Der Telekommunikationsdienstleister 1&1 Telecom GmbH hatte noch einmal Glück. Im Jahre 2018 ereignete sich ein Vorfall, bei dem eine Anruferin die neue Handynummer ihres Ex-Partners von der Hotline in Erfahrung bringen konnte. Alleine die Angabe von Namen und Geburtsdatum reichten aus, um die Sachbearbeiter zur Herausgabe der vertraulichen Informationen zu bewegen.
Die damals gängige Praxis des Unternehmens wurde nun vom Landesgericht Bonn als ein grob fahrlässiger Verstoß gegen Art. 32 der Datenschutzgrundverordnung (DSGVO) gewertet, was die Strafzahlung von den ursprünglich geforderten 9,55 Millionen Euro auf nunmehr 900.000 Euro reduzierte. Für 1&1 ist das sicherlich ein ebenso glückliches wie unerwartetes Urteil. Nichtsdestotrotz sind dies Ausgaben, die mit einer guten Risikoauswertung hätten verhindert werden können.
Bei gutem IT-Risikomanagement geht es darum, die Auswirkungen und die Wahrscheinlichkeit eines Verstoßes gegen Datenschutzverordnungen zu reduzieren. Vor Einführung der DSGVO wurden die Auswirkungen eines Verstoßes fast immer in finanzieller Hinsicht bemessen. Die Kosten eines Verstoßes wurden somit gegen die Kosten der Implementierung präventiver Lösungen abgewogen.
Dies führte dazu, dass viele Organisationen Geldbußen in Kauf nahmen, anstatt mehr in präventive Kontrollen und robuste Lösungen zur Datenklassifizierung zu investieren. Die Auswirkungen einer öffentlichkeitswirksamen DSGVO-Strafzahlung gehen jedoch weit über den reinen Geldwert hinaus. Kunden wie Partner verfolgen einen solchen Prozess sehr genau – es droht der Vertrauensverlust und eine Beschädigung des guten Rufs des betroffenen Unternehmens.
Zunächst müssen gilt es zu bedenken, dass etwa 80 Prozent der DSGVO nicht direkt in den Zuständigkeitsbereich des CISOs fallen. Das gesamte Unternehmen, vor allem der Datenschutzbeauftragte, muss für den Datenschutz verantwortlich sein. Die meisten IT-Sicherheitsstrategien konzentrieren sich vornehmlich auf das "Wie" des Datenschutzes.
Das Hauptaugenmerk liegt oftmals darauf, die Prozesse zur Gewährleistung des Datenschutzes in Gang zu setzen. Viel zu selten wird jedoch das "Warum" der Datenerhebung und -speicherung thematisiert. Für Sicherheitsbeauftragte oder CISOs geht es daher um die Sicherstellung, dass die Datenverarbeitung von den zuständigen Mitarbeitern in ihrem Unternehmen transparent durchgeführt wird.
Es ist wichtig, sicherzustellen, dass Informationen nicht unnötig lange auf Servern gespeichert werden. Deshalb ist die beste Verteidigung ein Modell für Qualifikation und Sicherheit. Das bedeutet, in Echtzeit Einblick in die Daten zu haben, die im Netzwerk gespeichert sind und wo Schwachstellen und damit verbundene Risiken bestehen könnten.
Es bedeutet aber auch, Verantwortung bei der Aufklärung und Sensibilisierung von Vorständen, Führungskräften und Mitarbeitern über ihre Rolle beim Datenschutz zu übernehmen: Systeme und Verfahren einführen, die die DSGVO-Konformität fördern, sowie Prozesse einzuführen und zu pflegen, die Kundendaten langfristig zu schützen.
Auf diese Weise können Organisationen sicherstellen, dass ihnen empfindliche DSGVO-Strafen erspart bleiben.