor der EU-Bürokratie fürchten oder die Trommel für einen wasserfesten Datenschutz rühren? Unserer Ansicht nach stellen die neuen Bestimmungen einen hervorragenden Kompromiss zwischen den realen Datenschutzanforderungen der Bürger und den praktischen Herausforderungen des Datenmanagements im modernen Unternehmensumfeld dar.
Viele IT-Sicherheitsexperten haben Bedenken über die technischen Probleme geäußert, die bei der Verwaltung, Einschränkung und Überwachung des Zugriffs auf ihre wachsenden Datenspeicher auftreten könnten. Diese Bedenken sind zwar verständlich, doch mit der richtigen Technologie lassen sich diese Schwierigkeiten in der Praxis ganz einfach beheben.
Dank dem Safe-Harbor-Modell zwischen den USA und der EU sind auch US-amerikanische Organisationen in der Lage, die EU-Datenschutzrichtlinien zu erfüllen. Dieses Programm ermöglicht es Unternehmen, die nach den Safe Harbor Principles zertifiziert wurden, personenbezogene Daten aus der EU in die USA zu übermitteln, obwohl die gesetzlichen Datenschutzregelungen der USA nicht dem europäischen Standard entsprechen. Die Safe Harbor Principles enthalten die sieben grundlegenden Prinzipien der EU-Datenschutzrichtlinien: 1) Informationspflicht 2) Wahlmöglichkeit 3) Weitergabe 4) Zugangsrecht 5) Sicherheit 6) Datenintegrität 7) Durchsetzung.
Viele Organisationen standen bisher vor dem Problem, dass ihre Datenspeicher über keine oder nur sehr eingeschränkte Berechtigungsmanagement-, Klassifizierungs- und Auditing-Funktionen verfügen. Neue Metadaten-Framework-Technologien ermöglichen nun jedoch ein intelligentes, automatisiertes und kontrolliertes Datenmanagement über mehrere Plattformen hinweg, das C-Level-Führungskräfte endlich ruhig schlafen lässt.
Natürlich würden wir die gesetzlichen Vorschriften auch ohne die Androhung von Strafen erfüllen - oder? Vertrauliche Informationen sollten nur für diejenigen Nutzer zugänglich sein, die diese unbedingt benötigen. Doch wie viele Unternehmen verfügen tatsächlich über die erforderlichen Sicherheitsprozesse, um dies zu gewährleisten? Die Wahrheit ist: nicht viele. In der Praxis ist es für viele IT-Abteilungen äußerst schwierig, die Berechtigungen auf dem aktuellen Stand zu halten - also sicherzustellen, dass sich die richtigen Nutzer in den richtigen Gruppen befinden und die richtigen Gruppen den richtigen Datenressourcen wie Ordnern, Sites und Postfächern zugeordnet sind. Dies ist äußerst wichtig, denn Nutzer verändern häufig ihre Position innerhalb der Organisation und benötigen Zugriff auf immer mehr Daten. Die Prozesse zum Erteilen, Überprüfen, Analysieren und Aufheben von Zugriffsrechten sowie die Identifizierung sensibler Daten müssen jedoch automatisch erfolgen, und die Zugriffe sollten überwacht und analysiert werden. Denn nur dann ist eine Organisation in der Lage, ihr Berechtigungsmanagement auf dem aktuellen Stand zu halten, Zugriffsaktivitäten zu beobachten und mögliche Bedrohungen aufzuspüren.
Chance statt Bürde
Das Problem der wachsenden Mengen unstrukturierter Daten - also der Informationen, die in jedem Unternehmensnetzwerk exponentiell ansteigen - müssen wir proaktiv angehen. In Bezug auf unstrukturierte Daten ist die Einführung einheitlicher Datenschutzvorschriften für die gesamte EU längst überfällig. Die Tatsache, dass dies komplexe Migrationsprozesse für einige multinationale Konzerne sowie Unternehmen darstellt, die neue Märkte erschließen, sollten wir als Chance und nicht als Bürde betrachten.
Ein wichtiger Punkt in den neuen Regelungen ist, dass sie von allen Unternehmen erfüllt werden müssen, die personenbezogene Daten wie Kundeninformationen, interne Personalverzeichnisse oder andere Listen speichern. Außerdem müssen alle Organisationen nachweisen können, wie und weshalb sie diese Daten verwenden. Dies ist ein Service gegenüber dem Kunden, und in jedem gut organisierten Unternehmen sollten die dafür erforderlichen Prozesse ohnehin bereits vorhanden sein. Ein weiterer umstrittener Aspekt der neuen Verordnung ist das "Recht auf Vergessenwerden": Unternehmen können Informationen, die sie nicht mehr benötigen und auf deren Nutzung sie keinen legitimen Anspruch mehr haben, nicht einfach in ihrer Infrastruktur behalten - ansonsten drohen ihnen hohe Strafen.
Hier wird der Unterschied zwischen den US-amerikanischen und europäischen Datenschutzgesetzen deutlich: Während in den USA laut einem Bericht von Forrester Research vom September 2011 ("Q&A: EU Privacy Regulations" von Chenxi Wang, Ph.D.) "(...) in der Regel die Belange der Industrie im Vordergrund stehen, richtet die EU den Fokus mehr auf das Recht des Einzelnen auf Schutz der Privatsphäre. Daraus ergeben sich einige Unterschiede in der Art und Weise, wie in der EU bzw. in den USA mit Daten umzugehen ist, insbesondere wenn es um die Übermittlung von Daten zwischen Ländern mit verschiedenen regulatorischen Standards geht."
Einige befürchten, dass die geplanten Strafen von fünf Prozent des Jahresumsatzes zu hoch sein könnten. Eine Beschränkung auf zwei Prozent würde zwar vielen Branchenbeobachtern entgegenkommen, doch höhere Strafen dienen als positive Abschreckung für Unternehmen, die mit ihren alten Datensicherheitssystemen einfach weitermachen wie bisher.
Durch die vorgeschriebene Ernennung von Datenschutzbeauftragten wird die Aufmerksamkeit vieler Unternehmen auf dieses große Problem des digitalen Zeitalters gerichtet. Außerdem kann so sichergestellt werden, dass die meisten Organisationen in Bezug auf die neuen Regelungen nicht nur Lippenbekenntnisse ablegen.
Ein weiterer positiver Aspekt ist, dass die Regelungen auch für außereuropäische - insbesondere US-amerikanische - Unternehmen gelten, die ihre Waren und Dienstleistungen in der EU anbieten möchten. Denn so können ähnliche Anforderungen wie die US-amerikanischen Sarbanes-Oxley-Regeln für die Unternehmensführung ausgeglichen werden. Amerikanische Firmen können nicht erwarten, in Europa eine Sonderbehandlung zu erhalten.
Normale Geschäftspraxis
Wenn die EU darauf aufmerksam macht, dass die derzeitige Datenschutz-Gesetzgebung Lücken aufweist, sollten wir das ernst nehmen - und nicht gleich als negativ betrachten. Denn unsere jetzige Situation wurde durch Vorfälle in der Vergangenheit bedingt. Durch ihre scheinbare Lethargie bei Hacker-Angriffen und Datendiebstählen haben viele große Organisationen letztes Jahr ihr Image geschädigt. Genau wie die US-amerikanischen Sarbanes-Oxley-Regeln für die Unternehmensführung werden die meisten Kritiker die vorgeschlagene Verordnung rasch als normale Geschäftspraxis zum Schutz von Daten akzeptieren. Wenn die Channel-Partner dies bereits jetzt erkennen und entsprechend handeln, werden sie auf künftige Chancen bestens vorbereitet sein. (oe)
Der Autor Arne Jacobsen ist Director D-A-CH beim Data-Governance-Spezialisten Varonis Systems (www.varonis.com).