Datenschutz ist kein zahnloser Papiertiger – die Einschläge kommen näher!

Warum die Rekordstrafe von Google nach DSGVO-Verstoß für Unternehmen Warnung und Chance zugleich ist

Dass die verschärften Sanktionsmöglichkeiten bei Datenschutzverstößen nicht nur auf dem Papier stehen, zeigten Frankreichs Datenschützer Ende Januar 2019, als sie mit 50 Millionen das größte Bußgeld in der Geschichte des europäischen Datenschutzes verhängten. Ein gutes halbes Jahr nach Inkrafttreten der DSGVO zog die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) mit Google einen der großen Datenkonzerne aufgrund andauernder Verstöße gegen die neue Datenschutzverordnung zur Verantwortung.

Blieben bislang Verstöße gegen Datenschutzvorgaben zumindest finanziell weitgehend folgenlos – schließlich konnten Sünder bis zum letzten Jahr Bußgelder üblicherweise fast aus der Portokasse zahlen – hat sich das mit dem Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) jetzt grundlegend geändert. Der Strafrahmen, der Bußgelder von bis zu 20 Millionen EUR oder sogar 4 Prozent des weltweiten Jahresumsatzes vorsieht, wurde nicht nur deutlich erhöht, sondern die Behörden sind auch willens diese Vorgaben durchaus auszuschöpfen, wie das Verfahren in Frankreich gezeigt hat. Bemerkenswert ist vor allem die Urteilsbegründung der Datenschützer, denn die Rekordstrafe wurde nicht aufgrund eines Datendiebstahlskandals erlassen, sondern mit den ständigen Verletzungen der Verordnung durch Google erläutert. Im Kern bemängelt die CNIL die fehlende Transparenz und hält die Art und Weise, wie Google über die Nutzung der erhobenen Daten informiert, für unzureichend.

Doch nicht nur Google ist kreativ darin, Nutzern Zustimmungen zu bestimmten Dingen abzuringen – auch Facebook hat gerade aufgrund seiner undurchsichtigen und kritisierten Datensammelpraxis Ärger mit dem deutschen Bundeskartellamt. Die großen Daten-Tech-Konzerne versuchen geschickt, oftmals mit nur lediglich oberflächlich vorgenommen Änderungen an ihren Produkten den strengen Vorgaben der Behörden in punkto Datenschutz zu entsprechen, und inszenieren Ihre Datenschutzeinstellungen weiterhin so geschickt – etwa mit dem Verweis auf ein besseres Nutzungserlebnis für alle –dass Nutzer diesen zustimmen ohne genau zu wissen, was sie da angeklickt haben.

DSGVO-Bußgeld gegen Google sollte Unternehmen als Weckruf dienen


Doch das Vorgehen der europäischen Datenschützer als auch des Kartellamtes, das sich ebenfalls bei seiner Urteilsbegründung auf die DSGVO beruft, zeigt, dass das neue Gesetz keineswegs nur ein zahnloser Papiertiger ist und dass kein Unternehmen über dem Gesetz steht. Die Regulierungsbehörden sind sich ihrer Möglichkeiten bewusst und nutzen diese auch entsprechend – egal ob es um große, namhafte Konzernen oder um kleine und mittelständische Privatunternehmen handelt. Unerheblich für die Ahndung ist ferner, ob die Verstöße eher wissentlich erfolgen, mit dem Zweck auch weiterhin so viele Daten wie eben möglich zu sammeln – Stichwort Google und auch Facebook – oder ob sich Datenpannen und Datenverluste ereignen, weil Prozesse falsch aufgesetzt sind, Technologie nicht richtig konfiguriert wurde oder schlichtweg aufgrund des Unsicherheitsfaktors „Mensch“. Denn neben dem Datenschutz spielt auch die Informationssicherheit eine entscheidende Rolle für die Erfüllung der DSGVO. Doch wie ein Blick auf die Ergebnisse des Breach Level Index 2018 zeigt, gibt es auch hier noch viel Nachholbedarf. Alleine in der ersten Hälfte des Jahres 2018 kam es zu insgesamt 945 Verstößen mit weltweit 4,5 Milliarden kompromittierten Datensätzen. Das ist im Vergleich zum entsprechenden Zeitraum des Jahres 2017 ein Anstieg um 133 Prozent was die Zahl der verlorenen, gestohlenen oder kompromittierten Datensätze anbelangt. Erschreckend ist zudem, dass nur ein Prozent der verlorengegangenen, gestohlenen oder kompromittierten Daten durch Verschlüsselung geschützt waren.

Unternehmen haben nach wie vor Schwierigkeiten bei der Umsetzung der DSGVO


Obwohl die Themen rund um den Datenschutz immer wichtiger geworden sind, sind die Methoden, um dies zu erreichen, leider nach wie vor nicht ausreichend. Mit einfachen Worten, wenn es um Datenschutz geht, tun Unternehmen nicht einmal das Notwendigste, wie Daten mithilfe von Verschlüsselung, Schlüsselmanagement und Zugriffskontrolle zu schützen. Es stellt sich also die Frage, warum dies so ist. Beim Versuch, diese Frage schlüssig zu beantworten, stößt man recht schnell auf eine Divergenz zwischen zwei ewigen Konkurrenten: Softwareentwicklung und IT-Betrieb. Während die Software Entwicklung im Zuge der Digitalisierung gefordert ist, neue IT-Anwendungen – vor allem was innovative, kundenbezogene Services angeht – in immer kürzeren Entwicklungszeiten auf den Markt zu bringen, und mehr Releases und höherwertige Software dank agiler DevOps Prinzipien bereitzustellen, erwartet man vom IT-Betrieb, dass dieser gleichzeitig die Vorgaben des Datenschutzes in hybriden und sehr heterogenen Umgebungen sicher und mit möglichst geringem Aufwand umsetzt. Hochgeschwindigkeits-IT ist zur Grundlage der Wettbewerbsfähigkeit auf dem modernen Markt geworden, doch mit den kurzen Entwicklungszeiten und schnellen Releases gerät die IT-Sicherheit unter Druck und es besteht die Gefahr, Auflagen der DSGVO nicht zu erfüllen und somit Bußgelder zu riskieren.

Innovative Services für Identity & Access Management sichern DSGVO-konforme Prozesse und ermöglichen agile Entwicklungsmuster 


Service Layers, ein Tochterunternehmen der iC Consult, dem führenden, herstellerunabhängigen Systemintegrator im Bereich Identity und Access Management (IAM), bietet nun mit einer kundenspezifisch anpassbare IAM-Plattform die Möglichkeit sowohl den hohen Anforderungen an ein lückenloses IAM zu entsprechen als auch dank der Nutzung von Microservices und Containern, agile Entwicklungsmuster und extrem kurze Entwicklungszyklen zu ermöglichen. Der IAM-Service nutzt hierfür Produkte der marktführenden Hersteller, wie zum Beispiel ForgeRock oder Ping Identity und stützt sich dabei auf moderne Prinzipen der IT-Architektur und –Organisation. Von der Anpassung der IAM-Software über die Integration bishin zum fortlaufenden Betrieb- wahlweise in Public- oder Private Clouds sowie in hybriden Infrastrukturen – deckt das Angebot den kompletten Prozess ab und ermöglicht so Unternehmen, die komplexen Anforderungen der DSGVO ressourcenschonend zu erfüllen. Darüber hinaus trägt die erreichte Einhaltung der Richtlinien zusätzlich dazu bei, das Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern zu untermauern – Datenschutz quasi als Gütesiegel.