Vorbereitung darauf, wie die DSGVO für Unternehmen gut sein kann

Veröffentlicht: 2018-05-24

Datenschutz und Datenschutz sind nicht nur Schlagworte. Dies sind ernste Verbrauchersorgen, die durch eine zunehmende Zahl von Datenschutzverletzungen und Cybersicherheitsbedrohungen getrieben werden – die dann die persönlichen Daten der Verbraucher gefährden und das Vertrauen der Verbraucher untergraben.

Laut der RSA-Datenschutz- und Sicherheitsumfrage, bei der 7.500 Menschen in fünf Ländern befragt wurden, geben Verbraucher an, dass sie Online-Sicherheitsverletzungen mehr Aufmerksamkeit schenken. Und sie machen Unternehmen zur Rechenschaft gezogen, wenn ihre Informationen gestohlen werden.

Hier sind zwei wichtige Ergebnisse dieser Umfrage:

  • 73 Prozent der Befragten sind sich der Datenschutzverletzungen bewusster als noch vor fünf Jahren.
  • 62 Prozent sagten, sie würden dem Unternehmen, das ihre Daten verloren hat, die Schuld geben, bevor sie den Hackern die Schuld geben.

Auf der ganzen Linie zeigen Verbraucher, dass sie ihre digitale Privatsphäre besser schützen. Denken Sie daran, dass eine Verletzung von Verbraucherdaten keinen vorsätzlichen Diebstahl oder eine massenhafte Verletzung privater Informationen zur Folge haben muss. Wenn ein Dritter die E-Mail-Abonnentenliste eines Unternehmens kauft und dann unerwünschte E-Mails an diese Liste sendet, kann dies ebenfalls eine Datenschutzverletzung darstellen.

Keine dieser Aktivitäten kommt bei den Verbrauchern gut an, und diese Verbraucherstimmung zwingt Unternehmen dazu, ihren Online-Schutz von Verbraucherdaten zu überdenken.

Diese Stimmungen zwingen die Regierungen auch, einen aktiveren Ansatz bei der Regulierung des Schutzes von Verbraucherinformationen zu verfolgen. Einige Regierungen beginnen damit, Gesetze zu erlassen, die Verbrauchern mehr Eigentum an ihren Daten geben, unabhängig davon, wer diese Daten speichert.

Eine dieser Verordnungen ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die am 25. Mai 2018 in Kraft tritt. Dieser Datenschutzstandard, der Verbrauchern die Möglichkeit geben soll, ihre Einwilligung in Bezug auf den Zugriff auf ihre Daten zu erteilen oder zu verweigern, stellt ernsthafte Herausforderungen dar für E-Commerce-Unternehmen.

Aber es ist eine Herausforderung, die Unternehmen als Chance begrüßen sollten, bessere Beziehungen zu den Verbrauchern aufzubauen.

Wenn Verbraucher eher ein Unternehmen für Datenschutzverletzungen verantwortlich machen, loben sie möglicherweise auch eher ein Unternehmen, das mit ihnen zusammenarbeitet, um ihre Daten zu schützen. Daher sollten Unternehmen zeigen, dass sie ihre Verbraucher schützen wollen, indem sie schnell auf die Einhaltung der DSGVO hinarbeiten.

Der Geltungsbereich der DSGVO

Die Datenschutz-Grundverordnung vereinheitlicht die Datenschutzgesetze in allen 28 Mitgliedsstaaten der Europäischen Union. Das Hauptziel der Verordnung besteht darin, einen einheitlicheren Schutz von Verbraucherdaten in allen EU-Ländern zu schaffen.

Die DSGVO ist eine sehr umfassende Verordnung mit mehr als 200 Seiten und mehr als 90 Artikeln. Nate Lord von Digital Guardian weist auf einige der wichtigsten Anforderungen der DSGVO hin, die erhebliche Auswirkungen auf Unternehmen haben werden:

  • Einwilligung zur Datenverarbeitung
  • Anonymisierte und transparente Daten
  • Benachrichtigungen über Datenschutzverletzungen
  • Recht auf Löschung
  • Datenschutzbeauftragte
  • Strafen bei Nichteinhaltung

Wie MarTech Today feststellt, erzwingen die DSGVO-Schutzmaßnahmen im Kern klare und prägnante Prozesse und Kommunikationen, die mit ausdrücklicher und bestätigender Zustimmung der Verbraucher erfolgen. Zu diesem Zweck schützt die DSGVO alle Informationen, die verwendet werden können, um eine Person direkt oder indirekt zu identifizieren. Dazu gehören grundlegende Identifizierungsinformationen, Webdaten, Gesundheitsdaten, ethnische Daten und politische Meinungen.

Um DSGVO-konform zu sein, müssen Unternehmen mit allen personenbezogenen Daten von Verbrauchern sorgfältig umgehen und Verbrauchern verschiedene Möglichkeiten zur Kontrolle, Überwachung und Löschung ihrer Informationen bieten, wenn sie dies wünschen.

Die DSGVO gilt für zwei Hauptgruppen von Unternehmen:

  • Unternehmen mit Sitz in der EU
  • Nicht in der EU ansässige Unternehmen, die kostenlose oder kostenpflichtige Waren oder Dienstleistungen anbieten oder das Verhalten von EU-Bürgern überwachen

Selbst für E-Commerce-Unternehmen mit Sitz in den USA, die hauptsächlich an US-Verbraucher verkaufen, kann eine einfache AdWords-Retargeting-Kampagne als Überwachung des Verhaltens von EU-Bürgern gelten.

Für Nicht-EU-E-Commerce-Unternehmen gibt es dann zwei Möglichkeiten: DSGVO-konform zu werden oder den Zugang zum EU-Verbrauchermarkt vollständig zu verlieren.

Die zweite Option wäre umständlich und kurzsichtig. Denken Sie nur daran, wie viel Arbeit es kosten würde, EU-Bürger vom Schaufensterbummel auf Ihrer Website zu blockieren.

Stattdessen besteht der kluge Schachzug darin, DSGVO-konform zu werden – und folglich den Anforderungen der Verbraucher gerecht zu werden, an die Sie vermarkten und verkaufen.

Warum die DSGVO gut für den E-Commerce ist

Kris Lahiri, Mitbegründer und Chief Security Officer bei Egnyte, sagt, dass die DSGVO Verbrauchern deutlich mehr Kontrolle über die Daten gibt, die sie Unternehmen anvertraut haben.

Der Schlüsselgedanke hier ist „Vertrauen“: Die DSGVO soll neue Grundregeln für die Beziehungen zwischen Unternehmen und Verbrauchern setzen, und in dieser neuen Landschaft hängt der Erfolg des Direktverkaufs an den Verbraucher von der Fähigkeit des Einzelhändlers ab, Vertrauenswürdigkeit zu beweisen. Wie wir gesehen haben, argumentieren fast zwei Drittel der Verbraucher, dass die Verantwortung für den Datenschutz bei dem Unternehmen liegt, das die Daten erhebt. Indem sie diese Verantwortung so ernst nehmen, wie es das Gesetz verlangt, können Online-Händler ihre Vertrauenswürdigkeit gegenüber Verbrauchern beweisen.

Auch hier ist die DSGVO nicht nur eine Maßnahme zur Datensicherheit. Dies ist ein fortschrittliches Gesetz, das Unternehmen dazu zwingt, die Rechte der EU-Verbraucher auf Eigentum an ihren eigenen Daten zu achten. Dieses Gesetz besagt unter anderem, dass ein EU-Bürger das Recht hat, nicht von Werbebotschaften angesprochen zu werden, ohne sich zuvor für diese Konversation entschieden zu haben.

In Branchen wie dem E-Commerce, in denen die Loyalität der Verbraucher im Laufe der Zeit erworben werden muss, ist es nicht nur gut, das Recht der Verbraucher auf Privatsphäre zu wahren.

Es ist ein grundlegendes Element des Vertrauens.

Knirschende Zahlen: Der Business Case für proaktives Handeln in Bezug auf Compliance

Der Arbeitsaufwand für Unternehmen, die Vorschriften einzuhalten, ist potenziell hoch, abhängig von den aktuellen Sicherheitsstrukturen und -prozessen eines Unternehmens und davon, wie stark sie von der DSGVO abweichen. Die Einhaltung der DSGVO kann auch für Unternehmen sehr kostspielig sein. Laut einer Propeller Insights-Umfrage vom März 2018 planen 36 Prozent der Unternehmen, zwischen 50.000 und 100.000 US-Dollar für die Einhaltung der DSGVO auszugeben. Weitere 24 Prozent werden zwischen 100.000 und 1 Million US-Dollar ausgeben.

Aber diese Geldinvestitionen könnten im Vergleich zu Geschäftsverlusten verblassen, wenn Verbraucher ihr Vertrauen in ein Unternehmen verlieren. Der Schutz ihrer Privatsphäre im Internet ist für Verbraucher von größter Bedeutung, und sie haben die Macht, Unternehmen zu schaden, die nicht genug tun, um sie zu schützen.

Durch die Bemühungen um die Einhaltung der DSGVO können Unternehmen Regulierungen in solide Geschäftspraktiken umwandeln, mit denen sie bessere Beziehungen zu Verbrauchern aufbauen können.

Auch aus geschäftlicher Sicht kann die Investition von Zeit und Geld im Voraus für Compliance Unternehmen langfristig Geld sparen, indem kostspielige Verstöße verhindert werden. Laut der 2017 Cost of Data Breach Study des Ponemon Institute betragen die durchschnittlichen Kosten einer Datenschutzverletzung 3,62 Millionen US-Dollar. Das ist ein erheblicher Geldbetrag für einen vermeidbaren Zweck.

Durch die Umsetzung der Sicherheitsanforderungen der DSGVO geben Unternehmen möglicherweise jetzt einen fünfstelligen Betrag aus, um später keinen siebenstelligen Betrag zahlen zu müssen.

So bereiten Sie sich auf die DSGVO-Compliance vor

Die Vorbereitung auf die DSGVO variiert je nach Organisation, aber hier sind ein paar grundlegende Schritte, die E-Commerce-Unternehmen unternehmen können, um in die richtige Richtung zu gehen.

1. Alle Beteiligten einbeziehen

Als erstes müssen Sie eine DSGVO-Taskforce einrichten, die Teammitglieder aus allen Ebenen der Organisation umfasst. Jede Gruppe innerhalb des Unternehmens, die Verbraucherdaten sammelt, analysiert, verarbeitet oder anderweitig mit ihnen interagiert, sollte einbezogen werden. Diese Teammitglieder können problemlos alle Informationen austauschen, die bei der Umsetzung der erforderlichen Änderungen für die Einhaltung der DSGVO hilfreich sein können, sowie die Auswirkungen auf ihre jeweiligen Teams bewältigen.

Um die Task Force zu motivieren, ermutigt Peter Beshar von Marsh & McLennan Unternehmen, auf der Führungsebene ein Bewusstsein und eine Dringlichkeit zu schaffen, die durch die Organisation sickert und die Bedeutung von Compliance fördert.

Personalisieren Sie die Verordnung für mehr Wirkung. Niemand möchte, dass seine privaten Daten kompromittiert werden. Verwenden Sie diesen Winkel, wenn Sie die Bedeutung der Compliance betonen. Indem Sie es persönlich machen, werden Ihre Teammitglieder den Wert der Arbeit, die erforderlich ist, um die Organisation konform zu machen, besser verstehen.

Die DSGVO ist umfangreich. Alle Beteiligten müssen in Bezug auf die DSGVO-Anforderungen geschult werden, was die Entwicklung von Schulungssitzungen, die Bereitstellung von Informationsressourcen und die regelmäßige Beratung mit Mitarbeitern umfasst, erklärt David Lat, Gründungsredakteur von Above the Law. Es ist von entscheidender Bedeutung, dass die Informationen so präsentiert werden, dass jeder die Materialien verstehen und verdauen kann. Daher können Bilder wie Poster und Videos großartige Werkzeuge sein, um die Feinheiten der DSGVO zu erklären.

2. Implementieren Sie ein SIEM-Tool

Die DSGVO verlangt von den Verantwortlichen, alle Verarbeitungsaktivitäten im Rahmen ihrer Verantwortung zu verfolgen und aufzuzeichnen, und die meisten Unternehmen verwenden dazu ein Tool für Security Information and Event Management (SIEM), bemerkt Javvad Malik, Sicherheitsbeauftragter des Informationssicherheitsunternehmens AlienVault.

Ein SIEM-Tool sammelt Daten aus einem Netzwerk von Hardware- und Softwaresystemen und analysiert die Daten in Echtzeit, um Ereignisse zu korrelieren und Anomalien oder Verhaltensmuster zu erkennen, die auf eine Sicherheitsverletzung hinweisen können, erklärt der Technologieautor Paul Rubens in einem Bericht für eSecurity Planet. SIEM-Tools verwalten Sicherheitsprotokolle auf verschiedenen Geräten, erkennen Bedrohungen, verhindern und erkennen Verstöße und liefern forensische Beweise, um festzustellen, wie ein Sicherheitsereignis aufgetreten ist und seine möglichen Auswirkungen, bemerkt Rubens.

Stellen Sie vor der Implementierung eines SIEM-Tools sicher, dass Sie eine Bestandsaufnahme aller kritischen Assets erstellen, die Zugriff auf die persönlichen Daten der Verbraucher haben, empfiehlt Malik. Und vergessen Sie nicht, mobile Geräte in das Inventar aufzunehmen. Eine Umfrage des Mobilsicherheitsunternehmens Lookout, Inc. zeigt, dass 63 Prozent der Unternehmensmitarbeiter von einem mobilen Gerät aus auf Kunden-, Partner- und Mitarbeiterdaten zugreifen.

Die Kenntnis dieser Informationen stellt sicher, dass alle erforderlichen Systeme für die Datenerfassung durch ein SIEM-System enthalten sind.

3. Führen Sie Risikobewertungen durch

Im weitesten Sinne verlangen die DSGVO-Vorschriften von Unternehmen, Sicherheitsmaßnahmen zu ergreifen, die den Risiken ihrer Systeme angemessen sind. Die Vorschriften definieren Risiken absichtlich nicht, sondern überlassen es der Organisation, zu entscheiden, wie sie Risiken am besten angehen und die DSGVO-Konformität erreichen.

Eine gründliche Risikobewertung umfasst sowohl die Identifizierung von Risiken als auch die Erstellung von Risikominderungsplänen zur Bekämpfung dieser identifizierten Risiken. Matt Middleton-Leal, EMEA General Manager beim Cybersicherheits- und Compliance-Unternehmen Netwrix, schlägt Unternehmen einige Schritte bei der Durchführung von Risikobewertungen vor:

  • Sehen Sie sich alternative Compliance-Standards zur Inspiration an (zB PCI, DSS).
  • Klassifizieren Sie Daten, damit jeder alle Datenpunkte und ihre Sensibilität kennt und versteht.
  • Identifizieren Sie spezifische Risiken und wägen Sie diese nach einem Nutzen-Risiko-Verhältnis ab.
  • Bewerten Sie kontinuierlich.

Es ist am besten, sich während des gesamten DSGVO-Compliance-Prozesses mit Ihrer Rechtsabteilung zu beraten, aber gerade in diesem Schritt kann die Rechtsabteilung ein entscheidender Partner sein. Die Rechtsabteilung kann Ihnen dabei helfen, Ihre Risikobewertung zu steuern, bei der laufenden Planung zu helfen und Ihre Compliance kontinuierlich zu überprüfen.

4. Implementieren Sie Threat-Detection-Kontrollen

Die DSGVO verlangt von Unternehmen, Sicherheitsverletzungen innerhalb von 72 Stunden zu melden. Um dieser Nachfrage gerecht zu werden, müssen Unternehmen über die geeigneten Kontrollmechanismen zur Bedrohungserkennung verfügen, um bei einer Sicherheitsverletzung sofortige Warnungen auszulösen. Die Kontrollen müssen ausreichend sein, um eine Reaktion innerhalb dieses kleinen Zeitfensters zu ermöglichen.

Sara Pan vom Datensicherheitsunternehmen Imperva schlägt vor, Fragen zu stellen wie:

  • „Wer greift auf die Daten zu?“
  • „Ist der Zugang für den Benutzer angemessen?“
  • „Wie erreichen wir die schnellste Inzidenzreaktion?“

Die Bedrohungserkennung ist kein Prozess, bei dem es sich um einen Set-It-and-Forget-It-Prozess handelt. Es erfordert eine kontinuierliche Überwachung auf interne und externe Bedrohungen, daher ist es für Unternehmen wichtig, auch Prozesse für kontinuierliche Bewertungen einzurichten und einen detaillierten Vorfallreaktionsplan zu haben. Der Reaktionsplan muss sich auf die Untersuchung des Vorfalls konzentrieren, um die Quelle und das Verfahren zu seiner Eindämmung zu ermitteln.

Durch regelmäßiges Testen dieser Prozesse und Pläne sind Unternehmen besser aufgestellt, um auf Bedrohungen und Angriffe DSGVO-konform zu reagieren.

Dies ist eine Chance, sich für den Verbraucherdatenschutz einzusetzen

Die DSGVO sieht vor, ab dem 25. Mai 2018 Geldstrafen gegen Unternehmen zu verhängen, die die Vorschriften nicht einhalten. Es gibt zwei Stufen von Bußgeldern, die Unternehmen beachten müssen und die auf GDPREU.org näher erläutert werden.

  • Untere Ebene: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
  • Obere Ebene: Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.

Obwohl die Bußgelder hoch sind, muss der Fokus für Unternehmen mehr auf der Implementierung geeigneter Prozesse liegen, um Datenschutz und Privatsphäre zu gewährleisten, und nicht Abkürzungen zu nehmen, nur um Strafen zu vermeiden. Durch den Versuch, Prozesse zu umgehen, nur um Geldstrafen zu vermeiden, riskieren Unternehmen nicht nur den Zorn der Aufsichtsbehörden, sondern auch der Verbraucher, die sie im Geschäft halten. Die DSGVO wurde nicht verabschiedet, um Unternehmen zu bestrafen, sondern um Verbraucher zu schützen.

Mit diesem Ziel vor Augen sollten Unternehmen motiviert werden, den Verbrauchern zu zeigen, dass ihnen der Schutz privater Daten am Herzen liegt und dass sie bereit sind, Sicherheitsmaßnahmen zu ergreifen, die den Interessen der Verbraucher am Herzen liegen. Alle Energie und Ressourcen, die für die Einhaltung von Vorschriften aufgewendet werden, zahlen sich aus, wenn die Verbraucher bereit sind, Geschäfte mit Unternehmen ihres Vertrauens zu tätigen.

Aber es bedarf einer engagierten Anstrengung der Unternehmen. Angesichts der drohenden Frist vom 25. Mai müssen Unternehmen die Einhaltung der DSGVO aktiv verfolgen.

Haftungsausschluss: Diese Veröffentlichung stellt keine Rechtsberatung dar und soll Sie nicht daran hindern, eine eigene Rechtsberatung durch einen qualifizierten Rechtsanwalt einzuholen. Darüber hinaus ist dieser Artikel kein rechtsverbindliches Dokument und nicht zur Ausführung bestimmt. Der in diesem Artikel bereitgestellte Inhalt kann sich ändern und spiegelt nicht vollständig die Anforderungen der geltenden Gesetze wider. Durch die Bereitstellung dieser Veröffentlichung übernimmt Scalefast keine Zusicherung, dass es ein rechtsverbindliches Dokument ausführt und behält sich das Recht vor, jederzeit von Diskussionen zurückzutreten, ohne dass eine Haftung übernommen wird.

Bilder von: Comfreak, rawpixel.com, Free-Photos