Firmen werden Compliance-Nachweise vorlegen müssen


Von Joseph Souren, Wave Systems EMEA: Neue EU-Datenschutzvorschriften werden Unternehmen zwingen, ihre Reporting- und Compliance-Strategien anzupassen
Doch die Vermehrung der Datenschutzvorschriften in Europa und anderswo macht den Schutz von Konsumentendaten auf Endgeräten und Servern schon jetzt zu einer strategischen Priorität

(14.02.12) - Die EU-Justizkommissarin Viviane Reding hat neue Datenschutzregelungen in Aussicht gestellt. Diese werden Auswirkungen auf alle Unternehmen und Organisationen haben, sowohl in der Europäischen Union als auch weltweit. Joseph Souren, General Manager von Wave Systems EMEA, erklärt dazu:

"Wenn diese Vorschriften in Kraft treten, müssen Unternehmen erstmals Compliance-Nachweise vorlegen. Was bedeutet, dass es einen effektiven Berichtsprozess geben muss, der detailliert zeigt, welche Maßnahmen für Netzwerksicherheit und Datenschutz angewandt werden.

Dieser Schritt hin zu einer Berichterstattungspflicht und voller Compliance bringt mit sich, dass Unternehmen bei Datenmissbrauch oder -verlusten mit erheblichen Geldbußen und anderen Sanktionen rechnen müssen und nur 24 Stunden Zeit zum Handeln haben.

Ziel der Neuregelung ist es, die zahlreichen unterschiedlichen Datenschutzbestimmungen in den 27 Ländern der EU zu vereinheitlichen. Der erklärte Fokus liegt dabei auf den Rechten und dem Schutz der Online-Nutzer. Für Unternehmen bedeuten die vorgeschlagenen Änderungen allerdings, dass sie alle Datensicherheitsverletzungen innerhalb von 24 Stunden zwingend melden müssen. Andernfalls drohen ihnen hohe Geldbußen und andere Sanktionen.

Außerdem werden Unternehmen nach einer Datenschutzverletzung Compliance-Nachweise vorlegen müssen. Deshalb ist es für Unternehmen unabdingbar, einen effektiven Berichtsprozess einzuführen, mit dem sie nachweisen können, dass zum Zeitpunkt der Sicherheitsverletzung Maßnahmen für Netzwerksicherheit und Datenschutz angewandt wurden.

Bis zur Verabschiedung der neuen EU-Datenschutzgesetzgebung können bis zu zwei Jahre vergehen, und bis zu ihrem Inkrafttreten noch ein paar weitere. Doch die Vermehrung der Datenschutzvorschriften in Europa und anderswo macht den Schutz von Konsumentendaten auf Endgeräten und Servern schon jetzt zu einer strategischen Priorität.

Das Problem dabei ist, dass die meisten Unternehmen im UK und auf dem Kontinent noch immer Datenschutzrichtlinien und -technologien anwenden, die genauso überholt sind wie die 16 Jahre alten EU-Bestimmungen. Mit der Neuregelung beginnt für Unternehmen offiziell der Countdown, um ihre Sicherheits-, Compliance- und Reporting-Prozesse zu überprüfen und zu aktualisieren. Andernfalls laufen sie Gefahr, sich in dieser neuen, schärferen Gesetzgebung zu verfangen.

Erst vor kurzem musste in Großbritannien ein Hospital Trust des National Health Service erfahren, dass ihm voraussichtlich eine Geldstrafe in Höhe von £ 350.000 (€ 416.500) ins Haus steht, nachdem Festplatten mit Patientendaten gestohlen und bei eBay verkauft worden waren. Die Geldstrafe ist fast dreimal so hoch wie das bisherige Rekord-Bußgeld.

Der interessanteste Punkt bei dieser Geschichte ist, dass der Trust die 232 Festplatten aus PCs entfernt und eigentlich zur Entsorgung gegeben hatte, als sie gestohlen wurden und vier von ihnen schließlich auf der Auktions-Website landeten. Durch Verwendung besonders sicherer Speichermedien, zum Beispiel selbstverschlüsselnder Laufwerke, kann jedes Unternehmen dafür sorgen, dass zu keinem Zeitpunkt auf irgendwelche Daten zugegriffen werden kann. Die Entsorgung ist dann denkbar einfach und günstig.

Unternehmen – und überhaupt alle Organisationen – müssen ihre Sicherheits-, Compliance- und Berichterstattungsprozesse jetzt überprüfen, weil sie sonst riskieren, an den Hürden dieser neuen, schärferen Regelungen zu scheitern.

Um in dieser neuen Bedrohungslandschaft bestehen zu können, tun Unternehmen gut daran, die Implementierung von auf den Standards der Trusted Computing Group basierenden Hardware-Sicherheitsbausteinen – wie das Trusted Platform Modul (TPM) und Self Encrypting Drives (SED) – in Erwägung zu ziehen.

Dieses Framework bietet überlegene Verteidigungsmöglichkeiten und trägt wesentlich dazu bei, dass ein Unternehmen die Compliance-Anforderungen erfüllen, optimale Berichterstattung gewährleisten und sich in dem schärferen regulatorischen Umfeld der kommenden Jahre selbst schützen kann.

Nicht nur in Europa wird das Regulierungsumfeld schärfer. Die US Securities and Exchange Commission (SEC) hat vor kurzem strenge Richtlinien zur Berichterstattung bei Verletzungen der Datensicherheit erlassen, während sie selbst eine Sicherheitslücke in ihrem Netzwerk einräumen musste.

Es ist für alle Unternehmen und Organisationen an der Zeit, ihre Sicherheits- und Reporting-Strategien genau zu überprüfen, um in einem wesentlich anspruchsvolleren regulatorischen Umfeld agieren zu können."
(Wave Systems: ra)

Wave Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Weitere Maßnahmen sollten folgen

    Die Deutsche Kreditwirtschaft (DK) begrüßt die Entscheidung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), den sektoralen Systemrisikopuffer für Wohnimmobilienfinanzierungen von zwei auf ein Prozent zu senken. Damit reagiert die Aufsicht auf die veränderten Marktbedingungen und kommt einer Forderung der Kreditwirtschaft nach. Der Schritt ist ein wichtiges Signal für die differenzierte und verantwortungsvolle Anwendung makroprudenzieller Instrumente.

  • Dringend gesetzliche Klarheit & Bürokratieabbau

    Als am 1. Juli 2024 die Pflegepersonalbemessungsverordnung (PPBV) in Kraft getreten ist, waren sich die meisten Krankenhäuser über die weitreichenden Folgen vermutlich noch gar nicht im Klaren. Denn: Auch wenn der ursprüngliche Gedanke aus dem Gesundheitsministerium durchaus begrüßenswert ist - nämlich Pflege und Versorgung im Gesundheitswesen zu verbessern - ist es wieder einmal das Wie, das eine Besserung der oftmals dramatischen Lage verhindert. In der Praxis erweist sich die Verordnung nämlich nicht als pragmatische Lösung für bessere Arbeitsbedingungen oder einen Abbau von zeitintensiver Bürokratie, sie ist ziemlich genau das Gegenteil: ein bürokratisches Monster, das an inhaltlicher Komplexität seinem eigenen Namen in nichts nachsteht.

  • Stärkung der Demokratie notwendiger denn je

    Transparency Deutschland (TI-D) hat den Koalitionsvertrag der neuen Regierung geprüft - die Bilanz fällt weitgehend ernüchternd aus. Mit Blick auf Lieferkettengesetz, Geldwäschebekämpfung sowie Klima- und Umweltpolitik seien leider erhebliche Rückschritte zu erwarten.

  • Bewertung von PCI DSS 4.0

    Am 31. März 2025 trat die neueste Version des Payment Card Industry Data Security Standard (PCI DSS) in Kraft - Version 4.0*. PCI DSS 4.0 verlangt nicht nur, dass digitale Identitäten eindeutig Personen zugeordnet werden, sondern legt zudem den Fokus auf die Aufrechterhaltung robuster Sicherheitsmaßnahmen angesichts sich ständig weiterentwickelnder Cyberbedrohungen. Organisationen, die mit Zahlungskartendaten arbeiten, müssen verbesserte Sicherheitsanforderungen umsetzen - darunter auch starke Multi-Faktor-Authentifizierung (MFA).

  • EU-Richtlinie gegen Diskriminierung muss kommen

    Auf EU-Ebene fanden weitere Verhandlungen zur "5. Antidiskriminierungsrichtlinie zur Anwendung des Grundsatzes der Gleichbehandlung ungeachtet der Religion oder der Weltanschauung, einer Behinderung, des Alters oder der sexuellen Ausrichtung" statt. Der Sozialverband VdK fordert die Bundesregierung auf, sich endlich dafür einzusetzen, dass diese verabschiedet wird.

Massive Verschlechterung der Zahlungsmoral? Schafft Bundestag Wissen nur für Parlamentarier?

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen