Unternehmen haben nur noch 24 Monate Zeit, um die Bestimmungen der neuen Datenschutzrichtlinie der EU (General Data Protection Regulation (GDPR)) umzusetzen.
Unternehmen, die in Europa Geschäfte machen oder europäische Kunden haben, müssen die Richtlinie nun in 24 Monaten implementieren. Sie sind verpflichtet, die Verantwortlichkeit für die Datensicherheit und den Datenfluss zwischen EU-Mitgliedsstaaten und Ländern außerhalb der EU-Zone zu regeln.
Organisationen sind nicht nur für die Einhaltung der Compliance, sondern auch für die Kontrolle der Daten, die Risikominimierung und den Datenfluss verantwortlich.
Relevante Daten von Studien [1]:
- 52 Prozent aller Informationen, die aktuell von Organisationen gespeichert und verarbeitet werden, sind »Dark Data« – der Inhalt und Wert der Daten ist vollkommen unbekannt.
- 13 Prozent der Unternehmen analysieren nicht den Wert ihrer Daten.
- Nur 15 Prozent der gespeicherten Unternehmensdaten haben einen kritischen Geschäftswert.
- 33 Prozent der Unternehmensdaten sind redundant, veraltet und trivial (d.h. ROT-Daten – redundant, obsolet, trivial).
- Nach Schätzungen werden Unternehmen im Jahr 2020 weltweit 3,3 Billionen US-Dollar für das Speichern und Verwalten von ROT-Daten ausgeben.
- Die Menge unstrukturierter Daten wächst jedes Jahr um 39 Prozent [2].
- 41 Prozent der Daten werden nicht angesehen oder bearbeitet [3].
- Verwaiste Daten haben keine »Eigentümer« und stellen eine besondere Belastung dar. Unternehmen verlieren diese Daten oft aus dem Blick, obwohl sie ihnen viel Geld kosten [4].
Dazu David Moseley, Global Solutions bei Veritas: »Die europäische Datenschutzrichtlinie macht den Datenschutz bereit für das Zeitalter von Big Data und Cloud Computing und stellt sicher, dass Datenschutz als Grundrecht in Europa einheitlich reguliert wird. Organisationen, die die Bestimmungen nicht erfüllen, müssen mit erheblichen Konsequenzen rechnen. Die Höchststrafe beträgt 20 Millionen Euro und vier Prozent des eigenen, weltweiten Umsatzes. »Organisationen müssen bis zum Inkrafttreten am 25. Mai 2018 eine Compliance-Checkliste erstellen und Arbeitsgruppen einrichten, um Verfehlungen vorzubeugen. Compliance-Verantwortliche sollten eine Gap-Analyse sowie Risikobeurteilungen in Betracht ziehen, um sicherzustellen, dass ihre Unternehmensdaten und -informationen geschützt sind.«
Compliance-Countdown Checkliste
- Unternehmen müssen persönliche Daten identifizieren und ein Inventar über ihre Datenverarbeitungsaktivitäten erstellen, wozu auch die Datenspeicherung zählt. Dies kann sich als eine sehr schwierige Aufgabe erweisen. Deshalb sind Kontrollmechanismen notwendig, damit Unternehmen einen Überblick über sämtliche von ihnen gespeicherte persönliche Daten haben.
- Im nächsten Schritt sollten Unternehmen bestimmen, welche persönlichen Daten sie aus rechtlichen Gründen wirklich benötigen und welche sie löschen müssen.
- Danach sollten Organisationen entsprechende Prozesse etablieren, um sicherzustellen, dass sie »Dark Data« stets klassifizieren und alle persönlichen Daten in Übereinstimmung mit der Gesetzgebung speichern und bearbeiten.
- Darüber hinaus sollten Unternehmen die richtigen Tools einsetzen, um bei einer Kundenanfrage schnell dessen persönlichen Daten zu finden und bei Bedarf zu löschen.
- Die Bestimmungen zur Datensicherheit machen zudem Maßnahmen erforderlich, um den Verlust, die Beschädigung oder Zerstörung sowie die unautorisierte und rechtswidrige Bearbeitung von persönlichen Daten zu gewährleisten. Dazu gehört die Verpflichtung zur Einhaltung von Datenintegrität und -verfügbarkeit und Geschäftskontinuität.