Kommentare zur EU-Datenschutz-Grundverordnung

LogRhythm kommentiert:

EU-DSGVO: Endlich Strafe für die Ignoranten

Nach mehr als vier Jahren hat das Europäische Parlament heute die endgültige Fassung der EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet*. Ziel ist es, mit diesem Regelwerk die aus dem Jahr 1995 stammende Datenschutzrichtlinie der EU zu aktualisieren, um sie besser auf aktuelle Technologien abzustimmen. Deutliche Veränderungen der neuen Verordnung sind die härteren Strafen für Unternehmen, die gegen das EU-Datenschutzrecht verstoßen, und die mit Geldbußen in Höhe von bis zu vier Prozent ihres weltweiten Umsatzes belegt werden sollen. Zudem müssen Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden für die Betroffenen offenlegen. Verabschiedet werden soll die neue EU-DSGVO noch im April 2016, Anwendung finden allerdings erst Mitte 2018.

Roland Messmer, Director Central EMEA bei LogRhythm, sieht die EU auf dem richtigen Weg und Unternehmen in der Pflicht:

Roland Messmer, Director Central EMEA bei LogRhythm

“Obwohl es jetzt nochmals zwei Jahre dauert, bis die neuen Gesetze greifen, stellt dies einen großen Schritt vorwärts im Kampf gegen die Cyberkriminalität dar. Denn ich bin davon überzeugt, dass die neue Verordnung viel Positives bewirken wird. So müssen Unternehmen einen Datenschutzbeauftragten ernennen, wenn sie sensible Daten in großem Umfang verarbeiten. Auch wird die Haftung bei Datenschutzverletzungen auf Auftragsdatenverarbeiter ausgeweitet. Beides sind logische Schritte, zumindest für die Unternehmen, die es mit ihren Aktivitäten in Sachen Cyber- und Datensicherheit wirklich ernst meinen.

Was meines Erachtens jedoch am meisten Wirkung zeigen wird, ist die Gefahr für Unternehmen, die das Thema digitale Sicherheit vernachlässigen, sich mit hohen Geldstrafen und einer Veröffentlichungspflicht innerhalb von drei Tagen nach einem Vorfall konfrontiert zu sehen. Um dies zu vermeiden, müssen Unternehmen entsprechende Maßnahmen ergreifen, die sicherstellen, dass alle Netzwerkaktivitäten jederzeit voll unter Kontrolle sind. Denn ohne solch eine allumfassende Übersicht ist nahezu unmöglich, innerhalb von 72 Stunden einen Angriff zu erkennen, zu analysieren und abzuwehren.

Daher wird diese neue Verordnung nicht ganz zu Unrecht als größter Umbruch bei den EU-Datenschutzgesetzen seit 20 Jahren bezeichnet. Denn sie macht klar: Unternehmen, die das Thema IT-Security weiterhin ignorieren, werden künftig an den Konsequenzen schwer zu tragen haben.”

———–

Vormetric kommentiert

EU-Datenschutz-Grundverordnung verabschiedet

“Fakt ist: Die Zahl schwerwiegender Datenschutzverletzungen und -diebstähle steigt stetig. Fakt ist auch: Die Mitgliedsstaaten der Europäischen Union verfügen jeweils über eigene Datenschutzbestimmungen, die in vielen Bereichen voneinander – teilweise deutlich – abweichen. Da ist es eine gute Nachricht, dass mit der EU-DSGVO nun endlich eine übergreifende Verordnung auf den finalen Weg gebracht wurde. Denn Cyber-Kriminelle haben sich noch nie an Landesgrenzen gehalten, sodass zu ihrer Bekämpfung eine europaweite Zusammenarbeit unverzichtbar ist.

Louise Bulman, ‎Vice President & General Manager EMEA bei Vormetric

Diese neuen Regularien haben signifikante Auswirkungen – insbesondere für Unternehmen, die bislang aus Fahrlässigkeit oder gar bewusst das Thema Datenschutz vernachlässigt haben. Vor allem die vorgesehene Geldbuße bei Datenschutzverletzungen in Höhe von bis zu vier Prozent des weltweiten Umsatzes dürfte diese Kandidaten hart treffen, wenn sie nicht umgehend damit beginnen, alles für die Einhaltung der neuen Vorgaben zu tun. Das lässt sich aber nur mit nachhaltigen Investitionen bewerkstelligen. Denn Sicherheitstechnologien wie eine transparente Verschlüsselung mit Zugriffskontrolle reduzieren die Gefahr erheblich, gegen die neuen Gesetze zu verstoßen.

Nachvollziehbar ist, dass die Aktualisierung der IT-Infrastruktur für einige Unternehmen eine echte Herausforderung sein wird. Denn es gibt Vieles – einschließlich finanzieller und zeitlicher Aspekte – zu beachten. Spätestens in zwei Jahren müssen Unternehmen aber dann verstanden haben, was die neuen Gesetze für sie bedeuten und welche Maßnahmen umgesetzt sein müssen.

Die Zeit, die zum Handeln bleibt, kann schnell zu knapp werden. Je früher Unternehmen mit den Planungs- und Umsetzungsprozessen adäquater Sicherheitsmaßnahmen und der Realisierung einer durchgängigen Datenverschlüsselung beginnen, desto eher kann auch den Kunden verdeutlicht werden, dass alle notwendigen Schritte unternommen wurden, um ihre persönlichen Daten vor illegitimen Zugriffen zu schützen.

Daher ist die EU-DSGVO ein Schritt in die richtige Richtung. Denn sie ist der dringend benötigte Weckruf für alle Unternehmen, die sich in Sachen Sicherheit und Datenschutz noch im Tiefschlaf befinden.”