Gastbeitrag von James LaPalme
DSGVO – So bereiten sich Start-ups richtig vor
Am 25. Mai 2018 ist Stichtag. Dann tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Doch noch immer haben sich viele Unternehmen – darunter auch viele Start-ups – nicht ausreichend über das Thema informiert oder echte Schutzmaßnahmen ergriffen: Noch im September 2016 war laut Bitkom-Studie für 44 % der deutschen Unternehmen die DSGVO überhaupt kein Thema. Die Zeit für Unternehmenslenker und IT-Verantwortliche wird allerdings knapp.
Die neue EU-Verordnung bringt das Thema Datenschutz nicht nur auf den aktuellen Stand der Technik, sondern verhilft EU-Bürgern auch zu mehr Kontrolle über ihre personenbezogenen Daten. Doch im Gegenzug stellt sie hohe Anforderungen an alle Unternehmen – ganz unabhängig von ihrer Größe. Tatsächlich bleibt nicht mehr viel Zeit, sie zu erfüllen. Schließlich dauert es kaum länger als ein Jahr, bis die Verordnung rechtlich bindend ist. Wenn sie erst einmal offiziell EU-Recht ist, und kommt es unter ihr zu einer Verletzung, drohen Unternehmen Strafen von bis zu 20 Millionen Euro oder vier Prozent des Firmenumsatzes – gerade für Start-ups ein echtes KO-Kriterium. Unternehmen jedweder Größe sind daher gefordert, ein ganzheitliches Sicherheitskonzept zum Schutz von Unternehmens- und Kundendaten zu entwickeln.
Bundesdatenschutzgesetz vs. Datenschutz-Grundverordnung
Noch immer ist das Bundesdatenschutzgesetz (BDSG) für seine weitreichende Tragweite bekannt. So ist es auch kein Wunder, dass selbst große US-Konzerne ihre Daten in Rechenzentren in Deutschland speichern, um ihren Kunden gegenüber ein Zeichen zu setzen. Reicht es dann nicht, wenn Unternehmen sich an das Bundesdatenschutzgesetz halten? Die Antwort darauf muss ein deutliches „Nein“ sein. Denn der Schutzbegriff beim DSGVO geht noch viel weiter als beim aktuellen deutschen Standard. So können personenbezogene Daten, die sich natürlichen Person zuordnen lassen, bereits als verletzt gelten, wenn allein ihre Verfügbarkeit betroffen ist. Das heißt konkret: Kunden oder Arbeitnehmer müssen auch bei technischen Ausfällen möglichst schnell wieder auf ihre personenbezogenen Daten zugreifen können. Sollte es dennoch zum Beispiel zu einem Datenleck kommen, muss dies binnen 72 Stunden gemeldet werden – das war in dieser strengen Form beim BDSG nicht der Fall. Gründer sollten sich also über den Aufwand, der auf sie zukommen kann, bewusst sein.
Auch wenn die Vorgaben der EU vielleicht streng sind, kann jedes Unternehmen – ob klein oder groß – sie einhalten. Damit es kein böses Erwachsen gibt, sollten die Verantwortlichen in den Unternehmen sich jetzt allerdings einige Fragen stellen: Welche eigenen Vorgaben, Technologien und Prozeduren muss meine Organisation einführen, um die Regularien der EU zu erfüllen? Was ist sinnvoll, praktisch und überhaupt in dem definierten Zeitrahmen umsetzbar?
DSGVO-Konformität sicherstellen
Dass Gesetze gerne sehr verklausuliert formuliert werden, ist nicht neu. Das trifft genauso gut auf das DSGVO zu. Dadurch sucht man eher vergebens nach wirklich konkreten Handlungsanweisungen bei der Verordnung. Beispielsweise heißt es dort, es seien vernünftige Sicherheitsmaßnahmen zu implementieren. VPN-Netze, Firewalls und Virenscanner zum Schutz der eigenen IT sollten in jedem Fall auch für Gründer absoluter Standard sein. Um diese jedoch im Unternehmen korrekt einzurichten, muss die Zusammenarbeit mit IT-Sicherheitsexperten fest eingeplant werden. Und dennoch gibt es Fälle, in denen diese schlicht nicht ausreichen: Denn Profi-Hacker können auch sehr hohe Sicherheitshürden überwinden. Oder was ist, wenn ein Mitarbeiter etwa ein Smartphone oder einen Laptop der Firma verliert? Schließlich geht mit dem Gerät auch die Kontrolle über die darauf gespeicherten Daten verloren.
Sowohl die Zahl der genutzten mobilen Endgeräte als auch die Fälle von BYOD (Bring Your Own Device) nehmen insgesamt zu – gerade bei den jungen Teams von Start-ups ist das keine Seltenheit. Und dennoch gibt es eine ganz konkrete Lösung, die weder teuer noch aufwendig ist, und mit der sich die EU-Verordnung einhalten lässt: die Datenverschlüsselung. Denn weder gestohlene noch auf andere Weise abhandengekommene Daten gelten als wirklich verloren, wenn sie für Unbefugte nicht lesbar sind. Schließlich sind sie in diesem Zustand auch nicht kompromittierbar. So bleiben personenbezogene Daten, die verschlüsselt sind, stets geschützt. Für einen Datendieb, der nicht auf sie zugreifen kann, sind diese einfach wertlos. Es bleibt allerdings die Frage, was mit Daten passiert, die außerhalb des eigenen Unternehmens gespeichert sind so wie beim Cloud Computing.
Wolkig, mit Aussicht auf Daten
Am Anfang eines jeden Unternehmens steht eine Idee. Woran es jungen, technikaffinen Gründern häufig mangelt, sind schlicht Geld und Ressourcen. So besteht die eigene ICT-Landschaft – je nach Anzahl der Gründer – häufig aus nicht mehr als ein paar Laptops und nochmal so vielen Smartphones. Da liegt es nahe, auf das Cloud Computing zu setzen. Schließlich kommen Gründer wohl kaum günstiger an eine so leistungsfähige IT-Infrastruktur. Tatsächlich holen laut Cloud-Monitor 2016 kleine und mittlere Unternehmen, zu denen gerade auch Start-ups gehören, besonders stark bei der Nutzung von Cloud-Diensten auf.
Für die DSGVO ist es aber unerheblich, auf welcher Plattform Daten gespeichert werden, da nur die Datensicherheit gewährleistet sein muss. Und tatsächlich ist es sogar so, dass die meisten Cloud-Anbieter von sich aus bereits Verschlüsselungstechniken nutzen. Es gibt hier nur einen Knackpunkt: Laut Verordnung kann die Verantwortung für den Datenschutz nicht an einen externen Dienstleister ausgelagert werden – Start-ups bleiben also so oder so in der Verantwortung. Und dieser können sie nur nachkommen, wenn sie selbst eine Verschlüsselungslösung nutzen, und so die Kontrolle bei ihnen bleibt.
Vertrauen ist gut, Kontrolle ist besser
Die Besonderheit am Cloud Computing ist, dass die Daten in Rechenzentren rund um den Globus liegen können. Sobald es sich jedoch um personenbezogene Daten eines EU-Bürgers handelt, gilt ausnahmslos der Datenschutz der EU-DSGVO. Und der Urheber der Daten – etwa ein Start-up, das Kundendaten speichert – muss zwingend die Kontrolle darüber ausüben. Das gelingt aber nur mit einer eigenen Verschlüsselungslösung. Denn so kann niemand sonst die Daten lesen – nicht einmal der Cloud-Anbieter. So können auch kleine Start-ups mit wenig Aufwand die alleinige Gewalt über ihre Daten garantieren. Doch laut EU-Verordnung gehört noch mehr zur Kontrolle von Daten.
Denn gemäß der DSGVO muss ein Unternehmen wissen, wo genau die Daten gespeichert sind. Und tatsächlich bieten einige Verschlüsselungslösungen die Möglichkeit, den Speicherort der Daten zurückverfolgen zu können. Die Lösung von WinMagic gibt Unternehmen beispielsweise einen entsprechenden Überblick darüber, wo genau die verschlüsselten Daten liegen. Das ist deshalb wichtig, weil es aus Sicht der DSGVO erlaubte und nichterlaubte Standorte gibt. Nach Auffassung der EU handelt es sich hierbei um Länder mit unzureichender Rechtsstaatlichkeit, ganz besonders im Fall von Menschenrechtsverletzungen, wie sie die Charta der Grundrechte der Europäischen Union definiert. Können Firmen den Standort nachvollziehen, lassen sich Vorgaben gezielter durchsetzen und die Sicherheit wieder gewährleisten. Das gelingt etwa durch eine strikte Trennung von Sicherheitsschlüsseln oder Zugangsdaten vom Arbeitsbereich der Cloud.
Die DSGVO: Ernst nehmen, aber keine Angst haben
Der Schritt zur Gründung des eigenen Unternehmens ist groß genug, und die zu überwindenden Hindernisse zahlreich. Auch die Datenschutz-Grundverordnung ist hier nur eine Hürde unter vielen. Sie kann aber trotz ihres strengen und restriktiven Charakters von Start-ups genauso gut eingehalten werden wie von multinationalen Konzernen. Ein ganz wesentlicher Lösungsansatz hierzu ist die Datenverschlüsselung, die heutzutage weder besonders aufwendig noch teuer ist. Gleichzeitig können Gründer auf leistungsstarke und hochskalierbare Cloud-Services setzen und zur selben Zeit die EU-Verordnung einhalten. Voraussetzung dafür ist lediglich, dass sie ihre Daten selbst verschlüsseln, ausreichend eigene Compliance-Regeln aufstellen und sie allein die Kontrolle über die Sicherheitsschlüssel ausüben. Dann steht auch einer DSGVO-konformen Cloud-Nutzung nichts im Weg.
Zum Autor
James LaPalme ist VP Business Development & Cloud Solutions bei WinMagic.
Kennen Sie schon unseren #StartupTicker? Der #StartupTicker berichtet tagtäglich blitzschnell über die deutsche Start-up-Szene. Schneller geht nicht!