Es hat sich viel verändert seit 1995, als das letzte Mal eine wichtige europäische Rechtsvorschrift zum Datenschutz verabschiedet wurde (die Datenschutzrichtlinie 95/46/EG). Mobile Geräte zum Beispiel sind aus unserem Alltag mittlerweile nicht mehr wegzudenken und manch einer trägt sogar zwei oder drei mit sich herum. Gleichzeitig verlassen sensible Geschäftsdaten die traditionell sicheren vier Wände des Unternehmens. Mitarbeiter schicken Dokumente per E-Mail an sich selbst, greifen mit privaten Smartphones und Tablets auf Daten zu und speichern Daten in der Cloud. Datenmissbrauch ist heute keine Seltenheit mehr, so dass Kunden jederzeit mit Identitätsdiebstahl und finanziellem Verlust rechnen müssen und Unternehmen Gefahr laufen, Kunden und Investoren zu verlieren.
In den letzten zwei Jahren hat die EU Vorschläge zur EU-Datenschutzreform erarbeitet, mit der anstelle des bisherigen Flickenteppichs aus nationalen Gesetzen ein EU-weiter Rahmen geschaffen werden soll. Mit der neuen EU-Datenschutzverordnung sollen die Datenschutzrechte von EU-Bürgern gestärkt, das Vertrauen in Online-Aktivitäten wiederhergestellt und Kundendaten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser geschützt werden.
Wer ist von der Reform betroffen?
Der Reformvorschlag für das EU-Datenschutzrecht ist weltweit von Interesse, da jedes Unternehmen, das Geschäftsbeziehungen zu europäischen Bürgern unterhält, davon betroffen ist – unabhängig von seinem Standort. Ein Unternehmen, das beispielsweise im US-Bundesstaat Kalifornien niedergelassen ist und Kunden in Deutschland hat, muss sich in Zukunft an die neue Datenschutzverordnung der EU halten. Die EU-Datenschutzreform bringt unter anderem folgende Vorteile mit sich:
• Ein Kontinent, ein Datenschutzrecht – europäische und nicht-europäische Unternehmen brauchen sich nicht mehr über 28 verschiedene nationale Gesetze und Regelungen Gedanken zu machen.
• Einheitliches Verfahren – das Verfahren bei Verstößen und/oder Zuwiderhandlungen ist überall gleich.
• Gleiche Regelungen für alle Unternehmen – unabhängig vom Standort der Unternehmen gelten für geschäftliche Aktivitäten innerhalb der EU immer dieselben Regelungen.
Einhaltung der neuen Rechtsvorschriften
Die vielen Unternehmen, für die die geplante EU-Datenschutzreform relevant ist, bereiten sich am besten darauf vor, indem sie solide Datenschutzstrategien und -prozesse einführen. Um die Wirksamkeit zu erhöhen, sollte auch eine Verschlüsselung einbezogen werden. Wie bereits erwähnt, sieht der Vorschlag keine speziellen technischen Kontrollmechanismen vor. Diese müssen lediglich dem aktuellen Stand der Technik entsprechen und Kundendaten so schützen, dass sie für unbefugte Personen unbrauchbar sind. Am besten schaut man sich an, wie Unternehmen bei ähnlichen Gesetzen zum Schutz sensibler Daten vorgehen, um die Vorschriften zu erfüllen. Der Payment Card Industry Data Security Standard (PCI DSS) und das US-Bundesgesetz Health Insurance Portability and Accountability Act (HIPAA) für das Gesundheitswesen in den USA sind nur zwei Beispiele für Vorschriften, die Datenschutzkontrollen ähnlich wie diejenigen im Vorschlag zur Reform
des EU-Datenschutzrechts vorsehen. Da Daten mit einer Verschlüsselung für unbefugte Personen unbrauchbar gemacht werden, gilt diese Methode allgemein als geeignet, um die Anforderungen zu erfüllen. Bei einem Verlust oder Diebstahl sind Daten, die im Vorfeld verschlüsselt wurden, für Unbefugte wertlos. Niemand kann auf die eigentlichen Daten zugreifen. Genau hier setzen die Datenschutzgesetze und -verordnungen an.
Fazit: Wenn Sie Ihr Unternehmen für das neue EU-Datenschutzrecht fit machen möchten, sollten Sie bei Verschlüsselungstechnologien anfangen. Sophos SafeGuard Encryption stellt sicher, dass
Unternehmen den benötigten Schutz erhalten, ohne dass die Workflows der Benutzer beeinträchtigt oder IT-Ressourcen überlastet werden.