Illustration: Absmeier
In fünf Monaten, am 25. Mai 2018, wird die neue Datenschutz Grundverordnung (DSGVO) der Europäischen Union in Kraft treten, und die alte EU-Datenschutzrichtlinie aus dem Jahre 1995, die längst überholt ist, ersetzen. Die EU-Bezeichnung zum gleichen Thema lautet General Data Protection Regulation (GDPR). Viele Unternehmen haben sich mit dem Thema noch nicht oder wenig befasst.
Es bleibt nicht mehr viel Zeit, das Thema aufzugreifen und die Schwachstellen im Unternehmen ausfindig zu machen und mit geeigneten Mitteln zu beseitigen. Wenn die Daten beispielsweise in cloud-basierten Diensten gespeichert sind wie Dropbox, Google Drive, Microsoft OneDrive, die nicht konform sind zu den Unternehmensrichtlinien, so sind diese in abgesicherten Umgebungen abzulegen.
Was regelt die DSGVO?
Die DSGVO umfasst 99 Artikel, die die Rechte von europäischen Personen und Anforderungen an die Unternehmen sowie Strafen festhalten, und gilt in allen 28 EU-Mitgliedsstaaten. Es wird darin festgelegt, wie persönliche Daten von EU-Bürgern erfasst, gespeichert, verarbeitet, gelöscht und verwendet werden. Die Regelung betrifft alle nationalen und internationalen Unternehmen, die im EU-Raum tätig sind.
Das Datum des Inkrafttretens ist ein fixer Termin, der keinerlei Karenzzeit erlaubt. Die Verordnung gilt für alle Unternehmensgrößen vom Kleinstunternehmen bis zum Großunternehmen, die persönliche Fremddaten gespeichert haben, egal ob on-premises oder in Cloud-Umgebungen. Aufsichtsbehörden überwachen, ob die Richtlinien eingehalten werden. Wenn nicht nachgewiesen werden kann, dass die Sicherheitsmaßnahmen umfassend sind, können Geldbußen bis zu vier Prozent des internationalen Vorjahresumsatzes beziehungsweise bis zu 20 Millionen Euro (abhängig davon, welcher Betrag der höhere ist) verhängt werden.
Datenpannen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde und die betroffenen Personen gemeldet werden. Aus der Meldung muss hervorgehen, welchen Schaden die Verletzung verursachen kann und welche Maßnahmen zu ergreifen sind, damit sich der Vorfall nicht wiederholt. Für die Überwachung ist ein Datenschutzbeauftragter zu bestimmen, der die Einhaltung der DSGVO überwacht und Mitarbeiter entsprechend sensibilisiert.
Die Voraussetzungen für die Umsetzung im Unternehmen
Bevor Maßnahmen ergriffen werden können, um das Risiko, die Datenschutzrichtlinie zu verletzen, zu verringern, muss eine umfangreiche Analyse vorgenommen werden, wie die Sicherheit bereits heute gewährleistet ist. Es müssen Fragen gestellt werden, beispielsweise wie und wo sind die personenbezogenen Daten gespeichert, wer hat eine Zugriffsberechtigung darauf, wie ist der Zugriff organisiert, werden die Zugriffe fälschungssicher protokolliert, sind die Daten verschlüsselt abgelegt, welcher Sicherheitsschutz ist bereits installiert.
Wenn das Analyseergebnis Schwachstellen aufweist, müssen Maßnahmen dringend getroffen werden um die Lücken zu schließen. Die Absicherung kann nur mit entsprechenden Technologien realisiert werden, die in der Lage sind, Datenschutzverletzungen zeitnah zu erkennen, zu alarmieren, Probleme automatisch zu beheben, und Untersuchungsmöglichkeiten bieten (Fallmanagement und Forensik).
Wolfgang Heinhaus, ISG Research, www.isg-one.com
Die meisten Unternehmen werden bei der rechtzeitigen Umsetzung der DSGVO scheitern
Nur jedes achte Unternehmen geht derzeit davon aus, die DSGVO zum Stichtag am 25.5.2018 vollumfänglich zu erfüllen. Konkrete Umsetzung scheitert oftmals an der Transparenz über die eigenen Daten.
Die DSGVO ist nach einer Übergangszeit von zwei Jahren ab dem 25.5.2018 – in weniger als sechs Monaten – verpflichtend anzuwenden. In einer aktuellen Umfrage unter mehr als 500 Unternehmen hat der Digitalverband Bitkom Daten zum Stand der Umsetzung der DSGVO erhoben. Dabei wurde deutlich, wie weit die Unternehmen noch von einer vollständigen Umsetzung entfernt sind: Nur jedes achte Unternehmen geht derzeit davon aus, die DSGVO zum Stichtag vollumfänglich zu erfüllen. Prevolution erläutert den aktuellen Stand der Umsetzung der EU-Datenschutzgrundverordnung (DSGVO).
Unternehmen stehen noch am Anfang
Gleichzeitig zeigte die Umfrage, dass rund jedes zweite Unternehmen externe Hilfe bei der Umsetzung der DSGVO in Anspruch nimmt. Zusammen mit dem schlechten Umsetzungsstand macht dieser Fokus deutlich, dass die Unternehmen tatsächlich noch relativ am Anfang der Umsetzung stehen. Eine große Hürde kommt also noch auf sie zu: Die dauerhaft verlässliche und vollständige Umsetzung der DSGVO wird ohne deutliche Unterstützung durch die IT nicht möglich sein. Die Masse der auf Unternehmen und Organisationen einströmenden beziehungsweise von ihnen erhobenen Daten erfordert eine weitgehende Automatisierung des Umgangs mit personenbezogenen Daten.
»Nach dem 25.5.2018 müssen Unternehmen im Tagesgeschäft in der Lage sein, Anfragen von EU-Bürgern über die Nutzung ihrer personenbezogenen Daten effizient, vollständig und sicher beantworten zu können. Nach der wichtigen Klärung der rechtlichen Anforderungen ist es also essentiell, diese auch mit neuen Prozessen und IT-Technologien zu operationalisieren. Entweder hat man dann die notwendige Transparenz und die Prozesse oder eben nicht«, erläutert Kai Andresen, Geschäftsführer von Prevolution, die Herausforderung. »Wir sehen weniger die Bußgelder als Problem, als die zu erwartende Welle an Abmahnungen für fehlerhafte oder mangelnde Auskünfte.«
Intelligente Technologien sind der Schlüssel
Der Umgang mit personenbezogenen Daten ist im Fall von strukturierten Daten wie beispielweise in Anwendungssystemen und Datenbanken vergleichsweise einfach, weil transparent ist, wo diese Daten liegen. In unstrukturierten Inhalten wie E-Mails, Notizen, Dateien und Dokumenten, die im gesamten Unternehmen verteilt auf verschiedenen Plattformen liegen, ist dies ungleich schwerer. Hier werden die Unternehmen auf eine neue Generation von Informationsmanagementsystemen zurückgreifen müssen, die es erlaubt, relevante Informationen automatisch zu identifizieren, diese in den richtigen Kontext zu setzen und ihre Nutzung in den Prozessen kontrollieren zu können.
Mit FileFacets gibt es eine spezielle Softwarelösung, die personenbezogene Daten unternehmensweit automatisiert in den verschiedenen Quellen wie File- und Mailsystemen oder SharePoint und DMS/ECM-Lösungen identifiziert und für die weitere Behandlung in Workflow-, Prozessmanagement- oder Servicemanagement-Lösungen vorbereitet. Damit schafft FileFacets die technische Grundlage für jede Form der Umsetzung der EU-DSGVO. Im Zusammenspiel mit M-Files, einer Lösung zum intelligenten Informationsmanagement, können Informationen in beliebigen Repositories miteinander in Kontext gesetzt werden und ihre Nutzung in Prozessen gesteuert werden.
Run auf IT-Lösungen zur DSGVO hat begonnen
»Das Thema EU-Datenschutzgrundverordnung sollte in allen Unternehmen eine hohe Priorität haben – oder schnellstmöglich bekommen. Den Kopf in den Sand zu stecken und abzuwarten kann teuer werden. Für Unternehmen, die noch gar nichts getan haben, wird allmählich die Zeit knapp«, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung für Recht und Sicherheit, in einer Pressemitteilung.
»Viele Unternehmen haben erkannt, dass sie vor allem in der operativen und technischen Umsetzung schneller vorankommen müssen. So haben wir derzeit sehr viele Anfragen dazu, wie wir mit FilesFacets die Identifizierung und richtige Behandlung von personenbezogenen Daten automatisieren können«, ergänzt Andresen. »Mit der richtigen Software kann man sicherstellen, dass die notwendigen Maßnahmen flächendeckend im Unternehmen umgesetzt sind. Dies hilft im Tagesgeschäft ebenso wie bei der Auditierung.«
Zusammenfassung
Die Umsetzung der DSGVO verläuft schleppend. Das zeigt eine Infografik von Prevolution. Nur jedes achte Unternehmen geht derzeit davon aus, die DSGVO zum Stichtag am 25.5.2018 vollumfänglich zu erfüllen. Konkrete Umsetzung scheitert oftmals an Transparenz über die eigenen Daten, die intelligente Lösungen jedoch automatisiert herstellen können.
Mehr Informationen zur Lösung für die Umsetzung der EU-DSGVO: https://www.prevolution.de/filefacets
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
DSGVO: umfassende Bestandsaufnahme schützt vor neuen Investitionen
Studie zur EU-DSGVO zeigt: Vorgabe »Stand der Technik« verwirrt IT-Entscheider
EU-DSGVO: Compliance-Check testet Datenschutzpraxis von Unternehmen auf Herz und Nieren
DSGVO: Jedes dritte Unternehmen hat sich noch nicht mit der Datenschutzgrundverordnung beschäftigt