Am 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (DSGVO) wirksam. Bis dahin müssen sich Unternehmen auf die komplexen Regelungen vorbereitet haben, denn bei Missachtung können erhebliche Sanktionen anfallen.
Daten sind längst zum Rohstoff unserer digitalen Wirtschaft geworden – und nicht nur Facebook, Google & Co. haben die Möglichkeiten erkannt, die das Sammeln, Speichern und Analysieren von personenbezogenen Daten bietet. Aber die Zeiten, in denen Unternehmen mit der Absicherung ihrer Datenschätze vergleichsweise nachlässig sein konnten, sind endgültig vorbei. Denn bereits am 24. Mai 2016 ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Jede Art der Verarbeitung von personenbezogenen Daten unterliegt zukünftig den Bestimmungen des neuen Gesetzes. Bis die DSGVO am 25. Mai 2018 endgültig zur Anwendung kommt, läuft für Unternehmen die Uhr um sich vorzubereiten.
Die europaweit einheitlichen Regelungen sind wesentlich strikter als zuvor, denn bei ihrer Verletzung droht eine Strafe von bis zu 20 Millionen Euro oder, im Fall international agierender Unternehmen, vier Prozent des gesamten weltweit erzielten Vorjahresumsatzes. Unternehmen stehen in der Pflicht, für die folgenden Standards im Umgang mit Daten zu sorgen: Rechtmäßigkeit, Zweckbindung, Umfangminimierung, Richtigkeit, Speicherbegrenzung sowie Vertraulichkeit der Datenerhebung und -verarbeitung.
Die DSGVO wird zum Querschnittsthema der Unternehmensführung.Die rechtlichen Herausforderungen gehen mit neuen technischen Aufgaben einher. Was in der Rechtsabteilung als Gebot des Datenschutzes auftaucht, muss die IT-Abteilung auf technischer Seite in der Datensicherheit abbilden. Mittlerweile gibt es zwar eine große Zahl von Anbietern am Markt, die entsprechend reagiert haben und die passenden Bausteine liefern, die Entscheidung, welche Lösungen im konkreten Fall umgestellt oder eingeführt werden müssen, erfolgt aber je nach individueller Lage.
Was bedeutet das nun konkret? Im Folgenden finden Sie vier der wichtigsten Herausforderungen, denen sich Manager beim Thema DSGVO stellen müssen:
- Verantwortliche in Unternehmen haben die Pflicht, ein Gutachten über den Einfluss technischer Prozesse auf die Datensicherheit (»Data Protection Impact Assessment«) durchzuführen. Hierbei müssen alle IT-Prozesse, die sich auf Daten auswirken oder ein Risiko für diese darstellen können, dokumentiert werden. Insbesondere müssen die Werkzeuge aufgeführt werden, welche im Unternehmen zur Absicherung der Daten zum Einsatz kommen.
- Um Schwachstellen im Vornherein zu verhindern, schreibt die DSGVO unterschiedliche Verfahren vor, die auf Daten angewendet werden müssen. Dazu gehören Verschlüsselung, Anonymisierung und Pseudonymisierung, eine vergleichsweise restriktive Zugangskontrolle sowie die Minimierung der Datenerhebung. Ein Encryption Management Server, der mit PGP-Technologie (»Pretty good Privacy«) sowie zentralisierter Richtlinienkonfiguration ausgestattet ist, sollte deshalb in Unternehmen zum Standard werden.
- Die Datenverarbeitung muss laufend überwacht werden. Sobald eine Anomalie im Prozess bekannt wird, ist das Unternehmen dazu verpflichtet, sich an die Behörden zu wenden. Neben einem Netzwerk- kann ein Schwachstellen-Scanner dabei helfen, die verdächtigen Prozesse herauszufiltern und gegebenenfalls rechtzeitig zu melden. Um hierfür kein zusätzliches Personal vorhalten zu müssen, eignen sich insbesondere Lösungen mit automatisierter Meldefunktion.
- Verantwortliche sind nun verpflichtet, datenschutzfreundliche Techniken einzusetzen (»Privacy by Design«). Angebotene Produkte oder Dienstleistungen müssen ebenfalls nach Artikel 25 mit datenschutzfreundlichen Voreinstellungen angeboten werden (»Privacy by Default«). Zudem müssen die Daten in jeder Stufe ihrer Verarbeitung (»Data Lifecycle«) entsprechende Absicherung erfahren. Hierfür sollten Unternehmen Client-, Database-, Mobile- und Wireless-Security-Lösungen für jede Phase des Produkt- und Kundenzyklus implementieren.
Mut zur Compliance – wer richtig anpackt, kann von der Umstellung profitieren. Diese Herausforderungen bedeuten für das Management einerseits, Prozesse im Unternehmen genau zu überprüfen und möglicherweise neue Technologien anzuschaffen. Angesichts der hohen Sanktionen ist es mehr als lohnenswert, rechtzeitig in die Compliance zu investieren und die Richtlinien so strikt wie möglich einzuhalten. Andererseits dürfen jedoch die Bedürfnisse der IT-Abteilung nicht zu kurz kommen: Denn die Einhaltung der strikten DSGVO-Richtlinien sollten nicht zu einer Behinderung der Prozesse führen. Dabei bedarf es eines gewissen Fingerspitzengefühls, um zwischen Juristen auf der einen und IT-Mitarbeitern auf der anderen Seite zu vermitteln.
Darüber hinaus gilt: Die Absicherung der Daten ist kein einmaliges Projekt. Der Rechtsstand kann sich nämlich auch nach Inkrafttreten des Gesetzes – je nach Gerichtsentscheidung – immer wieder erheblich verändern. Die technischen Sicherheitssysteme müssen indes mit den laufenden Updates auf dem neuesten Stand gehalten werden. Doch wer seine Strukturen bis zur Wirksamkeit der DSGVO sturmfest gemacht hat, wird auch hier wenig zu befürchten haben. Vielmehr können Verantwortliche das Gesetz, ähnlich der Umstellung im Zuge des Millennium-Bug, sogar als eine Chance sehen: Denn es bietet die Gelegenheit, überholte IT-Strukturen grundlegend zu erneuern und damit die eigene Wettbewerbsfähigkeit zu behaupten.
Einen gelungenen Überblick und weiterführende Informationen über die DSGVO bietet das Whitepaper der Hamburger -Datenschutzkanzlei »Das neue Datenschutzrecht – 55 Antworten zur Datenschutz-Grundverordnung«, welches zum kostenfreien Download bereitsteht:
Helge Scherff,
Regional Vice President Central,
NUVIAS Group