Die Datenschutz-Grundverordnung ist eine Datenherausforderung für das gesamte Unternehmen

Die Einführung dieser wichtigen EU-Verordnung steht kurz bevor. So sollte man erwarten, dass sich die betroffenen Unternehmen mittlerweile mit Hoch-druck auf die zu erwartenden Veränderungen einstellen.

Aktuelle Untersuchungen vermitteln uns allerdings ein ganz anderes Bild. So hat die IT-Analystengruppe Gartner aufgedeckt, das über 50 % der durch die DSGVO betroffenen Unternehmen bei Inkrafttreten der Verordnung deren Vorgaben nicht vollständig erfüllen werden. Eigene Untersuchungen der ISACA (der vollständige Bericht wird im Laufe des Jahres veröffentlicht) belegen, dass annähernd einer von fünf (19 %) Businessverantwortlichen/Vorständen mit den Fortschritten seines Unternehmens mit Blick auf die DSGVO-Compliance unzufrieden ist. Schlimmer noch: Bedenkliche 38 % aller Unternehmen bereiten sich derzeit noch gar nicht auf die kommenden Veränderungen vor, sondern warten einfach ab, wie sie von diesen betroffen sein werden.

Man sollte dabei allerdings nicht den Fehler machen, diese Defizite als reine Compliance- und IT-Probleme zu sehen. So richtig interessant wird es, wenn man sich anschaut, wie sich die neue Verordnung auf das gesamte Unternehmen auswirken wird – und nicht nur auf die Bereiche IT und Compliance.

Das Datenproblem, das kein IT-Problem ist.  Natürlich ist Compliance ein Thema, aber hinter der DSGVO verbirgt sich noch weit mehr. So wird diese Verordnung die Art, wie Unternehmen Daten sammeln, integrieren, speichern, verarbeiten und nutzen, grundlegend verändern. Zudem sind durch die DSGVO einige bestehende Geschäftsmodelle künftig nicht mehr nutzbar. Das fordert die Unternehmen, kreative neue Lösungen zu entwickeln, die mit den Vorgaben der DSGVO konform gehen und die neuen regulatorischen Gegebenheiten bestmöglich nutzen. Diese Entwicklung neuer Modelle für datenbasierte Unternehmen ist vermutlich die größte Herausforderung an der Sache.

Der Weg zur vollständigen Compliance mit der DSGVO wird zwar gewiss kein Spaziergang sein, aber die Aufgabe sollte sich dennoch einigermaßen geradlinig lösen lassen. Data-Governance-Experten können prüfen, welche Arten von Daten im Unternehmen vorgehalten, wo diese verarbeitet und wie sie genutzt werden. Auf dieser Basis lassen sich dann Systeme und Prozesse entwickeln, die eine Einhaltung der DSGVO-Vorgaben ermöglichen.

Ein ganz anderes Thema ist die Änderung vertrauter Prozesse und der meist eingefahrenen Arbeitskultur, um das Risiko von Compliance-Verstößen und der damit verbundenen Bußgelder nach Einführung der Verordnung am 25. Mai 2018 so gering wie möglich zu halten. Um das bewerkstelligen zu können, sind die Businessverantwortlichen gut beraten, bereichsübergreifend zusammenzuarbeiten sowie Daten- und Compliance-Experten an Bord zu holen. Denn ist man gezwungen, Prozesse umzugestalten, die Unternehmenskultur neu auszurichten und sogar neue Produkte zu entwickeln, um das Unternehmen am Laufen zu halten, sollte man einen kollaborativen Ansatz wählen – keine leichte Aufgabe.

DSGVO-Compliance kann man nicht kaufen. Auf der kürzlich abgehaltenen Infosecurity-Europe-Konferenz in London hatten fast alle anwesenden Sicherheitsfirmen Infomaterial zu ihren neuen DSGVO-Compliance-Produkten im Gepäck. Diese zielten fast ausnahmslos darauf ab, es den Unternehmen zu ermöglichen, auch bei einer so umfassenden und weitreichenden Verordnung wie der DSGVO Compliance einfach sicherzustellen und den von manchen IT-Experten empfundenen Druck aus der Sache zu nehmen.

Sicher mögen einige dieser Produkte das eine oder andere Problem lösen können, man sollte dabei aber nicht vergessen, dass kein einziger Anbieter ein Produkt vorweisen kann, mit dem Sie sich die DSGVO-Compliance quasi kaufen können. Vielmehr ist es für alle Beteiligten im Unternehmen ein Lernprozess, die Anforderungen der neuen Verordnung zu erfüllen und dauerhafte Compliance zu sichern.

Auf institutioneller Ebene müssen Unternehmen zudem lernen, zwischen Datenschutz und Sicherheit zu differenzieren.

Sicherheit und Datenschutz in Einklang bringen. Datenschutz wird sehr häufig mit Sicherheit verwechselt (vor allem wenn es um Vertraulichkeit geht). Oder anders ausgedrückt: Bei der DSGVO und anderen Datenschutzbestimmungen geht es vielmehr darum, aus welchen Gründen persönliche Daten vorgehalten werden, wie diese genutzt werden und ob die Rechte der Datensubjekte (also der jeweiligen Personen) gewahrt werden. Natürlich ist da auch ein ausgeprägtes Datenschutzelement mit im Spiel, aber letztlich kann man auch ganz ohne Datenschutzlösungen zu implementieren umfassende Sicherheit bieten. Sicherheit ist also gewissermaßen die Basis für Datenschutz. Ironischerweise kann Sicherheit für den Datenschutz aber auch eine Bedrohung darstellen, vor allem dann, wenn es um die Beobachtung von Nutzeraktivitäten und Profiling-Maßnahmen geht. Eines ist dabei sicher: So etwas wie Ausgewogenheit zwischen Sicherheit und Datenschutz existiert nicht. In einer Zeit, die geprägt ist von der zunehmenden Verschmelzung der realen und der digitalen Welt, erwartet man zurecht gleichermaßen beides. Mit Einführung der DSGVO wird es dabei umso deutlicher, dass man umfassende und schlüssige Lösungen für Sicherheit und Datenschutz Seite an Seite implementieren muss, um der Verordnung gerecht zu werden.

Wichtig ist dabei, dass die grundlegenden Probleme im Unternehmen auf breiter Basis verstanden werden. Geht man dann daran, neue Produkte zu entwickeln oder Projektideen zu sammeln (etwa für neue Marketing- oder Vertriebsinitiativen), muss es nicht zwingend der Compliance-Beauftragte sein, der auf potenzielle Compliance-Probleme hinweist, da diese mithilfe entsprechender Lösungen bereits frühzeitig identifiziert wurden.

Herausforderungen. Insgesamt sehen sich Unternehmen, die persönliche Daten von EU-Bürgern verarbeiten (und das auch außerhalb der EU), künftig mit drei größeren Herausforderungen konfrontiert:

  • Identifizieren, welche Arten von Daten das Unternehmen vorhält, wie diese gesammelt werden beziehungsweise wie man ursprünglich an die Daten gelangt ist und wo diese gespeichert werden.
  • Gemeinsam mit dem Top-Management Prozesse und Rahmenbedingungen entwickeln, um mit Inkrafttreten der Verordnung im Mai 2018 und in den Folgejahren Compliance sicherzustellen.
  • Allen relevanten Mitarbeitern im Unternehmen vermitteln, was die Nutzung von Daten bedeutet und dass das Unternehmen von ernsten, möglicherweise sogar existenzgefährdenden Strafen bedroht ist, wenn Mitarbeiter aus Versehen Daten missbräuchlich verwenden.

Experten für Datensicherheit, Risikomanagement und IT sowie Anbieter und Rechtsabteilungen können bei alldem helfen. Um aber die alarmierenden Zahlen von Gartner, der ISACA und anderen zum Thema DSGVO zu verbessern, müssen wir zunächst die geschäftlichen Risiken klarer und auf breiterer Basis kommunizieren, die Compliance-Verstöße hier bedeuten können. In dem Zuge sollte man aber auch die Chancen und Vorteile hervorheben, die es den Unternehmen bringt, wenn sie ihre Produkte und Services datenschutzfreundlicher gestalten – nicht zuletzt mehr Vertrauen beim Verbraucher.


Christos K. Dimitriadis,
Ph.D, CISA, CISM, CRISC,
früherer ISACA-Vorsitzender und
Group Director Information Security
bei INTRALOT

 

 

Illustration: © White Mocca /shutterstock.com

 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Trugschluss: Unternehmen sehen sich bereit für DSGVO

Schlusslicht Deutschland: Unternehmen fühlen sich schlecht auf DSGVO vorbereitet

Mehr als die Hälfte der Unternehmen ist nicht auf die Datenschutz-Grundverordnung vorbereitet

DSGVO: Wirtschaft wünscht eine Lockerung

Verschlüsselung oder Tokenisierung: Nur noch 11 Monate bis zur EU-DSGVO

Die meisten Unternehmen können die Fristen der EU-DSGVO nicht einhalten

DSGVO: Vier von fünf deutschen Unternehmen läuft die Zeit davon

EU-DSGVO: Datenschutz-Grundverordnung der EU verunsichert Unternehmen

EU-DSGVO: Vom neuen EU-Datenschutz nicht verängstigen lassen

DSGVO: Unternehmen mühen sich mit Datenverfremdung ab