Bußgeldfalle: Distributor hilft beim EU-Datenschutz Bald wird's teuer: Warum Sie sich um Art. 25 und 32 der EU-DSGVO kümmern müssen

Anbieter zum Thema

MPDV Mikrolab GmbH

StoCretec GmbH

HOPPE Unternehmensberatung

Rutronik Elektronische Bauelemente GmbH

Im Mai 2018 endet die Übergangsfrist zur neuen EU-Datenschutzverordnung. Insbesondere mit dem „Datenschutz durch Technikgestaltung“ und der „Sicherheit der Datenverarbeitung“ müssen sich Elektronikunternehmen jetzt befassen - sonst drohen drastische Strafen.

Am 25.5.2018 endet die Übergangsfrist für die Europäische Datenschutzverordnung (EU-DSGVO). Sie ist dann rechtsverbindlich. Besonders relevant sind für Elektronikentwickler zwei Aspekte: Die Verordnung gibt in Artikel 25 "Datenschutz durch Technikgestaltung" und Artikel 32 "Sicherheit der Datenverarbeitung" strengere Anforderungen vor als das alte Bundesdatenschutzgesetz zum Bau von elektrischen Geräten. Erfüllt eine Firma die Anforderungen dieser beiden Artikel nicht, drohen Strafen von bis zu zehn Mio. Euro oder zwei Prozent des Unternehmensumsatzes.

Und es kann noch teurer werden, etwa bei Verstößen gegen die Bestimmungen zur Übermittlung personenbezogener Daten, die mit bis zu 20 Mio. Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden können.

Um Kunden bei der Umsetzung der neuen Verordnung zu unterstützen, hat der Distributor Rutronik ein Kompetenzteam gegründet. Es besteht aus Experten mehrerer Abteilungen und bietet Beratung zur sicheren Datenübermittlung, -speicherung und -verarbeitung und erstellt komplette DSGVO-konforme Systemkonzepte. Elektronikpraxis sprach mit Bernd Hantsche, Rutronik, über die DSGVO.

Herr Hantsche, warum beschäftigt sich ein Bauteiledistributor wie Rutronik mit dem Thema?

Bernd Hantsche, Bereichsleiter Embedded&Wireless und Initiator der DSGVO-Kampagne bei Rutronik Elektronische Bauelemente: Praktisch alle Kunden von Rutronik sind direkt von der DSGVO betroffen – sogar die meisten im außereuropäischem Ausland. Das heißt: Sie müssen bis 25. Mai 2018 umfangreiche Maßnahmen zum Schutz personenbezogener Daten umgesetzt haben. Rutronik führt zahlreiche Produkte, die zum Schutz dieser Daten beitragen können – seien es Mikrocontroller oder Speicher mit entsprechenden Sicherheitsfunktionen. Aber auch die wohlüberlegte Auswahl und Kombination der „regulären“ Komponenten und Systeme kann für die geforderte Datensicherheit sorgen, zum Beispiel mit dem richtigen Funkprotokoll, Sensoren oder Displays.

Rutronik kann seine Kunden also mit den entsprechenden Produkten unterstützen. Aber: Datensicherheit lässt sich nicht mit einem Bauteil herstellen, hier ist immer das Zusammenspiel mehrerer Komponenten entscheidend. Um die nötige Expertise zu haben, Kunden die passenden Komponenten und Lösungen empfehlen zu können, befasst sich das Rutronik Kompetenzteam gezielt mit der DSGVO. Da liegt es nahe, dieses Know-How auch als Beratungsdienstleistung an unsere Kunden weiter zu geben. Denn nicht alle Formulierungen der DSGVO sind eindeutig, sodass viele Fragen offen bleiben.

Welche Aspekte und Auswirkungen sehen Sie für Ihre Kunden bzw. die Branche?

Das Thema hat sehr viele Aspekte, mit einer technischen Umsetzung ist es nicht getan. Vielmehr gibt es erhebliche Auswirkungen auf viele Unternehmensprozesse, v.a. auf IT, Personal und Qualität. Das bedeutet: Der Aufwand für die Umsetzung der DSGVO ist für viele Unternehmen enorm. Doch wenn sie diesen auf sich nehmen, umgehen sie nicht nur die Strafen der DSGVO von bis zu zwanzig Millionen Euro oder vier Prozent des Unternehmensumsatzes.

Vielmehr sollte jedes Unternehmen selbst das Ziel haben, die Daten seiner Kunden und Partner zu schützen, um ein vertrauenswürdiger Geschäftspartner zu sein. Damit können sie auch das Risiko einer Negativ-Publicity - die oft auch wirtschaftliche Folgen hat – nahezu ausschließen.

Für Rutronik als Distributor gilt das ebenso. Zusätzlich sehen wir uns in der Pflicht, unsere Kunden mit einem entsprechenden Produktportfolio und einer fundierten Beratung zu unterstützen.

Haben Sie zur Verdeutlichung ein konkretes Fallbeispiel?

Ein konkreter Fall sind zum Beispiel IoT-Geräte mit integriertem Lautsprecher, wie etwa ein Versorgungsautomat. Sie sollen die Laune der Käufer unbewusst anheben, könnten aber auch schnell das Gegenteil bewirken. Denn immer mehr Menschen haben ihr Smartphone ständig dabei, und darauf meist zahlreiche Apps. Einigen dieser Apps muss man beim Installieren auch den Zugriff auf das Mikrofon erlauben. Damit kann die App nun genau ermitteln, vor welchem Gerät sich der Smartphonebesitzer gerade aufhält –sogar dann, wenn dieser die Standortlokalisation seines Handys deaktiviert hat! Das verstößt ganz klar gegen die DSGVO!

Möglich wird dies durch Ultrasonic Beaconing: Sendet ein Lautsprecher einen Code im Frequenzbereich zwischen 18 und 20 kHz, ist dieser für Menschen praktisch nicht wahrnehmbar, kann jedoch von Mikrofonen eingefangen werden. Die Technische Universität Braunschweig hat auf dem diesjährigen IEEE European Symposium on Security and Privacy einen Bericht vorgestellt, nach dem 234 Apps eine solche Ultrasonic Tracking Beacon Funktion des Herstellers Silverpush implementiert haben.

Seriöse Hersteller würden solche Mechanismen wohl nicht verwenden, weil das bei Bekanntwerden für schlechte Presse und einen erheblichen Imageschaden sorgen würde. Doch Übernahmen für DDoS (Distributed-Denial-of-Service) Attacken gibt es quasi täglich. Dabei verschaffen sich Dritte Zugang zu Geräten, installieren ihren eigenen Schadcode und missbrauchen die Geräte für ihre Zwecke. Was für eine DDoS-Attacke bereits praktiziert wird, könnte bald auch für Ultrasonic Beaconing genutzt werden.

Deshalb raten wir Unternehmen, die Produkte mit Internet-Verbindung und integriertem Lautsprecher entwickeln oder herstellen, sowohl in ihrem eigenen Interesse als auch im Sinne der EU-DSGVO entsprechende Vorkehrungen zu treffen. Das kann unter anderem den Einsatz eines TPM (Trusted Platform Module) sein, das Schadcode im Bootvorgang entdeckt. Auch eine Kommunikation, die mit gültigen Zertifikaten und asymmetrischem oder hybridem Schlüsselaustausch verschlüsselt ist, bietet Schutz; außerdem gibt es weitere Maßnahmen auf verschiedenen Software- und Kommunikationslayern. Um jedoch wirklich auf der sicheren Seite zu sein gegenüber zukünftigen digitalen Angriffen, hilft nur ein entsprechend hoch eingreifender Tiefpassfilter und ein Lautsprecher, der Frequenzen oberhalb von 18kHz effektiv unterdrückt. Auch hierzu hat Rutronik bereits ein abgestimmtes Setup für Kunden vorbereitet.

(ID:44948937)