Vom Krimi über Bußgeld bis zur Zukunftsidee

HMDATA Datenschutz-Newsletter 07/2022, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Es gibt für den Juli nicht ein "großes" Datenschutz-Thema, auf das aufmerksam gemacht und das abschließend behandelt werden soll. Viel mehr sind es ein paar aktuelle Begebenheiten, die man in der Sommerpause bei einem kleinen strategischen Zukunftsblick für das eigene Unternehmen als Anregung und Gedankenspiel zum Anlass nehmen sollte.

Ransomware-Attacken und Lösegeldzahlung

Ja, eine erfolgreiche Ransomware-Attacke auf den eigenen Betrieb ist extrem unangenehm. Insbesondere die unweigerlich und korrekterweise aufkommende Frage, warum diese erfolgreich hat sein können und warum die verwendete Backup-Strategie nicht funktioniert hat. Ist das Kind aber schon in den Brunnen gefallen, nutzt es nichts, darüber zu diskutieren, warum dies passiert ist. Das kann man, wenn das Kind gerettet ist. Viel mehr stellt sich die Frage, wie mit der Erpressung umgegangen werden soll. Durchschnittlich ist man mit ca. 45.000 Euro Lösegeld in Deutschland konfrontiert. Das wird man im Zweifelsfall, obwohl die Herausgabe des Schlüssels nicht garantiert ist, in Kauf nehmen. Gesamtvolkswirtschaftlich ist diese Praxis jedoch zweifelshaft: solange Lösegelder bezahlt werden, wird diese Form der Erpressung weiterlaufen und sich weiter verprofessionalisieren, insb. wenn staatlich geduldete Akteure hinter den Angriffen sitzen. Dann ist nicht nur der Schaden an der IT unangenehm, die Zeit zwischen erfolgreicher Attacke und Herausgabe des Schlüssels zur Wiederherstellung sehr nervenaufreibend und letztlich hat man die Erpresser zum Weitermachen angespornt.
Fazit: Deswegen in Angesicht immer weiter zunehmender Kollateralschäden, sowohl in Häufigkeit als auch in Schadenhöhe: bitte überprüfen Sie regelmäßig Ihre IT-Systeme und Notfallpläne auf Resistenz gegenüber Ransomware-Attacken und investieren Sie in Prävention, nicht in Lösegelder!

Bußgeld des Monats: Sicherheitslücke bei Auftragsverarbeitern

Im Zuge von katastrophalen Zuständen bei einem Auftragsverarbeiter für die Verarbeitung von Gesundheitsdaten hat die belgische Datenschutzbehörde einem Dienstleister 1.5 Mio. Euro Bußgeld auferlegt. Nach dem Verlust von einer halbe Millionen Patientendaten hat die Behörde eklatante Sicherheitsmängel in den IT-Systemen und eine umfangreiche missbräuchliche Verwendung der anvertrauten Daten festgestellt. Insb. bei Systemmigrationen wurden Daten weder verschlüsselt, noch pseudonymisiert noch nach Umsetzung wieder gelöscht. Das hat letztlich auch Konsequenzen für den Auftraggeber, da dieser Kontroll- und Sorgfaltspflichten zu erfüllen hat und mit dem Dienstleister einen erheblichen Reputationsschaden erleidet.
Fazit: Bitte prüfen Sie als Konsequenz aus diesem Fall ebenso regelmäßig wie Ihre eigene Datenschutz-Compliance die Vertrauenswürdigkeit Ihrer Auftragsdienstleister. Dies geht ganz einfach mit verständlichen Checklisten. Gerne unterstütze ich hierbei.

Datenstrategie der Zukunft

Die EU versucht aktuell den Weg in die datengestützte Gesellschaft zu ebnen. Branchenübergreifend heißt das, dass Wirtschaft, Staat und Wissenschaft gemeinsam auf gleicher Augenhöhe von den zunehmend mehr erfassten Daten profitieren sollen. Dazu sollen nach dem Data Governance Act Behörden Daten zur Verfügung stellen, nach dem Data Act soll die Wirtschaft gesammelte Daten mit dem Wettbewerb und den KMU teilen und nicht monopolistisch horten. Mit dem Digital Markets Act sollen große Plattformen zum Datenaustausch verpflichtet werden, der Digital Service Act den sorgsamen Umgang bzgl. zweifelhafter Inhalte auf den großen Social-Media-Plattformen regeln. Und, der Einsatz von KI wird ebenfalls per Verordnung geregelt.

Ja, das sind viele Vorschriften, die über den risikobasierten Ansatz der DSGVO ihren Rahmen bekommen werden. Natürlich werde ich zur gegebenen Zeit zusammenfassend und beratend weitere Informationen im Detail zur Verfügung stellen.

Fazit

Es geht aber nicht um die Details der oben aufgeführten Verordnungen. Es geht darum, schon heute eine Datenstrategie für das eigene Unternehmen zu entwickeln, die die Wettbewerbsfähigkeit in Zukunft sichert. Alleine der geregelte Zugriff auf Informationen von Behörden und Plattformen kann eine Goldgrube für kleine Unternehmen für Neuakquise und Cross-Selling sein.