DSGVO: Unternehmen in der Nachweispflicht

Unternehmen müssen die Eignung der implementierten Sicherheitsmaßnahmen nachweisen können. Kommen sie dem nicht nach, verlieren sie Zeit und Geld – und riskieren saftige Strafen

München |

Die DSGVO tritt auf den Tag genau in vier Monaten in Kraft. Ohne risikobasierten Ansatz bei der Verarbeitung personenbezogener Daten werden europäische Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und können somit auch hohe Strafen kassieren. Was Unternehmen über DSGVO-Compliance wissen müssen, erklärt Akamai Technologies in vier Schritten.

Unternehmen müssen jetzt geeignete Sicherheitsmaßnahmen einführen – und diese im Falle einer Datenschutzverletzung nachweisen können. Dieser Hinweis, der auch im neuesten Akamai-Whitepaper Effektiver Schutz von Webanwendungen nachzulesen ist, zeigt, wie wichtig es für Unternehmen ist, ihre Systeme ausführlich zu analysieren, um Risikobereiche zu ermitteln und die Compliance zu gewährleisten. Welche Maßnahmen hierbei als "geeignet" gelten, ist stückweit auch Auslegungssache, räumt Akamai ein.

Gerhard Giese, Manager Enterprise Security Architect bei Akamai Technologies, hält Unternehmen dringend dazu an, die Best Practices ihrer Branchen einzuhalten, um Kundendaten zu schützen und gegenüber Datenschutzbehörden nachweisen zu können, dass die getroffenen Sicherheitsmaßnamen geeignet waren:

"Unternehmen befinden sich in der Zwickmühle: Die DSGVO lässt zwar Auslegungsspielraum, aber Unternehmen müssen handeln, bevor die Verordnung in Kraft tritt. Wer nicht hinreichend nachweisen kann, dass er geeignete Maßnahmen zum Schutz personenbezogener Daten sowie zur Risikominimierung bei der Datenverarbeitung ergriffen hat, riskiert saftige Strafen. Im Falle einer Datenschutzverletzung liegt die Beweispflicht auf Seite der Unternehmen: Sie müssen nachweisen, dass ihre Maßnahmen geeignet waren. Unternehmen können sich also nicht mehr verstecken."

Compliance: keine leichte Aufgabe

Das oben genannte Akamai-Whitepaper weist auf einen wichtigen Punkt hin: Wenn Unternehmen die Zuverlässigkeit ihrer risikobasierten Sicherheitsstrategien nachweisen müssen, ist das meist schwieriger als erwartet. Bei Behörden kommt schnell die Frage auf, wie risikobasiert der Ansatz eines Unternehmens ist, wenn dieses nicht auf neueste Technologien zurückgreift und sich lediglich auf das eigene Wissen über die schnelllebige Cyber-Bedrohungslandschaft verlässt.

Giese ergänzt: "Viele Unternehmen verwenden Technologien, mit denen sie anfällig gegenüber Angriffen sind. Das können zum Beispiel VPN-Zugänge sein, die Externen Zugang zum Unternehmensnetzwerk erlauben. Unternehmen können oft nur eingeschränkt auf Attacken von außen reagieren oder brauchen länger als nötig, um Probleme zu erkennen und Lösungen zu implementieren, die ihre Webressourcen vor den entsprechenden Bedrohungen schützen. Firmen sollten sich ihre Sicherheitslösungen ganz genau anschauen und sich die Frage stellen, ob es eine bessere Möglichkeit gibt, personenbezogene Daten zu schützen. Wenn es eine einfache, praktische Lösung gibt, die bisher nicht implementiert wurde, sollten sie genau prüfen, ob sie mit der bestehenden Lösung die Risiken wirklich wie erforderlich "angemessen" minimieren."

Globale Unternehmen müssen außerdem lokale Compliance-Anforderungen erfüllen, die in jedem Land unterschiedlich sind und die Komplexität der Gewährleistung der Compliance erhöhen. Und wenn Länder ihre Datenschutzgesetze ändern, müssen globale Konzerne entsprechend reagieren. Zwar gibt es zwischen den verschiedenen Ländern Überschneidungen, aber durch die vielen feinen Abstufungen gestaltet es sich für die Unternehmen schwierig, die Einhaltung all dieser Verordnungen nachzuweisen.

Schritte zum Nachweis der DSGVO-Compliance

Was können Unternehmen jetzt tun? Akamai empfiehlt vier Schritte, wie Unternehmen im Zweifelsfall Datenschutzbehörden nachweisen können, dass sie einen ausreichenden risikobasierten Ansatz zum Schutz ihrer Webressourcen verfolgen:

  1. Lernen Sie aus den Fehlern anderer
    Wenn Verantwortliche bis zum ersten Angriff warten, bevor sie auf eine neue Cyber-Bedrohung reagieren, sinkt die Wahrscheinlichkeit einer erfolgreichen Verteidigung. Sicherheitsanbieter können IT-Bedrohungen analysieren und diese Informationen zum Schutz ihrer anderen Kunden nutzen, noch bevor dort ein Angriff auftritt.
  2. Pflegen und dokumentieren Sie die Web-Application-Firewall (WAF)-Regeln
    Bei einem Sicherheitsvorfall verlangen Datenschutzbehörden einen Nachweis über die Schritte, die zur Minimierung der Auswirkungen unternommen wurden. Bei Webressourcen hat eine effektive und regelmäßig aktualisierte Application Firewall Priorität, um auf die ständig neue Bedrohungslandschaft reagieren zu können.
  3. Steuern Sie den Zugriff Dritter auf personenbezogene Daten
    Heutzutage benötigen auch Drittanbieter Zugang zu Daten im Unternehmensnetzwerk. Dieser Zugriff kann jedoch sowohl die personenbezogenen Daten als auch die allgemeine Sicherheit gefährden. Deshalb benötigen Unternehmen ein System, das den Zugang zu den entsprechenden Netzwerken überwacht und die Risiken durch nicht autorisierten Zugriff minimiert. Damit können sie den Datenschutzbehörden Nachweise zu entsprechenden Maßnahmen erbringen.
  4. Schaffen Sie einen Puffer zwischen Ihrem Netzwerk und der Bedrohung
    Wenn sich die erste Verteidigungslinie eines Unternehmens erst am Netzwerkübergang befindet, sind Angriffe besonders gefährlich. Deshalb sollten Unternehmen einen Puffer, z. B. ein Content Delivery Network, zwischen ihrer eigenen Infrastruktur und den potenziellen Bedrohungen aufbauen. So werden Angriffe auf Ihre IT erkannt, bevor sie zum Problem werden und auch DDoS-Angriffen können frühzeitig abgewehrt werden.

Über Akamai®

Als weltweit größte und der am meisten vertrauten Cloud-Delivery-Plattform vereinfacht es Akamai seinen Kunden, das beste und sicherste digitale Erlebnis bereitzustellen – auf jedem Gerät, an jedem Ort und zu jeder Zeit. Die global verteilte Plattform von Akamai bietet mit über 200.000 Servern in 130 Ländern eine unvergleichliche Skalierbarkeit, mit deren Hilfe Kunden überragende Performance und einen umfassenden Schutz vor Bedrohungen erhalten. Das Portfolio von Akamai in den Bereichen Website- und Mobile-Performance, Cloudsicherheit und Unternehmenszugriffs- sowie Videobereitstellungslösungen wird durch einen herausragenden Kundenservice und Rund-um-die-Uhr-Überwachung unterstützt. Weitere Information dazu, warum führende Finanzdienstleister, E-Commerce-, Medien- und Unterhaltungsunternehmen sowie Regierungsbehörden auf Akamai vertrauen, finden sich unter http://www.akamai.com/de, in den Blogs https://blogs.akamai.com/ und https://blogs.akamai.com/de/ oder auf Twitter unter @AkamaiDACH (https://twitter.com/AkamaiDACH) sowie @Akamai (https://twitter.com/Akamai).