Seit der vollständigen Anwendung der DSGVO, der europäischen Gesetzgebung zum Schutz personenbezogener Daten, sind sechs Monate vergangen.
Die Auswirkungen, die die Verordnung (die öffentliche und private Einrichtungen seit ihrem Inkrafttreten 2016 einhalten mussten) mit sich bringt, sind mittlerweile bekannt, insbesondere auf der Ebene des Sicherheitsmanagements: dem präskriptiven Ansatz der letzten Gesetzgebung (Kontroll-Liste der einzuhaltenden Mindestmaßnahmen, geeignete Maßnahmen und Similia) weicht einer Annäherung risikobasiert, wonach der Datenverantwortliche und der Datenverarbeiter „unter Berücksichtigung des Stands der Technik und der Implementierungskosten sowie der Art, des Gegenstands, des Kontexts und des Zwecks der Verarbeitung sowie des Risikos angemessene technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten unterschiedliche Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen".
Nach dieser ersten Anwendungsphase ist es jedoch angebracht, sich zu fragen, was sich wirklich geändert hat und wie die „Temperatur“ in Europa und – allgemeiner im Rest der Welt – in Bezug auf das Thema des Schutzes personenbezogener Daten wahrgenommen wird.
Gerade in Bezug auf das letztgenannte Profil muss gesagt werden, dass die DSGVO tatsächlich indirekt eine der Erwartungen verwirklicht, für die sie geboren wurde, nämlich die, ein weltweit gemeinsamer Standard zu werden. Im Vergleich zu denen der Union haben zahlreiche Drittländer, auch in dem Versuch, das Niveau ihrer Regulierungspolitik gegenüber der Supermacht USA und China im Hinblick auf die mit der Welt der Technologien und des Internets verbundenen Märkte zu erhöhen, Regulierungsmaßnahmen ergriffen Pfade, die von der DSGVO inspiriert oder in einigen Fällen vollständig darauf parametrisiert sind.
Sogar unter den OTTs ist das „übertrieben„Es gibt diejenigen, die sich – wahrscheinlich auch aus geschäftsstrategischen Gründen – dafür entschieden haben, sich öffentlich auf eine „bundesstaatliche“ DSGVO für die USA zu berufen und dabei die Privatsphäre als grundlegendes Menschenrecht zu bekräftigen (ein Faktor, den wir allzu oft vergessen) und nicht als ein weiteres Element der Person, das es zu monetarisieren gilt.
Es gibt noch weitere Aspekte, die aus technischen und standortbezogenen Gründen in dieser kleinen Reflexion weder angesprochen werden können noch sinnvoll sind: Sensibilisierung, Dialog zum Thema Informationssicherheit, Schulung und Neuorganisation von Geschäftsprozessen sind nur einige der Aspekte, die dazu beitragen Die DSGVO hat auf nationaler und europäischer Ebene Impulse gegeben. Im Vergleich zu den letzten zwanzig Jahren – teilweiser oder in einigen Fällen völliger Immobilität – ändert sich die Situation tatsächlich.
Allerdings lohnt es sich jetzt, ein paar Worte unter das zweite Profil zu stecken, oder anders gesagt: Was fehlt?
Die schlechte Nachricht ist, dass das, was wir gerade gesehen haben, bei weitem nicht ausreicht. Es fehlt etwas, und zwar – insbesondere in Italien – viel mehr als nur etwas.
Ohne das Problem allzu sehr zu umgehen und die mit anderen Branchenexperten geteilten Ideen aufzugreifen, bleibt eine ganz bestimmte Situation seit sechs Monaten unverändert: das völlige Fehlen einer ernsthaften Sicherheitskultur sowohl auf politischer als auch auf Führungsebene.
Der letzte symbolische Fall dieser Abwesenheit – in gewisser Weise entmutigend und beunruhigend zugleich – ereignete sich vor ein paar Tagen (Artikel lesen), als der Verstoß gegen 500 zertifizierte E-Mail-Konten aufgedeckt wurde, von denen einige (ca. 9) Richtern gehörten und viele andere (ca. 98) stattdessen mit dem Interministeriellen Ausschuss für die Sicherheit der Republik verbunden waren. Auf die Nachricht folgten ein kurzer Aufschrei, einige Handlungen, die ich als prähistorisch und üblich bezeichnen würde („Passwort ändern“), und einige Antworten (einige entschieden unangebracht, lediglich ironisch), um dann allmählich in die Vergessenheit zu geraten, in die die Nachricht geriet und Fakten – auch schwerwiegende – zu Fragen der Vertraulichkeit von Informationen und ihrer Sicherheit.
Ohne auf die Sachlage einzugehen und die wichtigen Untersuchungen, die sich hoffentlich aus dieser Tatsache ergeben, offensichtlich den Verantwortlichen zu überlassen, bedarf es nicht vieler anderer Worte, um den Zustand großer Unsicherheit zu beschreiben, in dem sich Italien befindet: diejenigen, die sich oft mit dem Thema Sicherheit beschäftigen sind durch jahrelange Unterlassungen und Versäumnisse „die Hände gebunden“, und dies ist sicherlich nicht die Zeit für Vorwürfe, vorausgesetzt, dass sie als legitim bezeichnet werden können.
Hier fehlt jedoch (trotz eines aus hierarchisch-regulatorischer Sicht starken Instruments wie der DSGVO), was wir in diesen sechs Monaten nicht gesehen haben und von dem wir weiterhin hoffen, dass es zum Wohle der Menschen geschieht Das gesamte Land und sein soziales, öffentliches und unternehmerisches Gefüge besteht darin, dass die zuständigen Behörden die Akteure des Sektors unterstützen und angemessen schulen und sicherstellen, dass die Standards (wirklich minimal, angesichts der kritischen Situation, in der wir uns befinden) eingehalten werden Die gesetzlich festgelegte Rechenschaftspflicht und der Umgang mit den Risiken werden in vollem Umfang respektiert, sie interagieren und verhängen gegebenenfalls die Sanktionen und entschiedenen Reaktionen, die in der Verordnung selbst anerkannt sind.
In diesem Land steht eine groß angelegte Operation im Bereich der Sicherheitsschulung und -kultur an, und eine weitere Verschiebung ihres Starts aufgrund mangelnden Verständnisses des Themas wird zu einer immer größeren Kluft zwischen Realität und Wahrnehmung führen des Themas in Italien, bis diese Distanz – gegen unseren Willen – so groß wird, dass sie zur Regel wird, auch und vor allem im Hinblick auf das übrige Europa. Abschließend sei daran erinnert, dass das Gesamtbild auch und vor allem durch das völlige Fehlen konkreter und gezielter Investitionen im Bereich der Sicherheit in einem Industriegefüge verschlimmert wird, das größtenteils – ohne ausreichende Mittel – mit Informationen hoher Qualität umgehen muss Wert und starke Verletzlichkeit auf völlig willkürliche und improvisierte Weise.
Kurz gesagt: Wir müssen anfangen, uns zu verändern, und zwar dringend.
(Foto: Web / US Air Force)
