"Datenschutz ist Menschenschutz" und was 2024 noch wichtig wird ...

HMDATA Datenschutz-Newsletter 01/2024, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Typische Reflexe, die hierzulande immer wieder auftreten, wenn das Wort Datenschutz fällt: Bürokratiemonster, Standortnachteil, Kosten, administrativer Aufwand, EU-Wahnsinn, Unverständlichkeit, kein Nutzen, …
Dabei hat der Datenschutz im Zeitalter von Digitalisierung und KI einen erheblichen Nutzen und betriebswirtschaftlichen Vorteil, wenn man sich denn jenseits der Stammtischparolen und der üblichen Narrative mit dem eigentlichen Wesen beschäftigt hat: Risikomanagement, und zwar im Sinne der Verbraucher, also der Dateninhaber.
Es gilt nicht im privaten Bereich, es gibt wesentliche Erleichterungen für KMU, kein Mensch (und keine LDA) erwartet nur Musterschüler und man erstickt auch nicht im bürokratischen Aufwand, wenn man seine Compliance einmalig auf Vordermann gebracht hat.

Vor allem gilt:

"Datenschutz ist Menschenschutz"

Es gibt genügend Beispiele, bei denen auf Grund grober Fahrlässigkeit oder Vorsatz durch Unternehmen Bürgerinnen und Bürger massivste Nachteile erlitten haben, bis hin zu erheblichen finanziellen Verlusten, Kompromittierung intimster Daten und letztlich bis zum Todesfall und Selbstmord. Richtig, das sind (leider nicht allzu seltene) Extremfälle die aber letztlich bei korrekter Implementierung der Compliance und IT-Infrastruktur nicht hätten passieren dürfen.

Also wäre es doch das Mindeste, wenn man schon mit Kundendaten Geld verdient oder diese gesetzlich verarbeiten muss, sich mit aktuellen Methoden der Prävention und Sensibilisierung im Datenschutz und der IT-Sicherheit auseinanderzusetzen. Wir hatten hierzulande bis 2018 über 20 Jahre von der Dividende der Nichtsanktionierung von fahrlässigem Umgang im Datenschutz gelebt, das Murren, es - selbstverständlicherweise - jetzt doch tun zu müssen, gleicht einer naiven Weltsicht – gerade in Zeiten von zunehmenden Cyber-Attacken und Angriffsszenarien. Vor allem, wenn man selbst nicht die Weitsicht besitzt, dass auch kleinste durch fahrlässige Datenpannen exfiltrierte Datenbausteine genau das fehlende Datenpuzzle sein können, die durch Handel im Darknet einen erfolgreichen Angriff starten können.

Und selbst wenn eine Exfiltration per Datenpanne nicht unmittelbar monetäre Auswirkungen auf Grund von Sofort- und Abhilfemaßnahmen, Bußgeldern oder Schadenersatzforderungen hätte: es steht immer das höchste Unternehmensgut auf dem Spiel, das Kundenvertrauen in Form eines Reputationsverlustes.

Was wir 2024 unternehmen können?

Rückblickend hat das Jahr 2023 viele Datenpannen verursacht, hauptsächlich auf Grund E-Mail-Fehlversand. Das mag an der subjektiv zu beobachtenden Überlastung vieler Mitarbeiter liegen, an der zunehmenden digitalen Kommunikation und digitalisierter Prozesse oder schlicht und ergreifend an der Tolerierung von Fahrlässigkeit. Trotzdem gibt es immer wieder äußerst unangenehme Fälle, die – wenn nicht zu einer Anzeige bei der Behörde oder einem Bußgeldverfahren - immer zu einem hohen Aufwand bei der Bearbeitung führen. Dazu ist zwar der Datenschutzbeauftragte da, Investition in Präventivarbeit wäre aber in Summe effektiver und effizienter als das Aufräumen von Scherben. Insofern bleibt also der sorgsame Umgang im E-Mailverkehr weiterhin wichtigste Präventivmaßnahme.

Unternehmen sollten sich auch auf die zunehmende Einführung von KI-Algorithmen einstellen. Das kann man als Projekt bei sich selbst umsetzen, insb. aber sollte man auch auf Einführung der KI-Technologien bei den Drittdienstleistern achten, da dies direkte Implikation auf das eigene Datenschutzkonzept und –Compliance hat. Insofern rentiert sich ein Blick auf die Dienstleister, die bei der Verarbeitung der eigenen personenbezogenen Daten mithelfen.

Und eine weitere Lehre für 2024: wenn hier schon die genutzten Dienstleister einem kritischen Blick ausgesetzt sind, sollten auch die Fragestellungen beantwortet werden, was denn passiert, wenn deren Dienstleistung kurzfristig ausfällt und längerfristig nicht zu Verfügung steht. Im Rahmen eines Risikomanagements rentiert sich in jedem Fall, seine Abhängigkeiten zu analysieren und ggf. Redundanzen zu schaffen. Das Schlimmste bei allen größeren Datenpannen ist nicht die Datenpanne an sich, sondern das Gefühl, selbst nicht mehr handlungsfähig zu sein. Die entsprechenden Gedanken zur Vorsorge und für den Notfallplan nehmen nicht allzu viel Zeit in Anspruch.

Und dann wäre in diesem Zuge noch die Sicherheit der eigenen IT im Vordergrund: alle 3, spätestens alle 6 Monate sollte man seinen aktuellen Stand der IT-Sicherheit hinterfragen. Die Cyber-Welt steht nicht still und dreht sich aktuell immer schneller. Ein veraltetes IT-System bietet keinerlei Schutz vor den aktuellen Bedrohungsszenarien. Es geht hierbei nicht um das ständige Neuinvestieren, meist genügt es, wenn man sein System gut kennt, es professionell betreut ist und regelmäßig sinnvolle Wartungsarbeiten durchgeführt werden. Letztlich verbleiben immer zwei Risiken: Exfiltration und Nichtverfügbarkeit. Das eine bekommt man mit Prävention und Sensibilisierung hin, das andere mit Risikomanagement und Redundanz.