typomaniac - Fotolia
Daten-Manager müssen sich auf EU-DSGVO/GDPR vorbereiten
Datenschutzexperte und SAP-Berater Stephen Lofthouse skizziert einen sechsstufigen Prozess, den Daten-Manager zur EU-DSGVO durchlaufen sollten.
Die Frist für die Einhaltung der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO/GDPR) rückt näher. Unternehmen sollten also besser darauf vorbereitet sein.
Ab 25. Mai müssen alle Organisationen, die mit personenbezogenen Daten von EU-Bürgern arbeiten, die EU-DSGVO einhalten oder mit erheblichen Geldbußen rechnen, unabhängig davon, wo ein Unternehmen seinen Sitz hat.
„Die Vorbereitung auf die DSGVO-Vorschriften sollte Daten-Managern keinen Anlass zur Sorge geben, aber sie müssen angegangen werden“, sagt Datenschutzexperte Stephen Lofthouse, Gründer von SJL Consulting. Lofthouse verfügt über umfangreiche Erfahrung als SAP-Mentor und berät SAP-Organisationen bei der Umsetzung der EU-DSGVO.
Datenschutz wird verschärft
„Die EU-DSGVO nimmt den Begriff des Datenschutzes und dreht ihn auf den Kopf. Sie gibt die Kontrolle über die Daten an die Menschen und nicht an die Organisationen, die sie kompilieren und nutzen“, sagt Lofthouse. „Viele sagen, dass Daten das neue Öl sind, und GDPR ist so etwas wie das neue [Gas]. Man muss es verfeinern, um es zu nutzen, und wenn man es nicht richtig handhabt, explodiert es. Die DSGVO ist dabei die Gesetzgebung, sie lenkt das Gleichgewicht um. Früher, als Sie Ihre Daten an ein Unternehmen weitergegeben haben, waren das deren Daten, wenn sie das Unternehmen betrafen. Sie haben es benutzt, weil es ihnen gehört.“
Wenn die DSGVO-Vorschriften in Kraft treten, trifft das nicht mehr zu. „GDPR ändert alles um 180 Grad. Es sind meine Daten, und ich gebe Ihnen eine Lizenz zur Nutzung“, erläutert Lofthouse. „Wenn Sie es als Nutzungslizenz betrachten, haben Sie das Recht zu fragen, welche Art von Daten Sie haben, wie Sie sie verwenden, wem Sie sie sonst noch geben, wie Sie sie schützen.“
Obwohl die EU-DSGVO nur für EU-Bürger gilt, unterliegt jedes Unternehmen, das Daten über diese Bürger besitzt, der Verordnung.
„Sie können ein amerikanisches Unternehmen sein, das in die EU verkauft, oder Sie können ein Unternehmen in Indien sein, das Daten im Auftrag eines Unternehmens der Europäischen Kommission verarbeitet“, sagt Lofthouse. „Wenn Sie Daten über einen europäischen Bürger haben, unterliegen Sie der EU-DSGVO. Sie wirkt sich also massiv auf US-Unternehmen aus, die in Europa tätig sind. Wenn Sie eine amerikanische Firma sind, die nur etwas an amerikanische Staatsbürger verkauft, ist das in Ordnung. Es betrifft sie nicht. Aber wenn Sie ein amerikanisches Unternehmen sind, das etwas an europäische Bürger verkauft, dann betrifft es Sie.“
Sechs Schritte zur GDPR-Konformität
Für Unternehmen, die Daten über EU-Bürger verwalten, bietet Lofthouse einen Sechs-Stufen-Plan an, um Daten-Manager bei der Vorbereitung auf die EU-DSGVO zu unterstützen:
Finden Sie einen Leiter: Organisationen müssen eine Person ernennen, die das Compliance-Team bei der Vorbereitung auf die DSGVO-Vorschriften leitet. Typischerweise ist das ein leitender Datenschutzbeauftragter oder Chief Information Security Officer (CISO).
Überprüfen Sie strukturierte und unstrukturierte Daten mit einem Information Steward: Diese Regel gilt für Unternehmen, die genau wissen müssen, welche Daten sie aufbewahren, wo sie sind, warum sie sie haben, warum sie sie verwenden und wie lange sie sie aufbewahren müssen. „Es gibt aber noch Schritt 2B“, fügt Lofthouse hinzu. „Während Sie Daten auditieren, können Sie auch ein Audit der Benutzerzugriffskontrolle ausführen. Finden Sie heraus, wer Zugriff auf welche Daten hat, denn das ist Ihre Grundlage für die Compliance.“
Machen Sie eine Lückenanalyse: Nach einem Datenaudit, das im Wesentlichen anzeigt, wo Sie sich befinden, ermittelt eine Lückenanalyse (Gap Analysis), was Sie machen müssen, um sich auf die DSGVO-Vorschriften vorzubereiten. „Es ist nicht so, dass man ein großes Netz auswerfen muss, um zu sagen, wo man ist und wohin man sich bewegen muss; man kann sogar etwas tiefer gehen“, erklärt Lofthouse. „Sie müssen Ihre Lückenanalyse auf eine ziemlich detaillierte Ebene bringen. Sie können die nächsten Schritte basierend auf der Lückenanalyse priorisieren, und wenn Sie in den Prozessen eine große Lücke finden, können Sie das priorisieren.“
Managen Sie das Risiko: Mit einem Data-Lifecycle-Management-System, zum Beispiel SAP Information Lifecycle Management, können Sie alle Daten, die Sie in den drei vorangegangenen Schritten identifiziert haben, archivieren. „Sie können dann damit beginnen, die risikoreichen Prozesse aus der Lückenanalyse zu identifizieren und herausfinden, welcher Prozess ein hohes Risiko für den Einzelnen darstellt und welche Faktoren dieses Risiko senken“, sagt Lofthouse.
Organisieren Sie sich intern: Sobald die Daten archiviert sind, sollten Sie Aufbewahrungsrichtlinien mit einem Information-Lifecycle-Management-System implementieren. Das erlaubt Ihnen, einige differenzierte Aufbewahrungsrichtlinien zu entwickeln, die auf der Art der Daten basieren. Zum Beispiel müssen Sie einige Daten nur drei Jahre aufbewahren, andere müssen Sie für 75 Jahre aufbewahren. „Sie müssen Ihre Zugriffskontrolle und Zugriffsrichtlinien anpassen, um sicherzustellen, dass nur die richtigen Personen Zugriff auf die Daten haben“, sagt Lofthouse.
Aufbau eines Datenschutzportals: Ein wichtiger Teil der Vorbereitung auf die EU-DSGVO ist der Aufbau eines Datenschutzportals. „Sie verbinden dieses mit Ihrem System“, erklärt Lofthouse. „So hat der Datenschutzbeauftragte eine Desktop-Ansicht auf Dinge wie die Anzahl der Zugriffsanfragen, wie schnell diese bearbeitet werden, wie viele Folgeabschätzungen gemacht wurden, wie viele noch zu machen sind. Sie müssen verschiedene Kontrollen für die Prozesskontrolle einbauen, damit Sie die verschiedenen Prozesse überwachen und die Einhaltung nachweisen können.“
Folgen Sie SearchEnterpriseSoftware.de auch auf Twitter, Google+, Xing und Facebook!