Fünf Kernschritte zur DSGVO-Compliance
Stefan Henke, Regional Vice President, Central Europe bei Veritas erläutert im Gespräch mit der TREND-REPORT-Redaktion fünf Kernschritte zur DSGVO-Compliance.
Herr Henke, wie steht es um die technischen, infrastrukturellen Voraussetzungen in Unternehmen?
Die meisten Unternehmen in Deutschland sammeln Daten, ohne sie inhaltlich zu kategorisieren. Sie haben weder die technischen Werkzeuge, noch die nötigen Prozesse um diese wichtige Aufgabe abzudecken. Inzwischen wissen sie bei nahezu der Hälfte aller ihrer Daten nicht, welche Inhalte dort abgelegt sind. Man spricht von so genannter Dark Data.
Zudem wächst die Menge aller Daten, die Firmen speichern, im Schnitt um 49 % pro Jahr, wie unsere eigenen Untersuchungen zeigen. Diese Daten werden auf immer mehr Orte verteilt, weil günstige Speicher in der Cloud es Anwendern sehr leicht machen, Dokumente dorthin auszulagern.
Die meisten Firmen verzichten darauf, diesen Wildwuchs zu kontrollieren und die Inhalte zu untersuchen, da Speicherplatz günstig und das Horten der Daten problemlos war. Die Verordnung verändert die Rahmenbedingungen nun grundlegend.
Denn es ist ohne die richtige Technik, eingeübte Arbeitsabläufe und Prozesse schwierig, personenbezogene Daten in diesen unstrukturierten Dark Data aufzuspüren und sie entsprechend richtlinienkonform zu behandeln.
Wo sehen Sie in diesem Kontext aktuell den größten Handlungsbedarf und welche Fragen sollten sich Unternehmen hier jetzt stellen?
Die brennende Frage ist: wo im Unternehmen liegen personenbezogene Daten? Wo werden sie erfasst, wo abgelegt, wo weiterverarbeitet?
Der wichtigste erste Schritt sollte also sein, den Datenbestand zu inventarisieren und diese Daten aufzuspüren.
Im zweiten, genauso wichtigen Schritt, sollten die Firmen eine durchdachte Datenmanagement-Strategie aufstellen. Darauf basierend setzt die IT dann geeignete Prozesse auf und holt sich die nötigen Tools. Daten werden jeden Tag kreiert und erfasst, eine einmalige Inventur würde in kürzester Zeit ihre Aussagekraft verlieren.
Fünf Kernfunktionen sollten bei der Datenmanagement-Strategie auf jeden Fall abgedeckt sein:
1. Lokalisieren: Zunächst muss die Firma einen Überblick darüber gewinnen, wo personenbezogene Daten überhaupt gelagert werden – sie brauchen sozusagen eine Datenlandkarte. Das gilt gerade auch für all jene Daten, die in der Cloud lagern.
2. Suchen: EU-Bürger können Einblicke in die über sie gespeicherten Daten verlangen und müssen diese zeitnah erhalten. Ein Prozess nebst Software, die gemeinsam Daten schnell auffinden und bei Bedarf löschen, sind deshalb wichtig.
3. Minimieren: Eines der Ziele der DSGVO ist es zu regeln, dass Firmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern. Deshalb sollte jede Datei ein Verfallsdatum erhalten und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.
4. Schützen: Eigentlich selbstverständlich, aber wichtig – personenbezogene Daten sind besonders schützenswert. Unternehmen müssen Maßnahmen ergreifen, um Angreifer von außen und innen abzuwehren. Passiert doch etwas, muss das Datenleck innerhalb von 72 Stunden gemeldet werden. Womit wir beim letzten Punkt wären.
5. Überwachen: Um ein Datenleck zu melden, muss man zuerst wissen, dass es existiert. Im zweiten Schritt ist es wichtig, schnell und eindeutig zu klären, welche Daten verloren gingen. Die DSGVO fordert eindeutig, dass Betroffene und die Behörden innerhalb von 72 Stunden über den Vorfall informiert werden müssen. Eine Software für ein umfassendes Datenmanagement, welches die komplexe Speicherinfrastruktur ständig auf Unregelmäßigkeiten überprüft, ist an dieser Stelle Gold wert.
Welche Prozesse müssen im Unternehmen in Gang gesetzt werden um DSGVO-compliant zu werden?
Die fünf Kernschritte geben bereits die wichtigen Prozesse an, die es unbedingt umzusetzen gilt. Neben diesen rein technischen Voraussetzungen muss sich auch die Unternehmenskultur wandeln. Laut einer aktuellen Veritas-Studie wollen drei von vier Unternehmen weltweit Mitarbeiter belohnen, wenn sie ihre Datenhygiene verbessern und Compliance-Vorgaben einhalten. Fast die Hälfte (47 Prozent) plant, eine Compliance-Verpflichtung in die Arbeitsverträge aufzunehmen.
Daneben ist entscheidend, dass jeder Arbeitsablauf in dem Unternehmen, bei dem personenbezogene Daten erfasst und bearbeitet werden, dies ab Mai den Vorgaben entsprechend tut. Dazu gehört, den Zweck, zu dem die Daten erhoben wurden, beim Einlesen der personenbezogenen Daten mit zu erfassen.
Was meint “privacy by design” und was ist das „data protection impact assessment“?
„Privacy by Design“ ist eine Vorgabe an Entwickler von Diensten und Anwendungen, den Schutz der Daten und ihrer Privatsphäre schon bei der Entwicklung neuer Technologien zu berücksichtigen. In der Vergangenheit wurden Fragen der Sicherheit oft erst am Ende des Entwicklungszykluses besprochen statt diese als elementaren Bestandteil gleich zu Beginn einzuflechten. Durch die neue Vorgabe soll das Sicherheitsniveau neuer Software und Plattformen in Fragen des Datenschutzes insgesamt steigen.
Unter einer Datenschutz-Folgenabschätzung (engl: Data Protection Impact Assessment) versteht man eine Risikoanalyse, die feststellen soll, wie der Datenschutz durch bestimmte Aktionen oder Vorgänge beeinflusst werden könnte. Sie ist in der DSGVO für bestimmte Fälle vorgeschrieben, darunter Profiling.
Wie können Vorgaben eingehalten werden?
Wer die oben beschriebenen Prozesse und Tools etabliert sowie die Mitarbeiter entsprechend schult und auf diese Weise einbindet, ist bereits auf einem sehr guten Weg. Wichtig ist, dass nach der ersten Aufräum- und Klassifizierungswelle ein Automatismus greift, mit dem neue Daten sofort in die richtigen Kategorien einsortiert und mit den entsprechenden Attributen versehen werden.
Unternehmen haben eine Rechenschaftspflicht. Wie helfen Sie Unternehmen in diesem Kontext „GDPR Ready“ zu werden?
Veritas kann Firmen bei allen Fragen des Datenmanagements helfen, beispielsweise mit Diensten wie den Dark Data Assessment Service, bei dem Veritas die unstrukturierten Daten im Unternehmen automatisch durchsucht und personenbezogene Daten identifiziert.
Veritas hilft, die gespeicherten Daten automatisch per Backup zu sichern und sie im gesamten Netzwerk nach einheitlichen Kriterien zu klassifizieren. Auf dieser Basis lassen sich dann Zugriffe auf diese sensiblen Files strenger regeln oder Aufbewahrungsfristen durchsetzen, so dass bestimmte Daten automatisch gelöscht werden könnten.
Veritas hilft den Firmen ebenfalls in einem sehr spezifischen GDPR Thema. Teil der Verordnung ist das Recht aller EU-Bürger, sogenannte Subject Access Requests (SARs) zu stellen. Die einen wollen wissen, ob eine Firma mehr Daten sammelte als erlaubt. Andere wollen erfahren, wieviel beispielsweise ihr Social-Media-Dienst über sie weiß.
Unternehmen haben dann 30 Tage Zeit, die Anfrage zu beantworten. Unternehmen und Behörden brauchen Werkzeuge, mit denen sie Daten prüfen, filtern und verwalten können – unabhängig von ihrem Speicherort. Die integrierte DSGVO-Lösung von Veritas bietet die richtigen Tools hierfür.
Welchen Pflichten zur Datenlöschung müssen Verantwortliche nachkommen?
Ein Bestandteil der DSGVO ist das sogenannte „Recht auf Vergessenwerden“.
EU-Bürger können den Antrag stellen, dass ihre personenbezogenen Daten von den Unternehmensservern verschwinden. Das mag bei den Stammdaten noch einfach sein, doch die entsprechenden Daten liegen oft über die ganze IT-Landschaft verteilt auf Email-Servern, in Marketing-Listen und auf Backups. Auch hier ist es wichtig, dass Daten korrekt klassifiziert sind, da sonst niemals alle Kopien der personenbezogenen Daten gefunden und gelöscht werden können.
DSGVO-Compliance bietet auch Chancen für Unternehmen. Welche positiven Auswirkungen hat DSGVO-Compliance für Unternehmen?
Unternehmen wollen natürlich in erster Linie Strafzahlungen vermeiden. Darüber hinaus sehen sie laut unserer Studie aber auch große Vorteile.
Wer seine Daten besser managed, kann daraus im Idealfall Wissen extrahieren, mit dem er seine Kunden besser versteht, den Kundendienst verbessern oder Trends auf dem Markt früher erkennen kann. Ein Unternehmen, dass seine Daten beherrscht, ist unter dem Strich wettbewerbsfähiger.
Vielen Dank für das Gespräch.
Weiterführende Informationen finden Sie unter:
www.veritas.com
Stefan Henke, Regional Vice President, Central Europe bei Veritas
Aufmacherbild / Quelle / Lizenz
Pixabay / CC0 Creative Commons