Die europäische Datenschutz-Grundverordnung GDPR treibt vielen Firmen die Schweißperlen auf die Stirn. Was fordert sie von den Unternehmen?

Es hat etwas von Weihnachten. Jedes Jahr findet es am 24. Dezember statt, trotzdem kaufen die Menschen am 23. erst Geschenke. Genauso ist der Termin für die GDPR schon länger bekannt. Andererseits birgt das Thema eine hohe Komplexität für die Unternehmen. Kritisch ist etwa, dass man nun in der GDPR eine konkrete Strafe für Nichteinhaltung formuliert hat. Für die Unternehmen wird so transparent, welches Risiko die Regelung für sie bedeutet. Hinzu kommt, dass mit der Datenschutz-Grundverordnung auch Incompliance bestraft wird. Bisher ging man davon aus, dass bei einer konkreten Gesetzesverletzung – etwa wenn Daten gestohlen werden – eventuell eine Bestrafung nach sich zieht. Mit dem Inkrafttreten der GDPR sind die Datenschutzbeauftragten der Bundesländer in Deutschland beauftragt, Audits zur Umsetzung des Gesetzes durchzuführen. So könnte im Juni theoretisch ein Auditor auftauchen und die GDPR-Compliance abfragen. Das trifft die Unternehmen wohl am härtesten.

Welche Konsequenzen kann eine Nichteinhaltung für Unternehmen haben?

Es gibt diese ominöse Höchststrafe von 20 Millionen Euro beziehungsweise vier Prozent des Firmenumsatzes. Vermutlich wurde das von den Regulatoren in dieser Höhe festgelegt, um zu verdeutlichen, dass es sich nicht um ein Kavaliersdelikt handelt. Die Gerichte werden sich schwer tun, die entsprechende Höhe zu formulieren. Die Summe kann ja durchaus ruinös sein.

Hans-Peter Bauer ist Vice President Central Europa beim Softwareanbieter McAfee

Hans-Peter Bauer ist Vice President Central Europa beim Softwareanbieter McAfee McAfee

Ist der strenge Datenschutz, den die EU jetzt Unternehmen und Organisationen mit der G2DPR auferlegt, ein Wettbewerbsnachteil gegenüber Konkurrenten wie den USA?

Das kann man unter zwei Winkeln betrachten. Zum einem kann ein Unternehmen es für einen Wettbewerbsnachteil halten, wenn es für Behörden zusätzliche Pflichten und technologische Anforderungen erfüllen muss. Zum anderen gelten diese Pflichten auch für amerikanische Unternehmen in der EU. Wenn die strengere Regulierung mehr Datensicherheit garantiert, wird daraus womöglich ein Wettbewerbsvorteil – und im Moment ist GDPR die schärfste Formulierung zum Datenschutz. Wir erwarten sogar, dass einige der großen Cloud-Anbieter, da sie hier in Europa GDPR-compliant sein müssen, künftig mehr Daten in Europa speichern als anderswo. Indem man diese Compliance als Service weltweit anbietet, können vielleicht neue Geschäftsmodelle entstehen.

Was bedeuten die neuen Regelungen für die Unternehmens-IT?

Nach dem deutschen Verordnungstext wird die Compliance bei Audits – analog zum Englischen „Best Practice“ – nach dem „Stand der Technik“ überprüft. Insofern müssen Unternehmen und Organisationen den Anschluss an den aktuellen Stand der Technik schaffen. Unserem Verständnis nach müssen sie dafür mindestens den zuständigen ISO-Normen entsprechen. Auch wenn es nicht formuliert ist, werden Gerichte, die später im Schadensfall oder Compliance-Case entscheiden müssen, eine ISO-Zertifizierung wohl als strafmildernd ansehen. Die Unternehmen werden sich stärker mit den Themen Data Leakage Protection und Reporting beschäftigen müssen. Wir stellen fest, dass es zunehmend länger dauert, bis ein wirklicher Vorfall entdeckt und gemeldet werden kann. Firmen müssen sich die Frage stellen „Wie verkürze ich die Zeit vom eigentlichen Vorfall bis zur Entdeckung des Vorfalls“. Schließlich nimmt das Ausmaß des Breaches zu, bis der Breach gefunden wird. Deshalb müssen Unternehmen wesentlich stärker Technologien einsetzen, die nicht nur schützend und reaktiv sind, sondern präventiv und proaktiv arbeiten.

Lesen Sie auf der nächsten Seite, wie sich Firmen auf die Datenschutz-Grundverordnung vorbereiten können und wie große der Beratungsbedarf in deutschen Unternehmen ist.

Seite 1 von 212