InfoGuard Cyber Security & Cyber Defence Blog

2018 – das Jahr der GDPR ist noch nicht vorbei!

Geschrieben von Michelle Gehri | 27. Sep 2018

Die GDPR (oder auch DSGVO) hat im ersten Halbjahr viele Gemüter erhitzt. Nicht wenige Unternehmen haben nicht nur Nerven, sondern auch eine Menge Zeit und Geld in die Umsetzung investiert. Und trotzdem war bis zum Inkrafttreten der GDPR am 25. Mai 2018 noch vieles unklar. Und heute? Sind all die schlimmen Befürchtungen wahr geworden? Wir werfen einen Blick zurück auf die letzten Monate und zeigen auch auf, welche Vorteile die GDPR Ihnen in Zukunft bringt.

Die gute Nachricht vorweg: Die Welt ist am 25. Mai 2018 weder untergegangen noch ist eine flächendeckende Abmahnwelle über die Unternehmen hereingebrochen. Die GDPR (General Data Protection Regulation) war jedoch DAS Thema des Jahres – und ist es heute noch, wenn auch nicht mehr ganz so medienpräsent. Einige Unternehmen haben sich seit Bekanntgabe der definitiven Fassung der Revision im Januar 2016 gründlich darauf vorbereitet. Andere haben einen wahren Schlusssprint hingelegt und in letzter Minute versucht, ihr Unternehmen GDPR-konform zu gestalten – was sich oftmals schwieriger als erwartet herausstellte. Gemäss Richtlinien drohen Unternehmen, die der GDPR unterliegen, bei einem Verstoss saftige Bussen (bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes!).

Dass sich tagtäglich unzählige, oftmals erfolgreiche Cyberattacken ereignen, ist kein Geheimnis. Und dass dabei Datenschutzverletzungen passieren, ist mehr als wahrscheinlich. Welche Folgen hatten Unternehmen seit dem Inkrafttreten aber effektiv zu beklagen? Oder waren der Stress und die Sorgen umsonst? Fakt ist, dass viele Unternehmen heute immer noch nicht genau wissen, was sie gemäss den GDPR-Verordnungen tun müssen und was nicht. Muss ich diesen Vorfall melden? Wie muss ich GDPR-konform dokumentieren? Was muss ich hinsichtlich Marketing-Massnahmen berücksichtigen? Die Theorie in die Praxis umzusetzen, ist nämlich gar nicht so einfach.

GDPR – eine Zwischenbilanz

Da die Schweiz nicht in der EU ist, sind vor allem Erfahrungen aus unseren Nachbarländern vorhanden, insbesondere aus Deutschland. Jedoch sind auch viele Schweizer Unternehmen von der GDPR betroffen, weshalb einiges mit Sicherheit auch bei uns zutrifft. Die Aufsichtsbehörden unseres nördlichen Nachbarn haben jedenfalls alle Hände voll zu tun dank der GDPR. Das aber nicht etwa aufgrund der viele Verstösse, sondern weil Unternehmen mit den Vorgaben überfordert sind und noch immer Rat suchen.

 

Wo bleibt der GDPR-Gau?

Die viel gefürchtete Abmahnwelle blieb glücklicherweise aus. Allerdings ist das auch darauf zurückzuführen, dass die Aufsichtsbehörden selbst noch in der Aufwärmphase sind. Gemäss einer deutschen Studie haben 91 Prozent der befragten Unternehmen bisher keine Abmahnung erhalten. In der Schweiz werden es aufgrund der vorher genannten Gründe noch weniger Unternehmen sein. Allerdings rechnen satte 44 Prozent (!) damit, früher oder später eine Abmahnung zu erhalten. Wenn das kein Grund ist, in die Gänge zu kommen…

Auch (GDPR-)Kleinvieh macht Mist

Klar, gerade am Anfang ist noch vieles unklar. (Mehr oder weniger) kleine Verstösse sind da die Regel. Das sind die häufigsten Verstösse – auch als Learning für Sie:

  • Fehlerhafte oder gar fehlende Datenschutzerklärung: Wichtig hier ist unter anderem, dass bei der Nutzung von Trackingtools (beispielsweise Google Analytics) diese in der Datenschutzerklärung aufgeführt werden, sofern auch das Verhalten von EU-Nutzern aufgezeichnet wird. Sie denken, nicht betroffen zu sein? Fehlanzeige! Denn so gut wie alle Unternehmen, die in irgendeiner Art Trackingtools einsetzen, unterstehen (wenn auch unfreiwillig) der GDPR. Denn welches Unternehmen sperrt schon die Webseite für Nicht-Schweizer-Besucher? Ebenso wichtig in der Datenschutzerklärung ist übrigens der Hinweis auf das Widerspruchsrecht.

  • Fehlende Verschlüsselung von Kontaktformularen (dazu gehören übrigens beispielsweise auch Formulare zur Newsletter-Anmeldung): Die bewährte Lösung hier ist SSL (Secure Sockets Layer) oder TLS (Transport Layer Security). Diese Verschlüsselung wird auch bei HTTPS benutzt.

  • Fehlende Opt-Out-Möglichkeit: Nutzer müssen die Möglichkeit haben, sich jederzeit von Benachrichtigungen austragen zu können, beispielsweise von Newslettern.

  • Fehlende IP-Anonymisierung: Damit die IP-Adresse nicht mehr einem Nutzer zugewiesen werden kann, muss die IP anonymisiert werden, beispielsweise indem die letzten Zahlen der IP-Adresse unkenntlich gemacht werden (Google Code-Erweiterung «anonymizeIP»). Durch die Verfälschung der IP-Adresse wird zwar die Genauigkeit der geografischen Berichterstattung leicht beeinträchtigt. Trotzdem erhält man alle wichtigen Daten, die zur Auswertung nötig sind.

 

GDPR als Wettbewerbsnachteil

Vor allem kleinere Unternehmen haben in Folge der GDPR ihr Digitalangebot reduziert. Wieso? Einerseits aufgrund des erhöhten Aufwands, andererseits den zusätzlichen Kosten. Denn kleine Unternehmen müssen die gleichen Anforderungen erfüllen wie die grossen. Ihnen fehlen jedoch schlicht die Mittel, um sich GDPR-konform zu rüsten. Was das für solche Unternehmen wirtschaftlich bedeuten kann, können Sie sich bestimmt selber vorstellen…

Die goldene Kehrseite der GDPR

Wir halten fest: Die GDPR wird ernst genommen – aber nicht immer verstanden. Daher ist es nicht verwunderlich, dass die Compliance-Vorgaben bei vielen Unternehmen noch nicht vollumfänglich erfüllt sind. Und wenn man Gartner glauben mag, werden auch bis Ende 2018 immer noch über 50 Prozent der Unternehmen nicht GDPR-ready sein. Sorgen Sie also dafür, dass Sie nicht zu diesen 50 Prozent gehören! Behörden hadern jedoch genau wie die Unternehmen noch mit den neuen Regelungen, was auch ein Grund für die bisher seichte Abmahnwelle ist.

Sie gehören zu denjenigen, die ihre Hausaufgaben erfüllt und alle Vorgaben umgesetzt haben? Auch wenn sich die Sanktionen bisher in Grenzen gehalten haben und nur wenige Unternehmen gebüsst wurden: Der Aufwand hat sich allemal gelohnt. Weshalb? Deshalb!

  • Die GDPR ist ein wertvolles Werkzeug bei der Umsetzung Ihrer Digitalisierungs-Strategie. Denn starker Datenschutz ist wichtiger denn je, schafft Transparenz, Vertrauen zum Kunden und sorgt für ein seriöses Auftreten.
  • Dank der GDPR haben viele Unternehmen endlich den längst überfälligen Frühlingsputz gemacht und sich intensiv mit dem Thema Datenschutz beschäftigt. Das kann Ihnen auch bei Ihrer Cyber Security hilfreich sein.
  • Sollten Sie im Rahmen der GDPR Experten hinzugezogen haben, war das zwar kostspielig, aber eine mehr als sinnvolle Investition. Denn dadurch wurden Geschäftsprozesse von einem Security-Experten durchleuchtet und können so optimiert werden.
  • Sofern Sie einen Online Shop haben, müssen laut GDPR neu auch Gastbestellungen möglich sein. Das kann die Conversion erhöhen – ein kleiner Trost für diejenigen, die den verlorenen Kundendaten nachtrauern.
  • Die GDPR hat weltweit ein starkes Zeichen für die Wichtigkeit von Datenschutz gesetzt. Andere Länder ziehen nun nach und befassen sich verstärkt damit, beispielsweise die USA oder Japan. Auch die Schweiz revidiert bis (voraussichtlich) Ende 2019 ihr Datenschutzgesetz.
  • Aufgrund der Globalisierung war eine Vereinheitlichung der Standards in der EU längst hinfällig. So werden nicht nur Transparenz und erhöhter Schutz geschaffen, sondern langfristig auch die Arbeit erleichtert und Standortnachteile sowie Innovationshemmnisse gemindert.
  • Und zum Abschluss ein wirtschaftlich wichtiger Vorteil, von dem alle Unternehmen profitieren, sind verbesserte Unternehmensprozesse. Die GDPR verlangt, dass Daten vorschriftsmässig zusammengestellt, geordnet und verwaltet werden müssen. Das kann die Zusammenarbeit enorm erleichtern, die Prozesse straffen, fehlerhafte Dateneinträge reduzieren und die Produktivität erhöhen. Damit ist lästige Dokumentensuche Schnee von gestern!

Die GDPR als ewiger Begleiter

Auch wenn wir es ungern sagen (denn Cyber Security und Datenschutz sollten NIE vernachlässigt werden): Sie haben noch immer Zeit. Die Uhr tickt inzwischen jedoch um einiges schneller! Denn Cyberattacken können jeden zu jeder Zeit treffen – sei es in 2 Tagen, 2 Monaten oder vielleicht erst in 2 Jahren. Sicher ist, dass jedes Unternehmen Ziel von Cyberkriminellen ist oder wird. Wenn Sie also immer noch nicht GDPR-ready sind, drücken Sie endlich aufs Gaspedal! Und an all diejenigen, die ihren Datenschutz im Griff haben: Ruhen Sie sich nicht aus - bleiben Sie am Ball. Denn das Thema Datenschutz bleibt allgegenwärtig und fordert Sie immer wieder aufs Neue – genau wie Cyber Security.

GDPR Web Audit für doppelte Sicherheit

Datenschutz ist nicht nur ein wichtiges, sondern auch komplexes Thema. Hier ist echtes Know-how gefragt, und zwar von einem Experten! Gerade bei der GDPR lauern nämlich viele Details, die Ihnen zum Verhängnis werden können. InfoGuard bietet Ihnen genau deshalb eine einfache Lösung, um bei Ihrer GDPR-Konformität auf Nummer sicher zu gehen. Mit unserem GDPR Web Audit decken wir noch vorhandene Sicher-heitslücken in datenschutzkritischen Anwendungen und Infrastruk-turen auf. Ausserdem überprüfen wir die Wirksamkeit Ihrer implementierten Sicherheitsmassnahmen. Mehr Details zu unserem GDPR Web Audit finden Sie hier: