Die 10 wichtigsten DS-GVO Fehlkonzeptionen – So hat Datenschutz keine Chance

Die DS-GVO hat bis Ende Mai 2018 enorm viel Aufwand generiert. Sie hat dazu geführt, dass Heerscharen mehr oder weniger seriöser Anwälte und Berater haufenweise Verträge, Richtlinien und Vereinbarungen geschrieben haben. Wieso sollte uns das interessieren? Ich behaupte, dass sowohl Softwareanbieter wie auch Dienstleister, welche Personendaten verarbeiten, ihre Produkte in diesem Jahr damit um geschätzte 25% verteuert haben. Spätestens nächstes Jahr werden wir als Kunden diese Rechnung präsentiert bekommen – die Produktpreise werden steigen. Da fragt sich doch der Anwender (oder die „Betroffene Person“ im Jargon der DS-GVO): Was bekomme ich wirklich dafür?

Selbst der Widerhall in der Presse war einmalig. Selten hat ein Gesetz so hohe Wellen geworfen. Die DS-GVO ist ein inhaltliches Monster und wer behauptet, er hätte alles davon verstanden, der hat entweder eine sehr hohe Fehlertoleranz oder gibt sich mit dem Verstehen der wichtigsten Grundprinzipien zufrieden (Zitat aus der Internet Community: „Chuck Norris hat die DS-GVO schon zweimal umgesetzt – vollständig!“). Statt sich mit den Inhalten auseinander zu setzen und sich um reale Risiken zu kümmern, wurden isolierte Aktionen losgetreten. Ein gutes Beispiel dafür ist die Aufforderung zum Erneuern der Newsletter-Anmeldung, welche in 90% aller Fälle überflüssig ist. Solche, meist aus dem Nichts auftauchende Aktionen haben teilweise sinnlose und überflüssige Eigendynamiken entwickelt.

Schaut man etwas über den Tellerrand hinaus, dann muss man sich auf jeden Fall die Frage stellen, ob das heutige Datenschutzkonzept, so wie es durch die Europäische Union vorgelebt werden will, wirklich zukunftsgerecht ist. Ich meine: Nein. Um dies zu begründen, habe ich die wichtigsten Fehlkonzepte der DS-GVO hier aufgelistet:

Fehlkonzeption 1: Datenschutz ist global

Fehlkonzeption 2: Das Recht auf Informationelle Selbstbestimmung ist (k)ein Grundbedürfnis

Fehlkonzeption 3: Einwilligung ist möglich

Fehlkonzeption 4: Datentransparenz ist machbar

Fehlkonzeption 5: Die DS-GVO bestraft den Mittelstand

Fehlkonzeption 6: Informationssicherheit ist unwichtig

Fehlkonzeption 7: Meldepflicht von Datenschutz-Verletzungen

Fehlkonzeption 8: Bussen werden es richten

Fehlkonzeption 9: Alles ist Verarbeitung

Fehlkonzeption 10: Datenschutz hat Einfluss auf die Technologiegestaltung

Im Laufe dieses Jahres werde ich regelmässig auf die einzelnen Fehlkonzeptionen eingehen und sie ausführlich kommentieren.

DSGVO/GDPR Penetration Testing

Neu: Datenschutz Pentesting und Social Engineering!

Ab September 2017 können Sie bei uns Ihre DSGVO/GDPR Bereitschaft testen lassen! Analog von Ethical Hackern testen wir Ihre Reaktionsmuster, Organisation und Infrastruktur auf ihre Konformität mit den ab Mai 2018 geltenden DSGVO/GDPR Regeln.

Haben Sie sich schon einmal gefragt, ob ihre Organisation wirklich in der Lage wäre, die Anforderungen der neuen Datenschutz Grundverordnungen (DSGVO) zu bewältigen?
Derzeit wird viel Energie in die Prävention und vor allem  in die vertragliche Absicherung gesteckt. Alle diese Massnahmen sind notwendig, doch schiessen sie oftmals auch über das Ziel hinaus oder sind ineffizient – vor allem: Niemand weiss, wie gut die Datenschutz-Massnahmen wirklich sind! Insbesondere wird vergessen, dass das Kontrollsystem ein Ganzes bildet, welches in seiner Konzeption von Prävention, Überwachung und Wiederherstellung in sich geschlossen und integer sein muss.
Seit vielen Jahren liefert das Ethik Hacking, d.h. das Hacken im Auftrag durch Sicherheitsspezialisten, wichtige Rückschlüsse für die Aufdeckung von Sicherheitslücken. Solche Angriffe im Auftrag des Betroffenen erlauben wesentliche Aufschlüsse darüber, ob er seine Vorbereitungsarbeiten richtig ausgeführt hat. Gleichzeitig wird auch die Reaktion überprüft und die Ergebnisse zeigen schonungslos auf,  wo die Organisation wirklich steht.
Genau dasselbe unternehmen wir, wenn wir Ihre Organisation auf ihre DSGVO-Reife überprüfen. Wir simulieren dabei verschiedene Angriffsmustern, die wir entweder mit Ihnen absprechen, oder diese autonom ausführen. Der Umfang dieser Aktivitäten wird mit Ihnen im Vorfeld abgesprochen und es werden Zeit, Dauer und Intensität der Überprüfung vereinbart. Ebenso werden die Rahmenbedingungen geregelt: Soll auf die rein administrativen und organisatorischen Abläufe geprüft werden? Sollen auch technische Systeme oder der Abruf von Daten geprüft werden? Tritt man als möglicher Vertragspartner auf und lässt sich den Verkauf von Personendaten anbieten? Wie geht die Organisation mit Auftragsdatenverarbeitung um? Findet die Organisation die verlangten Personendaten innerhalb der geforderten Frist? Wie gut ist Ihre Information Governance?
Wir entwickeln vor dem Einsatz verschiedene Szenarien und spielen diese dann mit Ihnen durch.
Sind Sie interessiert? Dann verlangen Sie einen unverbindlichen Informationstermin.