Sie sind hier:

EU-Datenschutz-Grundverordnung - Der Datenklau bei Uber ist ein Weckruf

Datum:

Ab Mai 2018 wird Datendiebstahl wie im Fall Uber richtig teuer für die beklauten Unternehmen - dann drohen in der EU drastische Strafen. Doch die Firmen sind nicht gut vorbereitet.

Smartphone mit der Uber-App (Archivbild)
Smartphone mit der Uber-App (Archivbild) Quelle: dpa

Der Schaden ist gigantisch: Datendiebe haben aus der Cloud des Taxidienstes Uber 57 Millionen Datensätze von Kunden gestohlen. Und die 600.000 erbeuteten Führerscheindaten der Uber-Fahrer lassen sich mit hohen Gewinnen verkaufen. Der Image-Schaden und der Vertrauensverlust für Uber sind immens.

Uber wird es schwer haben in Europa

In einigen Ländern muss Uber zudem mit dem Entzug für den Taxi-Service rechnen. Dennoch hätte es noch schlimmer für Uber-Chef Dara Khosrowshahi kommen können. Wäre der Datenklau nämlich nach dem 25. Mai 2018 aufgedeckt worden, hätte Uber in Europa millionenschwere Strafzahlungen leisten müssen.

Ab 25. Mai 2018 gilt nämlich in den EU-Mitgliedsländern eine Datenschutz-Grundverordnung. "Die bedeutet einen massiven Paradigmenwechsel in Sachen IT-Sicherheit", sagt Thomas Hemker vom IT-Sicherheitsunternehmen Symantec.

Geschäftsführer haften bei Datenklau

Denn dann haften die Geschäftsführer und Vorstände bei IT-Sicherheitsvorfällen - zum Teil auch persönlich. "Da wird ein Leidensdruck aufgebaut, durch den die Unternehmen gezwungen werden, die Daten ihrer Kunden besser abzusichern", urteilt Sicherheitsexperte Christian Nern von IBM. Bisher müssen in Deutschland die Betreiber sogenannter kritischer Infrastrukturen Cyberangriffe den Behörden melden. Das betrifft die Stromversorger, Verkehrsunternehmen, Wasserwerke und Banken.

Schon bei der Flugsicherung wurde darüber gestritten, ob es sich hier überhaupt um eine kritische Infrastruktur handelt. Solche Fragen haben die EU-Behörden jetzt geklärt. "Die Anzeigepflicht gilt für jedes Unternehmen", erklärt IBM-Experte Christian Nern.

Außerdem sehen die Bestimmungen der EU-Datenschutz-Grundverordnung vor, dass die Unternehmen genau Notfallpläne für den Fall eines Datendiebstahls vorlegen müssen. "In denen muss ganz klar geregelt sein, wie die Kunden und andere Betroffene informiert werden und wie der Datendiebstahl aufgeklärt wird", erläutert Christian Nern.

Notfallpläne gehören zum Standard

Außerdem muss das Unternehmen die eigenen Sicherheitsvorkehrungen genau darlegen. "Stellt sich dann nach einem Datendiebstahl heraus, dass die Absicherung nicht dem Stand der Technik entsprochen hat oder organisatorisch unzureichend war, werden hohe Strafzahlungen fällig", berichtet Thomas Hemker von Symantec.

Viele Unternehmen wissen noch gar nicht, was da auf sie zukommt. Und dabei handelt es sich nicht nur um Firmen in der Europäischen Union. Denn die Verordnung gilt auch für Firmen, die in die EU verkaufen und zum Beispiel ihren Sitz in den USA haben.

Unternehmen sind unzureichend vorbereitet

"Da wird sich so mancher Firmenchef ab Mai 2018 die Augen reiben", meint Thomas Hemker. Denn viel zu viele Unternehmen haben sich nur unzureichend oder noch gar nicht mit der EU-Datenschutz-Grundverordnung beschäftigt. Weder reicht die Absicherung der Unternehmensdaten aus, noch gibt es Notfallpläne für einen möglichen Cyberangriff.

"In den meisten Unternehmen fehlt noch die zentrale Stelle des Datenverantwortlichen, der den Überblick über Sicherheitsaspekte, Datenschutzaspekte und die Datenströme in der Firma hat", weiß Thomas Hemker aus Erfahrung. Da kommt noch jede Menge Arbeit auf die Unternehmen zu.

Die EU-Datenschutz-Grundverordnung

Um unser Web-Angebot optimal zu präsentieren und zu verbessern, verwendet das ZDF Cookies. Durch die weitere Nutzung des Web-Angebots stimmen Sie der Verwendung von Cookies zu. Näheres dazu erfahren Sie in unserer Datenschutzerklärung.

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Abonniert auf Mein ZDF! Abo beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert

Sie wechseln in den Kinderbereich und bewegen sich mit Ihrem Kinderprofil weiter.