Datensicherheit erfordert höchste Priorität: Von Datenschutzreformen und Fachkräftemangel

Die Datenschutzverletzungen bei Yahoo lassen IT-Sicherheitsbeauftragte in sämtlichen Branchen aufhorchen. Mehr als 1,5 Milliarden E-Mail-Konten könnten vom Datenklau betroffen sein. Der Wert des Konzerns ist nach dem dritten Cyberangriff Ende 2016 weiter gefallen. Auch in Franchise-Systemen wird die Bedeutung von Datensicherheit und Datenschutz trotz zahlreicher Vorfälle noch immer massiv unterschätzt. Experten fordern schon seit Jahren, dass der IT-Sicherheit oberste Priorität zugewiesen werden sollte. Aufgrund der neuen EU-Datenschutzregeln sind Unternehmen jedoch gezwungen sich mit verschärften Verordnungen auseinanderzusetzen. Organisationen, welche die Umsetzung bis zum Stichtag 25. Mai 2018 nicht vollzogen haben, müssen mit hohen Bußgelder rechnen.

Datensicherheit in Franchise-Systemen

Der Informationsfluss innerhalb von Franchiseunternehmen ist teilweise enorm. Während zu Beginn einer Partnerschaft sensible Daten über das Franchisekonzept zwischen Franchisegeber und Franchisenehmer ausgetauscht werden, kommen später große Mengen an Kundendaten zusammen. Ein kritischer Punkt ist der Austausch von Kundendaten. Das Datenschutzrecht bringt hierbei teilweise ungeahnte rechtliche Hürden mit sich. Vielerorts handeln Franchise-Betriebe bereits rechtswidrig, wenn es zur Übermittlung von Kundendaten vom Franchisenehmer an den Franchisegeber kommt. Das ist vielen nicht bewusst. Mit dieser Kundendatenübermittlung können sich Beteiligte, abhängig vom Einzelfall, strafbar machen. Ausschlaggebend ist, ob der Kunde zugestimmt hat, dass der selbstständige Franchisenehmer seine Daten an das gleichermaßen rechtlich selbstständige Franchisegeber-Unternehmen weiterleiten darf. Nicht nur die Erhebung und Verarbeitung von Daten muss klar geregelt sein, auch die Nutzung und Weitergabe personenbezogener Daten ist zu klären. Der Schutz vor einem unerlaubten Datenzugriff durch Dritte muss gewährleistet sein.

Generell sind die Vorschriften des Bundesdatenschutzgesetzes vom Franchisegeber einzuhalten. Beispielsweise können diese voraussetzen, dass ein Datenschutzbeauftragter ernannt werden muss, um nur ein Beispiel zu nennen. Jeder Franchisegeber ist aufgefordert die gesetzlichen Grundlagen sorgfältig zu prüfen, um empfindliche Geldstrafen zu vermeiden. Nicht weniger wichtig ist die Einhaltung aller Gesetze hinsichtlich des potenziellen Imageschadens, der einen Angriff auf Kunden- und Unternehmensdaten nach sich ziehen und die Existenz bedrohen kann.

Konsumenten schätzen Datenschutz kritisch ein

Dass die Datensicherheit eine immer größere Rolle spielt, lässt sich auch an der Einschätzung von Konsumenten ablesen. Laut den Ergebnissen einer Verbraucherumfrage zu ihrer Meinung über IT-Sicherheit und Datenschutz in der Finanzdienstleistungsbranche genießen Versicherungen und Banken das größte Vertrauen. Telekommunikationsfirmen und die E-Commerce-Branche betrachten Verbraucher stattdessen sehr kritisch, so die Angabe im Artikel des Investmentmagazins zur Studie. Eine andere Umfrage der Beratungsagentur Boston Consulting Group bestätigt, dass 50 Prozent der in Deutschland lebenden Menschen davon ausgehe, die Wirtschaft würde zum Umgang mit ihren persönlichen Daten nicht ehrlich informieren. Noch misstrauischer sind die Franzosen, Spanier und Briten gegenüber Unternehmen.

Viele Verbraucher nehmen den Datenschutz bereits selbst in die Hand und wenden sich an individuelle Dienstleister, welche die Überwachung ihrer Daten übernehmen, um finanziellen Schäden und Datenmissbrauch vorzubeugen. Der vom TÜV Saarland geprüfte digitale Datenschutzservice Owl der Hamburger Creating Profitable Partnerships GmbH (CPP) hält beispielsweise auf illegalen Handelsplätzen Ausschau nach unerlaubten Zugriffen und alarmiert Kunden bei nicht autorisierter Verwendung ihrer Daten. Der 24-Stunden-Datenschutz erfreut sich zunehmender Beliebtheit, was Unternehmen wiederum verdeutlichen sollte, wie entscheidend die Datensicherheit hinsichtlich Kundengewinnung und Kundenbindung inzwischen ist. Die Zahl der Verbraucher, die sich genauestens mit dem Datenschutz von Betrieben beschäftigt, steigt rapide. Trotz dieser Tatsache gehen viele Unternehmer leichtfertigt mit dem Thema um.

Leichtsinn im Geschäftsalltag: Bitkom Studie legt Handlungsbedarf offen

Am 25. Mai 2016 trat die Datenschutz-Grundverordnung in Kraft. Die EU-Mitgliedstaaten haben bis zum 25. Mai 2018 Zeit die Inhalte umzusetzen. Gelingt einem Unternehmen die Realisierung nicht rechtzeitig, sind die Datenschutzbehörden befugt empfindliche Bußgelder zu verhängen. Diese können bis zu vier Prozent des globalen Umsatzes ausmachen. Dennoch haben zahlreiche Unternehmen die Datenschutzreform „nicht auf dem Schirm“, das ergab eine Studie des Digitalverbands Bitkom im Herbst 2016. 44 Prozent hatten sich zu diesem Zeitpunkt nicht mit der EU-Verordnung auseinandergesetzt. Befragt wurden über 500 Datenschutzverantwortliche von Unternehmen mit mehr als 20 Mitarbeitern. Immerhin 32 Prozent sind sich der Reform bewusst. Doch auch diese Betriebe hatten sich noch nicht näher damit beschäftigt. Zwölf Prozent wussten zum Zeitpunkt der Studie noch nicht einmal von den gesetzlichen Änderungen. Lediglich acht Prozent konnten eingeleitete Maßnahmen zur Umsetzung vorweisen.

Neben einer Vielzahl von neuen Dokumentations- und Informationspflichten gehen mit der EU-Verordnung neue gesetzliche Vorgaben einher. Darunter eine Datenschutz-Folgeabschätzung (DSFA) sowie Vorgaben zum Datenschutz in der Produktentwicklung (Privacy by Design). Mit der Datenschutz-Folgeabschätzung soll unter anderem der massive Nachholbedarf in Sachen risikoreiche Datenverarbeitungssysteme aufgeholt werden. Mit Hilfe einer DSFA werden Risiken beim Datenschutz identifiziert und bewertet. Ziel ist es Datensicherheitsrisiken rechtzeitig zu erkennen und mit technischen, organisatorischen oder juristischen Gegenmaßnahmen sinnvoll darauf zu reagieren.

Susanne Dehmel, Mitglied der Geschäftsleitung Vertrauen & Sicherheit bei Bitkom e.V., bemängelt, dass nur jedes zweite Unternehmen ein Verfahrensverzeichnis besitzt. In diesem Verzeichnis werden interne Prozesse zur Verarbeitung von personenbezogenen Daten dokumentiert. Es diene Datenschutzbeauftragten als Arbeitsgrundlage. „Bei einer Überprüfung durch die Aufsichtsbehörden können Unternehmen mit dem Verfahrensverzeichnis zeigen, dass die Prozesse korrekt ablaufen“, so Dehmel.

Massiver Fachkräftemangel

Konsumenten werden sensibler was den Datenschutz angeht, weshalb es bei der Datensicherheit längst nicht mehr nur darum geht Cyberangriffe abzuwehren. Vielmehr müssen Unternehmen bestrebt sein, das Vertrauen der Verbraucher zurückzugewinnen. Umfangreiche Schutzmechanismen sind aufgrund der zunehmenden Vernetzung von Prozessen und Digitalisierung wesentliche Werkzeuge. Die Technologien für maximale Sicherheit sind vorhanden, werden aber noch unzureichend implementiert. Schuld ist vielerorts ein Mangel an Fachkräften, welche die geforderte IT-Sicherheit umsetzen müssten. Dies ist auch in Hinblick auf die Umsetzung der Datenschutzreform ein großes Thema. Das Onlineportal zu Fragen der Datensicherheit hat kürzlich die Ergebnisse der aktuellen Global Information Security Workforce-Studie des Centers für Cyber Safety und EducationTM zusammengefasst. Demnach werden „in der Cyber-Sicherheitsbranche bis 2022 1,8 Millionen Mitarbeiter fehlen“. Zudem verdeutlicht die Untersuchung, dass häufig nicht ausreichend IT-Sicherheitspersonal bereitstehen würde, um den „Sicherheitsansprüchen gerecht zu werden“. In Bezug auf die bevorstehende EU-Datenschutzgrundverordnung kam die Studie auf einen weiteren interessanten Fakt: 24 Prozent der Befragten in der Dach-Region (Deutschland, Schweiz, Österreich) könnten das ab Mai 2018 geltende 48-Stunden-Zeitfenster für das Veröffentlichen von Verletzungen im Datenschutz derzeit nicht einhalten. Stattdessen bräuchten sie mehr als acht Tage, um einen derartigen Schaden zu beheben.

Bleibt abzuwarten, ob es Unternehmen gelingt den Fachkräftemangel zu überwinden und den hohen Ansprüchen an Datensicherheit und Datenschutz gerecht zu werden. Fest steht, dass erhöhte Investitionen längst überfällig und in Bezug auf das Konsumentenvertrauen unverzichtbar sind.

Prof. Dr. Jochen Schneider, Rechtsanwalt und Autor zahlreicher Datenschutz-Publikationen, führt in die EU-Datenschutzgrundverordnung ein:

 

Titelbild Quelle: „typographyimages“ (https://pixabay.com/ ->freie kommerzielle Nutzung)

Glossar