Bevor die Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft getreten war, ergriffen die meisten Unternehmen Maßnahmen, um deren Einhaltung gewährleisten zu können – mittlerweile ist es jedoch still um das Thema geworden. Ist das nur die Ruhe vor einem sich anbahnenden Sturm an Sanktionen? Denn Unternehmen, die gegen die DSGVO verstoßen, müssen mit Bußgeldzahlungen rechnen.
Es wurden bereits Bußgelder in Höhe von 56 Millionen Euro – davon 50 Millionen Euro für Google in Frankreich – verhängt. In Polen, Portugal und Spanien mussten Organisationen ebenfalls mehrere Hunderttausend Euro Strafe zahlen. In Deutschland gab es 58 Verwarnungen sowie 42 Geldbußen, die durchschnittlich 16.100 Euro betrugen. In den Niederlanden kam es sogar zu 1.000 Verwarnungen, aber nur zu einer Strafe, die dafür bis dato mit 600.000 Euro einer der höchsten war. [1]
Erst kürzlich verhängte die britische Datenschutzbehörde ein Bußgeld im dreistelligen Millionenbereich gegen die Fluggesellschaft British Airways – wegen einer Datenschutzpanne aus dem Jahr 2018. Damals hatten Cyberkriminelle persönliche Daten und Kreditkarteninformationen inklusive Sicherheitscodes während des Buchungsvorgangs abgreifen können. Dies betraf knapp 500.000 British-Airways-Kunden. [2]
Schwachstellen in der Netzwerksicherheit
Warum verstoßen Unternehmen gegen die DSGVO? Bisher lag der Fokus vor allem auf E-Mail-Verteilerlisten und Aktualisierungen interner Dokumente. Es wurden nicht genug Maßnahmen in Sachen Netzwerksicherheit ergriffen, so dass Cyberkriminelle eindringen und sich Zugriff auf sensible Informationen verschaffen konnten.
Zwar können die Datenverwaltung und die Vorgehensweisen im Betrieb durchaus DSGVO-konform sein; sobald die Netzwerksicherheit jedoch unzureichend ist und Daten abfließen, wird gegen die Regularien verstoßen. Das stellt eine große Herausforderung für Unternehmen dar. Cyberkriminelle entwickeln sich und ihre Methoden immer weiter, weshalb kein Netzwerk wirklich zu hundert Prozent geschützt werden kann. Dies wird von der DSGVO allerdings auch nicht vorausgesetzt. Unternehmen sollen „nur“ alles in ihrer Macht Stehende tun, um Daten zu schützen.
Die Zeit ist reif
Unternehmen tun sich immer noch schwer, ihre Netzwerke zu schützen. Allerdings ist davon auszugehen, dass Behörden vermehrt gegen Organisationen vorgehen, die die Vorgaben nicht einhalten. Während sich deren bisherige Maßnahmen noch in Grenzen hielten, gehen Ernst und Young davon aus, dass die Vorschriften von nun an strenger durchgesetzt werden und die Anzahl der Geldbußen steigen wird. [3]
Es gibt Maßnahmen, die jedes Unternehmen umsetzen kann, um den Schutz des Netzwerks zu erhöhen. Anstatt sich lediglich auf Antivirensoftware zu verlassen, sollte man umfassende Cybersicherheitstools verwenden. Mittels Advanced Threat Protection (ATP) können Organisationen beispielsweise in Echtzeit das Netzwerk überwachen und schützen.
Unternehmen müssen handeln
Unternehmen müssen ihre Netzwerksicherheit überprüfen, um zu gewährleisten, dass alles auf dem neuesten Stand ist und ein angemessenes Schutzniveau geboten wird. Verfügt die eigene Organisation nicht über entsprechendes Fachpersonal, kann man auch auf externe Expertise zurückgreifen. Die Mitarbeiter sollten zudem entsprechend geschult werden, damit sie wissen, wie sie sicher mit sensiblen Daten umgehen und wie sie die Anzeichen eines möglichen Cyberangriffs oder einer Bedrohung erkennen können.
Um eine hohe Bußgeldzahlung aufgrund einer Verletzung der DSGVO zu vermeiden, müssen Unternehmen anfangen, ihre Prozesse und Daten entsprechend zu schützen.
[1] https://www.lexology.com/library/detail.aspx?g=c04317e4-4fc9-43b4-ab6d-bb19210c812d
[2] https://www.heise.de/newsticker/meldung/Datenschutzpanne-British-Airways-soll-etwa-204-Millionen-Euro-Strafe-zahlen-4465412.html
[3] https://www.channelpartner.de/a/2018-nur-42-bussgelder-wegen-dsgvo-verhaengt,3601258