Gerüstet für die Datenschutz-Grundverordnung der EU – Drei Tipps für eine bessere Compliance-Strategie (Featured Article)


Datenschutz Compliance Veritas

Stichtag 25. Mai 2018. Dann läuft in allen Mitgliedsländern der Europäischen Union die Übergangsfrist für die neue Datenschutz-Grundverordnung DSGVO (oder General Data Protection Regulation / GDPR) ab. Bei Nichtbeachtung drohen empfindliche Strafen. Welche Auswirkungen aber hat die DSGVO für Unternehmen und wie können sie sich optimal darauf vorbereiten? Mike Palmer, Executive Vice President und Chief Product Officer (CPO) bei Veritas, hat in diesem Featured Article drei Tipps für eine bessere Compliance-Strategie.

#StratIT- jetzt anmelden!

Vorweg: Jedes Unternehmen mit Kunden oder Partnern innerhalb der EU ist von der DSGVO betroffen. Personenbezogene Daten dürfen den Europäischen Wirtschaftsraum nur dann verlassen, wenn ein angemessenes Datenschutzniveau gewährleistet ist. Auch jede Organisation mit Sitz außerhalb der EU, die Produkte oder Dienstleistungen innerhalb der EU anbietet, muss sich der Richtlinie unterwerfen. Das gilt unabhängig davon, ob sie der Besitzer der personenbezogenen Daten ist oder nicht. All das zeigt, es besteht Handlungsbedarf: Unternehmen müssen ihre Prozesse zum Umgang mit personenbezogenen Daten eingehend analysieren, um sie rechtzeitig an die Erfordernisse der DSGVO anpassen zu können.

Bei Nichteinhaltung drohen mit Ablauf der Schonfrist empfindliche Geldstrafen. Kleine Verstöße werden mit Strafzahlungen von bis zu zwei Prozent des weltweiten Umsatzes geahndet. Bei schweren Delikten beträgt der Bußgeldrahmen sogar bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes. Die Kosten für Änderungen in der unternehmenseigenen Compliance sind im Vergleich dazu eher gering, weshalb sich jedes Unternehmen die folgenden drei Tipps zu Herzen nehmen sollte.

  1. Verschaffen Sie sich einen Überblick

Um Daten im Sinne der DSGVO zu schützen, muss ein Unternehmen genau wissen, wo diese gespeichert sind. Für die meisten Daten ist das leider nicht der Fall. Laut einer Veritas-Studie handelt es sich bei 52 Prozent aller gespeicherten Daten um sogenannte „Dark Data“. Das heißt, es können keine Aussagen über Inhalt oder Aufbewahrungsort getroffen werden. Hier offenbart sich schnell das Ausmaß mit der DSGVO-Problematik: Eine Richtlinie für Daten, von deren Existenz man nichts weiß, kann nicht greifen.

Compliance-Verantwortliche müssen aber nachvollziehen können, welche personenbezogenen Daten wie verarbeitet werden. Sie müssen wissen, ob die Daten die Europäische Union verlassen und bei Bedarf entsprechende Abkommen schließen. Und sie müssen entscheiden, ob die Daten noch benötigt oder gelöscht werden können. All diese Informationen lassen sich beispielsweise so zusammentragen:

  • Prozess- und Systemanalysen durch Gespräche mit Mitarbeitern
  • Software, die speziell darauf ausgerichtet ist, Dark Data sichtbar zu machen
  1. Etablieren Sie interne Abläufe, um Daten schnell zu finden

Jeder EU-Bürger wird in der Datenschutz-Grundverordnung gleichbehandelt und erhält beispielsweise das Recht, alle Informationen einzusehen, die ein Unternehmen über ihn speichert sowie die Befugnis, diese löschen zu lassen. Im Normalfall haben Unternehmen einen Monat Zeit, diese Daten herauszugeben oder zu löschen, das Maximum liegt bei zwei Monaten. Doch nur selten sind sie wirklich in der Lage, derlei Anfragen fristgemäß umzusetzen.

Um schnell antworten zu können, müsste ein Überblick über die vorhandenen Daten gegeben sein. Der unter Punkt 1 beschriebene Prozess sollte deshalb regelmäßig durchgeführt werden. Folgende Abläufe können außerdem dabei helfen, personenbezogene Daten schnell zu lokalisieren:

  • Finden Sie einen einfachen Weg, dem Compliance-Team personenbezogene Daten zur Verfügung zu stellen
  • Etablieren Sie die nötigen Prozesse, um sicherzustellen, dass die korrekten Daten offengelegt, gelöscht, berichtigt oder transferiert werden können
  • Schaffen Sie eine nachvollziehbare Dokumentation, die festhält, dass alle notwendigen Schritte unternommen wurden
  1. Vergessen Sie die Grundlagen nicht und überprüfen Sie die Sicherheit Ihrer Daten

Eine Grundvoraussetzung von Datenschutz ist Datensicherheit. Personenbezogene Daten müssen vor Verlust, Schaden und Zerstörung geschützt werden. Deswegen ist es unbedingt notwendig, regelmäßige Backups durchzuführen, um die Daten im Notfall wiederherstellen zu können. Das hört sich nach einer vergleichsweise einfachen Aufgabe an, sollte aber nicht unterschätzt werden. Bei der Analyse werden die meisten Unternehmen herausfinden, dass personenbezogene Daten fragmentiert, also über verschiedene Speicher verteilt, abliegen. Dazu gehören virtuelle Systeme, die Cloud oder auch mobile Geräte. Folgend einige Ansätze für die Entwicklung einer Backup-Strategie, die diese fragmentierte Infrastruktur berücksichtigt:

  • Etablieren Sie eine möglichst leicht zu verwaltende Backup- und Wiederherstellungsstrategie, die sowohl physische, virtuelle als auch hybride Cloud-Strukturen umfasst.
  • Sammeln Sie Informationen über alle existierenden Cloud-Speicher und die Daten, die dort abgelegt sind. Informieren Sie Ihre Mitarbeiter über die korrekte Nutzung von Cloud-Diensten
  • Definieren Sie ein Failover-Konzept, das nicht nur den Zugang zu den Cloud-Diensten garantiert, sondern auch die Ausfallsicherheit dieser Dienste.

Für alle Unternehmen, die sich bislang noch nicht mit den bevorstehenden Änderungen befasst haben, besteht Handlungsbedarf. Die Zeit läuft und die Chance für einen Aufschub wird im Mai 2018 nicht mehr gegeben sein.

Über den Autor

Mike Palmer DatenschutzMike Palmer, Executive Vice President und Chief Product Officer (CPO) bei Veritas, ist Sprecher bei der Handelsblatt Jahrestagung Strategisches IT-Management 2017. Diskutieren Sie mit ihm und weiteren Experten über Compliance-Strategien im Rahmen der EU-Datenschutz-Grundverordnung.

#StratIT- jetzt anmelden!