bluedesign - Fotolia
Das ändert sich durch die DSGVO für Unternehmen
Die Datenschutz-Grundverordnung tritt am 25.Mai 2018 in Kraft. Die Auswirkung der neuen Verordnung wird erheblich sein, vor allem im Hinblick auf unstrukturierte Daten.
Für EU-Bürger war es bislang schwierig bis nahezu unmöglich, die Löschung ihrer persönlichen digitalen Daten einzufordern.
Um diesen Missstand ultimativ zu beseitigen, hat die Europäische Union mit der Allgemeinen Europäischen Datenschutz-Grundverordnung (EU-DSGVO) einen Rechtekatalog gesetzlich verankert und somit das Datenschutzgesetz in die Big-Data-Ära gebracht.
Leider wissen die meisten Unternehmen jedoch bei einer Vielzahl ihrer Daten nicht, wo und welche Informationen überhaupt in ihren Systemen lagern. Damit ist auch die Identifizierung relevanter Daten extrem schwierig. Es ist daher an der Zeit, den Umgang von Unternehmen mit Daten grundsätzlich zu überdenken.
Denn Tag für Tag werden große Mengen von Daten generiert und gespeichert – und zwar On-Premises auf Servern oder NAS-Systemen sowie in der Cloud. Die digitale Revolution durchdringt jeden Aspekt des Lebens und jede digitale Bewegung hinterlässt Spuren im Cyberspace.
Die Schöpfer der EU-DSVGO haben sich zum Ziel gesetzt, den Datenschutz für die Ära von Big Data und Cloud Computing zu rüsten. Dabei soll sichergestellt werden, dass Datenschutz ein Grundrecht bleibt und innerhalb der Europäischen Union einheitlich geregelt ist.
Alle Firmen, die europäische Kunden betreuen und deren Daten verwalten, werden sich an die neuen Gesetze halten müssen – auch Unternehmen, die Daten außerhalb der EU speichern und bearbeiten.
Klare Richtlinien für Geldstrafen bei Verstößen
Die Sicherheit persönlicher Informationen muss für europäische Bürger nach dem Prinzip des „eingebauten Datenschutzes“ funktionieren. Das bedeutet, schon für die Verarbeitung der Daten ist eine Zustimmung notwendig. Außerdem darf die Sammlung und Speicherung persönlicher Daten nur zweckgebunden erfolgen.
Die Regulierungen betreffen alle, die für Daten verantwortlich oder in deren Verwaltung involviert sind. Organisationen werden ihren unbändigen Hunger nach immer mehr Daten kontrollieren müssen und dürfen fortan nur noch solche speichern, die sie tatsächlich zu einem bestimmten Zweck benötigen.
Diese Prinzipien führen zu einer Reihe von Verpflichtungen für jede Firma, die für persönliche Daten von EU-Bürgern verantwortlich ist:
Eingebauter Datenschutz muss durchgesetzt und in die Sammlungs- und Verwaltungsprozesse von Daten integriert werden.
Über angemessene technische und organisatorische Maßnahmen muss sichergestellt sein, dass die Datenverarbeitung mit den neuen Richtlinien konform geht und die Rechte der entsprechenden Personen gewahrt sind.
Das Recht auf Vergessenwerden soll Bürgern helfen, ihre Datenschutzrisiken online besser zu kontrollieren. Beispielsweise können Nutzer die Löschung ihres Facebook-Kontos fordern.
Die Verwalter der Daten sind dann dafür verantwortlich, alle notwendigen Schritte einzuleiten, um Dritte darüber zu informieren, dass die betreffende Person die Löschung jeglicher Verbindungen zu oder Kopien von diesen Daten fordert.
Mit der Datenübertragbarkeit ermöglicht die EU-DSGVO es Nutzern, einfacher auf ihre eigenen Daten zuzugreifen und sie problemlos von einem Serviceanbieter auf einen anderen zu transferieren.
Laut der EU-DSGVO obliegt die Rechenschaftspflicht den Datenverwaltern. Sie müssen beweisen, dass den Regulierungen nachgekommen wird. Dies erfordert die Einhaltung bestimmter Richtlinien hinsichtlich der Dokumentation sowie eine Einschätzung über die Auswirkung riskanterer Verarbeitungsweisen auf die Wahrung der Datensicherheit und die Umsetzung des geforderten eingebauten Datenschutzes.
Falls nötig, kann sich die verantwortliche Behörde mit weiteren Datenschutzbehörden aus den betreffenden Ländern abstimmen. Verstöße gegen die neue Verordnung können zu empfindlichen Geldbußen führen. Für mittelständische Unternehmen kann so eine Strafe signifikante Folgen haben und im schlimmsten Fall zur Geschäftsaufgabe führen. Die Entscheidung, das Thema einfach auszusitzen, kann Unternehmen also teuer zu stehen kommen.
Unstrukturierte Daten sind eine Herausforderung für Unternehmen
IT-Abteilungen kommen nicht umhin, existierende Datenschutzprozesse und -richtlinien an die neue Gesetzgebung anzupassen. Letztlich ist es an ihnen, jene Regelungen und Verfahren praktisch umzusetzen.
So müssen sie nicht nur die Einhaltung der EU-DSGVO sicherstellen, sondern auch auf Anfrage betreffender Personen hin persönliche Daten wiederherzustellen. Für eine stimmige Compliance-Strategie ist es daher enorm wichtig, dass IT- und Compliance-Abteilungen eng zusammenarbeiten.
Eine klare Linie hinsichtlich strukturierter Daten einzuschlagen und zu befolgen, wird verhältnismäßig einfach realisierbar sein. Die Vorgehensweise bei der Handhabung unstrukturierter Daten gestaltet sich schon deutlich schwieriger. IT-Abteilungen müssen das Problem vermutlich selbst in die Hand nehmen.
Compliance-Kontrollen können die Risiken durch unstrukturierte Daten nicht umfassend einschätzen, da die entsprechende Abteilung nicht darüber Bescheid wissen kann, welche dunklen Daten sich konkret angesammelt haben.
Es ist wahrscheinlich, dass das Problem noch größer wird, bis IT-Abteilungen es schaffen, Licht ins Dunkel der Daten zu bringen. Unternehmen leiden unter der Blindheit, die mit der fehlenden Erfassung des Inhalts der Hälfte ihrer Daten einhergeht. Es ist unmöglich, das Compliance-Risiko hinsichtlich dieser Daten realistisch einzuschätzen.
Also müssen die Informationen zunächst identifiziert und beurteilt werden, ohne dass es zu Beeinträchtigungen der Infrastruktur oder der Prozesse in der Unternehmens-IT kommt. Die Metadaten werden IT-Abteilungen dabei unterstützen, folgende Schlüsselfragen zu beantworten:
- Welche Arten persönlicher Daten bewahrt das Unternehmen auf?
- Wo sind diese Daten gespeichert und wie lange schon?
- Wer hat Zugriff auf die Daten?
- Welche Sicherheitsmaßnahmen bestehen, um Datenmissbrauch vorzubeugen?
- Nutzt das Unternehmen die Daten gemäß ihrer Zweckbestimmung?
- Werden persönliche Daten zu festgelegten Deadlines gelöscht?
Über die Daten Bescheid wissen
Das Wissen wird Firmen nicht nur helfen, die neuen EU-Richtlinien zu erfüllen und gleichzeitig ihre Risikokontrolle über Reputation und Umsatz zu verbessern, sondern ihnen auch einen viel leichteren Zugriff darauf verschaffen.
„Compliance-Kontrollen können die Risiken durch unstrukturierte Daten nicht umfassend einschätzen.“
Hiroshi Nagao, Buffalo
Die Analysten des Marktforschungsinstitutes IDC haben fünf Kriterien definiert, damit Daten als zielgerichtet klassifiziert werden: einmal müssen die Daten bequem in Echtzeit zugänglich sein.
Den größten Einfluss auf die Kunden, aber auch auf die Organisation selbst, wird die Auswertung der Daten haben. Die intelligente Analyse dieser Daten und die daraus gewonnenen Erkenntnisse liefern dem Unternehmen oder der Organisation schließlich das Potential, wesentliche Verbesserungen umzusetzen.
IDC definiert das fünfte und letzte Kriterium als Synergieeffekt aus den vorausgehenden Kriterien. Informations-Management und eine intelligente Speicherung, die bereits nach diesen Kriterien funktioniert, wappnet eine Firma nicht nur für die bald in Kraft tretenden Regulierungen. Sondern sie wird Unternehmen auch dabei helfen, Daten zeitnah aufzufinden und sich so einen Wettbewerbsvorteil zu sichern.
Über den Autor:
Hiroshi Nagao ist Managing Director Buffalo EU B.V.
Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!