Webinar

Governance nach der neuen EU-Datenschutzrichtlinie

Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
Dass Data-Governance nach der EU-Datenschutznovelle nicht nur Arbeit macht, sondern auch Zeit und Kosten spart, erläutert ein Webinar der Computerwoche.
Die Europäische Union regelt den Datenschutz neu.
Die Europäische Union regelt den Datenschutz neu.
Foto: lukeylukas7 - shutterstock.com

In der Regel dürfte die neue Europäische Datenschutzgrundverordnung bei Entscheidern kaum Begeisterung auslösen. Immerhin kündigt die Novelle, die im Mai 2018 in Kraft tritt, empfindliche Strafen bei Nichteinhaltung an, wie ein Computerwoche-Webinar darstellt.

Diesen Blick möchte Matthias Binder, Senior Consultant Information Governance bei Hewlett-Packard Enterprise, gerne erweitern. Binder erkennt in der neuen Verordnung viel Potenzial zum Einsparen von Zeit und Kosten. Das Stichwort lautet hier Automatisierung des Datenmanagements. Thomas Hafen von der Computerwoche moderiert das Webinar. Es ist der dritte und letzte Teil einer Webinar-Reihe, alle Sendungen sind als Aufzeichnung verfügbar.

Binder stellt klar, dass personenbezogene Daten gemäß der neuen Verordnung zweckgebunden verwendet werden müssen. Das Unternehmen muss also den Menschen, um deren Daten es geht, jederzeit darstellen können, was mit den Daten geschieht. Und: es muss die Daten löschen können, wenn der Betroffene das verlangt.

Die Firmen geraten in Bewegung - ihre Kunden auch

Moderator Hafen fragt Binder zunächst einmal über den aktuellen Stand der Dinge in den Unternehmen. Wie reagieren die Verantwortlichen? "Das ändert sich wöchentlich", so die Erfahrung von Binder. Datenschutzbeauftragte gibt es in Deutschland ja schon länger. Doch nun informieren sich zunehmend auch die Kunden über die Datenschutznovelle. Das "Recht auf Vergessen" etwa ist ein Punkt, der Betroffene auf den Plan ruft. Ebenso das Auskunftsrecht darüber, welche Daten gesammelt werden. Binder: "Da ist viel in Bewegung gekommen."

Die Konsequenz ist für HPE ein strukturierter Framework-Ansatz. Der beinhaltet die drei Elemente Governance, Data Processing/Lifecycle Management und Security. Im konkreten Unternehmenskontext geht es um eine technologische Bestandsaufnahme sowie eine Gap-Analyse. Daraus leitet sich ab, was die Firma braucht und wie eine Roadmap aussehen soll, die dann schließlich auch umgesetzt wird. "Und dabei geht es nicht nur um Software-Komponenten, sondern Software, die in den Prozess des Unternehmens eingebettet wird", erklärt Binder.

Moderator Hafen will von den Webinar-Zuschauern wissen, ob sie sagen können, wo und in welchem Umfang personenbezogene Daten in ihren Unternehmen verarbeitet werden. Eine spontane Umfrage zeigt, dass knapp neun von zehn (88 Prozent) diese Frage für strukturierte Daten bejahen können. Mit Blick auf unstrukturierte Datenquellen sind es nur noch 43 Prozent. Fast jeder Zehnte (9 Prozent) räumt ein, die Frage nicht beantworten zu können. HPE-Manager Binder ist nicht überrascht: "Das deckt sich mit unseren Erfahrungen", kommentiert er.

Der Kunde will das "Recht auf Vergessen", das Handelsregister nicht

Eine weitere Praxiserfahrung: Gerade beim "Recht auf Vergessen" entstehen Konflikte. Eine Person mag darauf bestehen, doch das Handelsregister zum Beispiel lässt Löschen nicht zu. Solche Probleme muss ein Unternehmen adressieren können. Und: besteht ein Recht auf Löschung der Daten, muss das Unternehmen den Vorgang beweisen können. "Löschen ist so ein bisschen ein Thema, das mag keiner machen", schmunzelt Binder.

Eine weitere Umfrage unter den Webinar-Zuschauern zeigt, dass 58 Prozent personenbezogene und sensible Daten noch immer manuell suchen und löschen. Hafen kommentiert: "Dann wird es mit der Nachweispflicht schwer!"

Ein weiteres Thema: Arbeitet ein Unternehmen international, gelten für den Arbeitsvertrag mit einem französischen Mitarbeiter andere Regeln als für seinen Schweizer Kollegen. Eben weil die neue Datenschutzgrundverordnung nicht nur ein technologisches Thema ist, sondern auch ein juristisches, arbeitet HPE mit Partnern wie PwC und Iron Mountain zusammen, die mit Juristen kooperieren und rechtliche Beratung leisten.

Hier das Webinar ansehen