
Mit einem automatisierten Datenmanagement sind Unternehmen auf der sicheren Seite.
Seit dem Austritt Großbritanniens aus der EU wird die Rechtsgrundlage für den gegenseitigen Datenaustausch über den Ärmelkanal neu diskutiert. Derzeit gilt für Firmen im Vereinigten Königreich eine Übergangsfrist, in der sie zusätzlich zu ihren geltenden Datenschutzgesetzen ein Datenschutzniveau nach Artikel 44 der DSGVO (Datenschutzgrundverordnung) bieten müssen. Europäischen Unternehmen, die personenbezogene Informationen an britischen Standorten speichern, drohen hohe Strafzahlungen, wenn diese zusätzlichen Anforderungen nicht erfüllt sind.
Jetzt hat die Europäische Kommission die britischen Datenschutzgesetze nach einer eingehenden Prüfung für „angemessen“ erklärt, zusätzliche Anforderungen sind demnach nicht notwendig. Nach den Worten von EU-Kommissionsvizepräsidentin Věra Jourová bieten die geltenden Regeln einen ausreichenden Schutz persönlicher Daten auf dem Niveau der EU. Allerdings müssen die EU-Mitgliedsstaaten dem Entwurf noch zustimmen. Dafür haben sie bis Juni Zeit, dann endet die Übergangsphase. Erst danach ist der Datenaustausch zwischen der EU und dem Vereinigten Königreich wieder ohne Einschränkungen möglich.
Nicht nur Großkonzerne, auch Mittelständler und Start-ups in Europa tauschen mit Standorten auf der Insel Daten aus. Gerade bei Cloud-Diensten sowie im Wartungs- und Kundenservice setzen viele Unternehmen aus der EU auf britische Dienstleister. Sie alle dürften den „Angemessenheitsbeschluss“ begrüßen, da er für Rechtssicherheit sorgt.
Allerdings sollten sie sich nicht zu früh freuen, was die Sicherheit beim Datenaustausch zwischen der EU und UK angeht, warnt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR bei Veritas: „Unter Umständen bleibt der Beschluss nicht lange wirksam. Wie bei früheren Abkommen zu diesem Thema, zuletzt dem EU-US Privacy Shield und seinem Vorgänger Safe Harbor, besteht auch diesmal die Gefahr, dass NGOs vor den Europäischen Gerichtshof ziehen, um den Beschluss per Klage zu kippen.“ Nach Ansicht von Datenschützern nimmt es Großbritannien mit der Sicherheit von Personendaten nicht sehr genau. Zudem gibt es keine Prüfung, wie gut Daten dort vor dem Zugriff von Geheimdiensten geschützt sind, da das Vereinigte Königreich Mitglied der Five-Eyes-Allianz ist.
Unternehmen, die personenbezogene Informationen mit Standorten im Vereinigten Königreich austauschen, sollten sich daher für mögliche Compliance-Probleme wappnen. Zu den wichtigsten Maßnahmen zählen umfassende Datenschutzkontrollen und die Implementierung eines automatisierten Datenmanagements, mit dessen Hilfe alte und neue Daten automatisch untersucht, kategorisiert und entsprechend ihrem Inhalt behandelt werden. In der Praxis haben sich fünf Best-Practice-Schritte bewährt, um diese Aufgabe zu lösen:
- Lokalisieren: Zunächst braucht es einen Überblick darüber, wo welche Informationen überhaupt gelagert sind – sozusagen eine Datenlandkarte. Das gilt vor allem für Daten, die in der Cloud liegen. Aus Compliance-Gründen sollte das Unternehmen daher prüfen, ob das Rechenzentrum in der EU oder einem geeigneten Drittland beheimatet ist.
- Suchen: Die DSGVO gibt EU-Bürgern das Recht, eine Übersicht über die von ihnen gespeicherten Daten zu verlangen. Firmen müssen diese zeitnah liefern. Eine Software und ein entsprechender Prozess, um Daten schnell zu finden und bei Bedarf zu löschen, sind daher essenziell.
- Minimieren: Durch die DSGVO soll erreicht werden, dass Unternehmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern. Deshalb sollte jede Datei ein Verfallsdatum erhalten und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.
- Schützen: Eigentlich selbstverständlich: Personenbezogene Daten sind besonders schützenswert. Unternehmen müssen Maßnahmen ergreifen, um Angriffe von außen und innen abzuwehren. Passiert doch etwas, muss das Datenleck innerhalb von 72 Stunden gemeldet werden.
- Überwachen: Wer eine Sicherheitslücke melden will, muss zunächst wissen, dass sie existiert. Im zweiten Schritt geht es darum, schnell und eindeutig zu klären, welche Daten verloren gegangen sind. Denn die DSGVO fordert eindeutig, dass die von dem Vorfall Betroffenen sowie die Behörden innerhalb von 72 Stunden über den Vorfall informiert werden. Daher ist eine professionelle Datenmanagement-Lösung empfehlenswert, mit der sich die komplexe Speicherinfrastruktur permanent und automatisch auf Unregelmäßigkeiten überprüfen lässt.
Die für jeden dieser Schritte eingesetzten Datenmanagement-Werkzeuge folgen im Idealfall einer zentralen Policy, aus der sich Maßnahmen ableiten lassen, die dann automatisch umgesetzt werden. Empfehlenswert ist zudem ein Service, der die verschiedenen Tools an die individuelle Umgebung anpasst und ein erstes Assessment zur generellen DSGVO-Reife durchführt. Aus den Ergebnissen lassen sich schnell individuelle Risiken herauslesen und die großen Probleme als erstes angehen.
Fachartikel

Kubernetes und Container im Visier: Die aktuelle Bedrohungslage im Überblick

Forscher entdecken universellen Trick zur Umgehung von Sicherheitsvorgaben bei KI-Chatbots

Phishing-Angriffe über OAuth: Russische Hacker zielen auf Microsoft 365 ab

Ransomware-Banden setzen auf professionelle Geschäftsmodelle

Zehn Dinge, die Sie gestern hätten tun müssen, um die NIS2-Vorschriften einzuhalten
Studien

DefTech-Startups: Deutschland kann sich derzeit kaum verteidigen

Gartner-Umfrage: 85 % der CEOs geben an, dass Cybersicherheit für das Unternehmenswachstum entscheidend ist

Studie: Mehrheit der beliebten Chrome-Erweiterungen mit riskanten Berechtigungen

Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details

Studie zu Cyberangriffen auf Versorgungsunternehmen
Whitepaper

Internet unter Beschuss: Über 1.000 bösartige Domains pro Tag

Google warnt vor zunehmender Raffinesse bei Cyberangriffen: Angreifer nutzen verstärkt Zero-Day-Exploits zur Kompromittierung von Systemen

FBI: USA verlieren 2024 Rekordbetrag von 16,6 Milliarden US-Dollar durch Cyberkriminalität

EMEA-Region im Fokus: Systemangriffe laut Verizon-Report 2025 verdoppelt

IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu
Hamsterrad-Rebell

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Anmeldeinformationen und credential-basierte Angriffe

Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen

Data Security Posture Management – Warum ist DSPM wichtig?
