DSGVO-Countdown: Verschlüsselung erleichtert Umstellung in Unternehmen
Unternehmen haben nur noch ein Jahr Zeit, bis der neue EU-Datenschutz namens DSGVO in Kraft tritt. Um zu erfahren, was von der anstehenden Regelung zu erwarten ist, haben wir mit Sicherheitsexperten anderer verschlüsselter Dienste gesprochen, darunter CryptTalk, Lavabit, ProtonMail, Tutanota, Threema und Wire. Wir alle glauben, dass die DSGVO eine echte Chance für Unternehmen ist, Mitarbeiter- und Kundendaten besser zu schützen. Ende-zu-Ende-Verschlüsselung wird dabei eine entscheidende Rolle spielen.
In nur einem Jahr müssen Unternehmen fit für den neuen EU-Datenschutz sein, denn die neue DSGVO tritt bereits am 25. Mai 2018 in Kraft. Mit dem Ziel, EU-weit die Datenschutzstandards für personenbezogene Daten zu vereinheitlichen, legt die neue Regelung strenge Anforderungen für alle Unternehmen und Organisationen fest, die personenbezogene Daten von Kunden oder Mitarbeitern in EU-Mitgliedsstaaten verwalten. Unter die Regelung fallen damit nicht nur ansässige Unternehmen, sondern auch Firmen aus Ländern wie der Schweiz oder den USA, die innerhalb der EU tätig sind.
Chance für Unternehmen, Daten besser zu schützen
„Die DSGVO ist der erste wichtige Schritt zu einer Privatsphäreregelung mit Breitenwirkung und Ende-zu-Ende-Verschlüsselung wird dabei eine zentrale Rolle spielen. Wir sind stolz darauf, mit anderen verschlüsselten Anbietern zusammenzuarbeiten, die wie wir ein Höchstmaß an Sicherheit und Privatsphäre zum Ziel haben. Indem wir nutzerfreundliche Tools anbieten, die sich leicht in gewohnte Abläufe integrieren lassen, können wir Gesetzgebern und Unternehmen helfen, die Vorteile von Ende-zu-Ende-Verschlüsselung beim Schutz von Konsumenten- und Unternehmensdaten zu verstehen“, sagt Alan Duric, CEO und Mitgründer Wire, dem verschlüsselten Schweizer Kurznachrichtendiensts für Teams.
„Die Umstellung auf die neuen Anforderungen ist nicht nur eine Frage der Compliance, sondern eine echte Chance für Unternehmen, das Vertrauen von Konsumenten in ihre digitalen Angebote zu verbessern und kann zur Initialzündung für mehr Schutz für persönliche Daten und das Recht auf Privatsphäre verstanden werden“, sagt Tresorit-Mitgründer und unser CEO Istvan Lam. „Verschlüsselung ist ein unverzichtbares Werkzeug zum Schutz sensibler Daten, aber wird allein nicht ausreichen, alle Punkte der DSGVO zu erfüllen. Es gibt weitere Herausforderungen, denen sich Unternehmen stellen müssen. Verschlüsselung erlaubt es ihnen allerdings, sich weniger um das Datenmanagement in der Cloud zu sorgen und auf diese anderen Punkte zu konzentrieren.”
„Wir sehen die EU-Verordnung als Möglichkeit für Unternehmen, sich der Bewegung für mehr Privatsphäre in der Cloud anzuschließen“, sagt Matthias Pfau, Mitgründer des deutschen Dienstes Tutanota. „Sowohl wir als auch andere auf Privatsphäre ausgerichtete Dienste sehen anhand des großen Zulaufs an neuen Nutzern, wie rasant diese Bewegung wächst. Immer mehr Nutzer wollen ihre Daten sicher verwaltet und gespeichert wissen. Das ist angesichts der ständig steigenden Zahl und Tragweite von Datendiebstählen keine Überraschung. Bald sind alle Unternehmen, die in Europa tätig sind, zum verantwortungsbewussten Umgang mit Kunden- und Mitarbeiterdaten verpflichtet. Auf den ersten Blick sieht das für die meisten Unternehmen nach sehr viel Aufwand aus, aber tatsächlich ist es auch eine großartige Gelegenheit: Indem sie die Daten von Konsumenten schützen, verschaffen sich Unternehmen einen Wettbewerbsvorteil. Schließlich erkennen immer mehr Menschen, wie wertvoll und schutzbedürftig ihre Daten sind.“
EU-weiter Fortschritt könnte bis in die USA nachhallen
„Organisationen müssen sich darum kümmern, dass ihre Kommunikationswege sowohl sicher als auch datenschutztauglich sind. Dass die EU den Schutz von Nutzerdaten nun in die Hand nimmt, weist definitiv in die richtige Richtung“, sagt Roman Flepp, Sprecher des Schweizer Ende-zu-Ende-verschlüsselten Dienstes Threema.
„Das vergangene Jahrzehnt hat die Art und Weise, wie Unternehmen mit sensiblen Daten umgehen, komplett revolutioniert und die EU-Verordnung liefert eine längst überfällige Aktualisierung der rechtlichen Rahmenbedingungen rund um den Datenschutz“, sagt Dr. Andy Yen, Gründer und CEO des verschlüsselten Schweizer E-Mail-Anbieters ProtonMail.
„Die DSGVO bedeutet wichtigen Fortschritt für den Schutz von Privatsphäre und letzten Endes der digitalen Freiheit. Die Nutzung von Ende-zu-Ende-Verschlüsselung ist auf dem Weg zum Mainstream. Als Messlatte dient inzwischen nicht mehr nur die Zahl der geretteten Leben, sondern auch die gesparten Kosten für Unternehmen, die das wichtigste Gut ihrer Kunden – persönliche Daten – schützen wollen. Wir erwarten, dass die vereinheitlichte Regelung in der EU weltweit nachhallen wird und hoffentlich in naher Zukunft auch in den USA Maßnahmen zu neuen Verschlüsselungsbestimmungen vorantreiben wird“, erklärt Ladar Levison, Gründer des amerikanischen Diensts Lavabit.
„Um den neuen EU-Richtlinien zu genügen, müssen Organisationen alle Kommunikationskanäle mit Kunden absichern. Sowohl E-Mail, Filesharing, Kurznachrichten als auch Anrufe sollten nach denselben hohen Standards geschützt werden. Die DSGVO fordert Organisationen Datensicherheit an allen Fronten ab“, sagt Szabolcs Kun, Mitgründer und CEO von CryptTalk, einem Service für sichere Anrufe von Mobilgeräten. Die App wurde von Arenim Technologies AB entwickelt, um das Abfangen und Abhören von Gesprächen zu verhindern.
DSGVO macht Verschlüsselung zur Standardtechnologie für Datenschutz
Die EU-Verordnung hebt Verschlüsselung als „geeignete Garantie“ für den Schutz der verarbeiteten Daten hervor und macht sie damit im wahrsten Sinne des Wortes zu einer Schlüsseltechnologie für den Nachweis der Einhaltung der Anforderungen. Die neue Regelung führt aus, dass personenbezogene Daten dank Verschlüsselung bei Hacks oder Datenpannen für Unbefugte unzugänglich werden. Unternehmen, die Verschlüsselung nutzen, bleiben damit Kosten und Aufwand der Meldepflicht erspart, da personenbezogene Daten nicht gefährdet wurden.
Aber Verschlüsselung ist nicht gleich Verschlüsselung: Kodierschlüssel sollten von den Daten getrennt gespeichert werden und Dateien clientseitig auf den Nutzergeräten verschlüsselt werden, bevor sie in die Cloud gesendet werden. Nur mit solider Ende-zu-Ende-Verschlüsselung sind personenbezogene Daten im Falle eines Angriffs auf den Cloudanbieter, über den Daten verarbeitet, geteilt oder gespeichert werden, nicht lesbar.