EU-DSGVO

Neue Datenschutzregeln - die Zeit zum Handeln wird knapp

28.06.2017
Stefan Henke ist Regional Vice President Central Europe bei Veritas. Er gilt als Experte für das Thema Informationsmanagement - von Business Continuity über Backup und Recovery sowie Software-Defined Storage bis hin zu Information Governance. Seine besondere Expertise liegt im Großkundenbereich, insbesondere im Industrie- und Finanzsektor und in der Automobilbranche.
Viele Unternehmen befürchten, die neuen Regeln der EU-Datenschutzgrundverordnung nicht rechtzeitig erfüllen zu können. Doch mit der richtigen Datenmanagement-Strategie lassen sich die wichtigsten Anforderungen bereits relativ zügig umsetzen.

Es ist nicht einmal mehr ein Jahr Zeit, bis die EU-Datenschutzgrundverordnung (DSGVO) in den 28 Mitgliedsländern der EU in Kraft tritt. Sieht man sich die Ergebnisse einer aktuellen Umfrage an, werden es fordernde Monate für IT- und Datenschutzverantwortliche. 48 Prozent der befragten deutschen Führungskräfte denken jedenfalls, dass ihr Unternehmen nicht rechtzeitig vorbereitet sein wird.

Ab Ende Mai 2018 greifen die schärferen Regeln zum Datenschutz. Wer sich nicht daran hält, dem drohen empfindliche Geldstrafen.
Ab Ende Mai 2018 greifen die schärferen Regeln zum Datenschutz. Wer sich nicht daran hält, dem drohen empfindliche Geldstrafen.
Foto: Fotolia/Weissblick

Warum ist das so? Laut den Aussagen der Studienteilnehmer mangelt es vor allem an der richtigen Technologie. Die Hälfte der Befragten gibt an, es ist aktuell kaum möglich zuverlässig zu entscheiden, ob Daten gespeichert oder gelöscht werden sollten. Weitere Probleme treten auf, wenn die Unternehmen personenbezogene Daten schnell finden oder überwachen wollen, wie auf diese zugegriffen werde.

Die gute Nachricht: All diese Probleme lassen sich mit Hilfe einer passenden Datenmanagement-Strategie nebst geeigneter Prozesse und Tools rechtzeitig lösen - auch und gerade in Unternehmen mit komplexen IT-Infrastrukturen und einem hohen Cloud-Anteil. Fünf Kernfunktionen sollten dabei auf jeden Fall abgedeckt sein:

  1. Lokalisieren: Zunächst muss die Firma einen Überblick darüber gewinnen, wo personenbezogene Daten überhaupt gelagert werden - sie brauchen sozusagen eine Datenlandkarte. Das gilt gerade auch für all jene Daten, die in der Cloud lagern. In diesem Zusammenhang sollten Firmen auch darauf achten, dass das Rechenzentrum in der EU oder einem geeigneten Drittland beheimatet ist.

  2. Suchen: EU-Bürger können Einblicke in die über sie gespeicherten Daten verlangen und müssen diese zeitnah erhalten. Ein Prozess nebst Software, die gemeinsam Daten schnell auffinden und bei Bedarf löschen, sind deshalb wichtig.

  3. Minimieren: Eines der Ziele der DSGVO ist es zu regeln, dass Firmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern. Deshalb sollte jede Datei ein Verfallsdatum erhalten und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.

  4. Schützen: Eigentlich selbstverständlich, aber wichtig - personenbezogene Daten sind besonders schützenswert. Unternehmen müssen Maßnahmen ergreifen, um Angreifer von außen und innen abzuwehren. Passiert doch etwas, muss das Datenleck innerhalb von 72 Stunden gemeldet werden. Womit wir beim letzten Punkt wären.

  5. Überwachen: Um ein Datenleck zu melden, muss man zuerst wissen, dass es existiert. Im zweiten Schritt ist es wichtig, schnell und eindeutig zu klären, welche Daten verloren gingen. Denn die DSGVO fordert eindeutig, dass Betroffene und die Behörden innerhalb von 72 Stunden über den Vorfall informiert werden müssen. Eine Software für ein umfassendes Datenmanagement, welches die komplexe Speicherinfrastruktur ständig auf Unregelmäßigkeiten überprüft, ist an dieser Stelle Gold wert.

Diese fünf Kernbereiche müssen Unternehmen bei der Vorbereitung auf die DSGVO beachten
Diese fünf Kernbereiche müssen Unternehmen bei der Vorbereitung auf die DSGVO beachten
Foto: Veritas Technologies

Die für jeden dieser Schritte notwendigen Werkzeuge sollten im Idealfall einer zentralen Policy gehorchen, aus der sich dann entsprechende Maßnahmen ableiten, die wiederum automatisch umgesetzt werden. Ein entsprechender Service, der die verschiedenen Tools auf die individuelle Umgebung anpasst und ein erstes Assessment zur generellen GDPR Reife durchführt, sollte die Implementierungsphase begleiten. Aus den Ergebnissen dieses Assessments kann ein Unternehmen schnell die individuellen Risiken herauslesen und die großen Probleme als erstes angehen.