Die EU-Datenschutz-Grundverordnung (DSGVO) legt strenge Regeln für die Verwaltung personenbezogener Daten fest. Die meisten Vorschriften dürften sich mit wenig Aufwand umsetzen lassen – allein das Recht auf Vergessen könnte für viele Unternehmen eine größere Herausforderung sein.
Am 25. Mai 2018 treten mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) die bedeutendsten Datenschutzregeln in Kraft, die jemals entwickelt wurden. Die DSGVO fordert von jeder EU-Organisation, Informationen von EU-Bürgern sicher und geschützt aufzubewahren. Bei Verstößen drohen Bußgelder in Höhe von 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.
Auch wenn mancher Betroffene die DSGVO als reine Schikane für Unternehmen ansieht — de facto ist eine solche Verordnung heute notwendiger denn je: In einer Welt, die permanent mit Schadcode wie Viren, Cyber-Attacken, Lösegeldforderungen und anderen Datenverstößen bombardiert wird, wollen die Menschen das Gefühl haben, dass sie und ihre Daten geschützt sind. Die DSGVO bildet dafür eine solide Grundlage.
Außerdem profitieren Unternehmen selbst direkt oder indirekt von der DSGVO: Erstens reduziert sie den bürokratischen Aufwand, indem sie die bisherigen 28 Gesetze zu einem einzigen zusammenfasst. Diese Konsolidierung führt nach Expertenschätzungen zu Kosteneinsparungen von etwa 2,3 Milliarden Euro pro Jahr. Zweitens können die für die DSGVO erforderlichen Maßnahmen zum Anlass werden, möglicherweise aufgeschobene, aber längst überfällige Schritte zur Erhöhung der Sicherheit und Einhaltung der Compliance-Richtlinien einzuleiten.
Was fordert die DSGVO?
Die DSGVO fordert die Umsetzung einer ganzen Reihe von Maßnahmen. So müssen Unternehmen zum Schutz der Privatsphäre den Datenzugriff überwachen und Richtlinien für die Zugriffsberechtigung von Mitarbeitern festlegen. Um Worst-Case-Szenarien zu vermeiden und Daten vor Katastrophen und Unfällen zu schützen, müssen Unternehmen über eine solide Desaster-Recovery-/Backup-Strategie verfügen, die Ausfallzeiten begrenzt und das Risiko von Datenverlusten reduziert.
Für Unternehmen mit mehr als 250 Mitarbeitern wird mit Inkrafttreten der DSGVO ein Datenschutzbeauftragter (Data Protection Officer, DPO) zur Pflicht, der für die Verwaltung und Überwachung der relevanten Daten und der notwendigen, gesetzlich vorgeschriebenen Vorgänge zuständig ist.
Eine besondere Herausforderung ist die Umsetzung der Data Governance. So müssen Unternehmen in der Lage sein, zu berichten, wie persönliche Daten genutzt, gesammelt oder bearbeitet werden. Insbesondere müssen Sicherheitsverantwortliche wissen…
• welche persönlichen Daten sie besitzen,
• wo sich diese Daten befinden (in welchen Anwendungen, lokal oder in der Cloud),
• wo die Daten innerhalb der Organisation primär verwaltet und verarbeitet werden,
• wer Zugang dazu hat — und…
• wie lange das Unternehmen die Daten vorhält.
Das Recht auf Vergessen
Ein zentraler Pfeiler der DSGVO ist das Recht auf Vergessen. Personen wie etwa Kunden haben das Recht, aus den IT-Systemen des Unternehmens, mit dem der Kunde in Kontakt getreten ist, zu „verschwinden“. Wenn eine betroffene Person davon Gebrauch macht, müssen Unternehmen imstande sein, diesem Ersuchen fristgerecht nachzukommen.
Diese Forderung ist alles andere als trivial: Daten verbreiten sich heute innerhalb und außerhalb des Unternehmens rasant und werden typischerweise über mehrere Anwendungen und Umgebungen sowie sekundäre Speichersysteme für Datensicherung und Backup verteilt – und das sowohl vor Ort als auch in Cloud-Anwendungen.
Hinzu kommt, dass Schlüsseldaten, die zentral gepflegt und abgerufen werden sollen, absichtlich oder versehentlich an anderen Orten landen können. Der ganz normale, tägliche Geschäftsbetrieb und die Verwendung von Daten zur Entscheidungsfindung reichen bereits aus, um die Verbreitung von Daten zu fördern.
Unter diesen Bedingungen können die personenbezogenen Daten einer betroffenen Person in Dutzende getrennter Systeme eingespeist werden. Wenn Sie nicht wissen, wo sich diese Daten befinden, wohin sie wandern und wo sie landen, verletzen Sie die Compliance – und bewegen sich in Richtung einer potenziellen Geldstrafe.
Wie lassen sich persönliche Daten löschen?
Wie lässt sich so das verhindern? Der erste Schritt besteht darin, geschützte personenbezogene Daten über Anwendungen, Server, Speicher, Endgeräte und Cloud-Standorte hinweg zu identifizieren. Ein entsprechendes IT-System kann dabei helfen. Wer ein automatisiertes System für das Recht auf Löschung unter DSGVO erstellen möchte, benötigt eine solide Lösung, die nicht nur Quelldaten, lokal gehaltene Daten und Cloud-Anwendungen berücksichtigt. Daten auf Endgeräten müssen ebenso einbezogen werden wie strukturierte und unstrukturierte Daten.
Für hochgradig verteilte personenbezogene Daten – egal, ob diese absichtlich oder versehentlich verteilt wurden – bietet sich ein kombinierter Ansatz an. Dazu sind einzelne Dienste zu entwickeln, die auf den verteilten Datenspeichern „sitzen“ und Lösch- und Prüfungsfunktionen gemäß der DSGVO bereitstellen.
Organisationen, die Beschaffung, Bearbeitung und Abfrage von EU-Daten und den Zugriff auf die Daten zentral über Data Management Services wie ein MDM-System verwalten, haben es leichter, dem „Recht auf Vergessen“ nachzukommen. Zwar ist dieser Architekturansatz komplexer zu implementieren, doch ermöglicht er es, alle relevanten Personendaten zentral zu löschen und gleichzeitig die Qualität aller wichtigen Unternehmensdaten zu verbessern.
Eine weitere Herausforderung: Um die DSGVO zu erfüllen, muss das Löschsystem auch prüfbar sein. Die Schnittstelle muss die Möglichkeit bieten, einen bestimmten Datensatz abzufragen und im Gegenzug eine Liste von Datenstandorten zu generieren. Anschließend können die betreffenden personenbezogenen Daten gelöscht werden, wodurch ein Audit-Trail des Prozesses erstellt wird. Dieser zeigt an, dass eine Abfrage durchgeführt wurde, die zur Identifizierung der betroffenen Daten und anschließend zu deren Löschung führt.
Fazit
Die DSGVO stellt sowohl eine geschäftliche als auch eine technologische Herausforderung dar. Die geschäftliche Seite ist für die meisten Unternehmen noch problemlos zu bewältigen, die technische Seite kann jedoch aufwändig sein. Um die Einhaltung der Vorschriften zu gewährleisten, dürften viele Organisationen eine Technologieaktualisierung in Erwägung zu ziehen. IT-Anbieter haben spezielle IT-Lösungen entwickelt, die ausschließlich dazu dienen, Unternehmen bei der Einhaltung der Vorschriften zu unterstützen.
