Europäische Datenschutzrichtlinie GDPR: Compliance-Countdown

foto cc0 pixabay gr8effect countdown 2

foto cc0 aa

Unternehmen haben nur noch 24 Monate Zeit, um die Bestimmungen der neuen Datenschutzrichtlinie der EU (General Data Protection Regulation (GDPR)) umzusetzen.

Unternehmen, die in Europa Geschäfte machen oder europäische Kunden haben, müssen die Richtlinie nun in 24 Monaten implementieren. Sie sind verpflichtet, die Verantwortlichkeit für die Datensicherheit und den Datenfluss zwischen EU-Mitgliedsstaaten und Ländern außerhalb der EU-Zone zu regeln.

Organisationen sind nicht nur für die Einhaltung der Compliance, sondern auch für die Kontrolle der Daten, die Risikominimierung und den Datenfluss verantwortlich.

Relevante Daten von Studien [1]:

  • 52 Prozent aller Informationen, die aktuell von Organisationen gespeichert und verarbeitet werden, sind »Dark Data« – der Inhalt und Wert der Daten ist vollkommen unbekannt.
  • 13 Prozent der Unternehmen analysieren nicht den Wert ihrer Daten.
  • Nur 15 Prozent der gespeicherten Unternehmensdaten haben einen kritischen Geschäftswert.
  • 33 Prozent der Unternehmensdaten sind redundant, veraltet und trivial (d.h. ROT-Daten – redundant, obsolet, trivial).
  • Nach Schätzungen werden Unternehmen im Jahr 2020 weltweit 3,3 Billionen US-Dollar für das Speichern und Verwalten von ROT-Daten ausgeben.
  • Die Menge unstrukturierter Daten wächst jedes Jahr um 39 Prozent [2].
  • 41 Prozent der Daten werden nicht angesehen oder bearbeitet [3].
  • Verwaiste Daten haben keine »Eigentümer« und stellen eine besondere Belastung dar. Unternehmen verlieren diese Daten oft aus dem Blick, obwohl sie ihnen viel Geld kosten [4].

Dazu David Moseley, Global Solutions bei Veritas: »Die europäische Datenschutzrichtlinie macht den Datenschutz bereit für das Zeitalter von Big Data und Cloud Computing und stellt sicher, dass Datenschutz als Grundrecht in Europa einheitlich reguliert wird. Organisationen, die die Bestimmungen nicht erfüllen, müssen mit erheblichen Konsequenzen rechnen. Die Höchststrafe beträgt 20 Millionen Euro und vier Prozent des eigenen, weltweiten Umsatzes. »Organisationen müssen bis zum Inkrafttreten am 25. Mai 2018 eine Compliance-Checkliste erstellen und Arbeitsgruppen einrichten, um Verfehlungen vorzubeugen. Compliance-Verantwortliche sollten eine Gap-Analyse sowie Risikobeurteilungen in Betracht ziehen, um sicherzustellen, dass ihre Unternehmensdaten und -informationen geschützt sind.«

Compliance-Countdown Checkliste

  • Unternehmen müssen persönliche Daten identifizieren und ein Inventar über ihre Datenverarbeitungsaktivitäten erstellen, wozu auch die Datenspeicherung zählt. Dies kann sich als eine sehr schwierige Aufgabe erweisen. Deshalb sind Kontrollmechanismen notwendig, damit Unternehmen einen Überblick über sämtliche von ihnen gespeicherte persönliche Daten haben.
  • Im nächsten Schritt sollten Unternehmen bestimmen, welche persönlichen Daten sie aus rechtlichen Gründen wirklich benötigen und welche sie löschen müssen.
  • Danach sollten Organisationen entsprechende Prozesse etablieren, um sicherzustellen, dass sie »Dark Data« stets klassifizieren und alle persönlichen Daten in Übereinstimmung mit der Gesetzgebung speichern und bearbeiten.
  • Darüber hinaus sollten Unternehmen die richtigen Tools einsetzen, um bei einer Kundenanfrage schnell dessen persönlichen Daten zu finden und bei Bedarf zu löschen.
  • Die Bestimmungen zur Datensicherheit machen zudem Maßnahmen erforderlich, um den Verlust, die Beschädigung oder Zerstörung sowie die unautorisierte und rechtswidrige Bearbeitung von persönlichen Daten zu gewährleisten. Dazu gehört die Verpflichtung zur Einhaltung von Datenintegrität und -verfügbarkeit und Geschäftskontinuität.
[1] Weitere Informationen finden Sie im 2016 Global Databerg Report und im 2016 Data Genomics Index von Veritas. Der Data Genomics Index ist die erste Studie, die genaue Details zu echten Datenumgebungen offenbart – von der Dateitypzusammensetzung über das durchschnittliche Alter hin zu individuellen Dateigrößen. Veritas analysierte 2015 Milliarden von Dateien sowie ihre Eigenschaften in zahlreichen unstrukturierten Datenumgebungen seiner Kunden, um ein besseres Verständnis zu erhalten, wie sich die Umgebungen tatsächlich zusammensetzen. Mehr als 8.000 Dateityperweiterungen wurden in der Analyse betrachtet. Die Daten sind eine repräsentative Untergruppe der gesamten Dateisystemumgebung eines Kunden.
[2] Ein Petabyte Daten besteht durchschnittlich aus 2,3 Milliarden Dateien. Das entspricht 2,3 Milliarden Entscheidungen, die eine Organisation treffen muss. Ohne automatisierte Tools ist dies eine enorme Belastung für IT und die Abteilungen. Zudem befinden sich in diesen 2,3 Milliarden Dateien auch persönliche Informationen, die in einer mit der GDPR übereinstimmenden Weise bearbeitet werden müssen.
[3] Drei Jahre sind – mit Ausnahme der Berücksichtigung von regulatorischen oder Compliance-Bedingungen – der Standard, nachdem Daten an Bedeutung verlieren. 41 Prozent einer durchschnittlichen Datenumgebung wurde in den letzten drei Jahren weder geöffnet noch bearbeitet.
[4]  Verwaiste Daten haben keinen aktuellen »Eigentümer«. Dieser hat entweder seine Rolle im Unternehmen gewechselt oder hat es verlassen. Der Data Genomics Index zeigt, dass verwaiste Daten oft Videos, Bilder und Präsentationen sind – reichhaltige Inhalte, die eigentlich nicht unbeachtet bleiben sollten. Sie nehmen zudem einen hohen Anteil an Speicherplatz ein – und zwar über 200 Prozent mehr, bezogen auf die gezählte Anzahl der gesamten Dateien. https://www.veritas.com

Schreiben Sie einen Kommentar