Nach Safe Harbor: So wappnen Sie sich für die Übergangszeit
Nachdem das Safe-Harbor-Abkommen vom Europäischen Gerichtshof gekippt wurde, soll Anfang Juli über das Nachfolgeabkommen, das sogenannte EU-US Privacy Shield, abgestimmt werden. Höchste Zeit für Unternehmen, entsprechend zu handeln, rät Roger Illing, Autor dieses Gastbeitrags für silicon.de.
Internationale Datenschutzbestimmungen sind komplex und können sich stets ändern. Nachdem das Safe-Harbor-Abkommen vom Europäischen Gerichtshof gekippt wurde, halten die Verhandlungen über einen adäquaten Ersatz nach wie vor an. Anfang Juli soll nun über das Nachfolgeabkommen, das sogenannte EU-US Privacy Shield, abgestimmt werden. Viele Unternehmen müssen nun ihre Herangehensweise an das Thema Information Governance überdenken – ohne jedoch konkret zu wissen, welche Vorschriften in Zukunft gelten werden.
Die große Herausforderung ist es, Informationen, die den Datenschutzbestimmungen unterliegen, von nicht-datenschutzrelevanten Informationen zu unterscheiden. Das bedarf der Implementierung einer soliden Information-Governance-Strategie im Unternehmen. Ist diese sachgemäß aufgesetzt und sind Inhalte mit den richtigen Metadaten klassifiziert, können die Verantwortlichen einfacher auf veränderte Anforderungen und Vorschriften reagieren. Beim Implementieren einer Information-Governance-Plattform treten jedoch immer wieder Schwierigkeiten auf. Folgende Punkte gilt es deshalb zu beachten:
1. Das Gesamtbild betrachten
Wer sich nur auf ein System wie E-Mail oder Filesharing konzentriert, wird scheitern. Es gilt in die Überlegungen sämtliche Informationen und Touchpoints einzubeziehen, über die Daten in das Unternehmen hinein oder heraus gelangen.
2. Zusammenarbeit forcieren
Die Akteure aus Business und IT müssen bei der Strategieimplementierung zwingend an einem Strang ziehen. Nur so ist es möglich, neue Regularien zu adressieren, ohne die Produktivität des Betriebs zu behindern.
3. Flexibilität einplanen
Gesetze und Verordnungen ändern sich ständig. Die Information-Governance-Strategie sollte deshalb sowohl im Hinblick auf die zugrundeliegenden Policies als auch das Datenmodell selbst flexibel sein. Ist Letzteres nicht anpassungsfähig, kann das Unternehmen zwar seine Policies angleichen. Es stünde jedoch vor der Herkulesaufgabe, Terabyte vorhandener Daten aufgrund der geänderten Vorschriften neu einstufen zu müssen.
Darüber hinaus müssen Unternehmen Cloud-basierte Dienste, die immer stärker Verbreitung finden, in ihre Planung einbeziehen. Erst dann können sie sich konform zu den Datenschutzgesetzen aufstellen. Die Auswahl eines Cloud-Anbieters wird nämlich nicht länger nur von Kriterien wie Funktionalität oder dem Preis bestimmt. Auch der Datenschutz ist zu einem wichtigen Aspekt avanciert. Vor allem weil Consumer-Anwendungen in den letzten Jahren häufig Arbeitsplätze erobert haben – insbesondere Cloud-basierte Services. Das macht es für Unternehmen ungleich schwieriger, Datenschutzvorgaben einzuhalten.
Bei der Auswahl des Cloud-Anbieters sollten Business- und IT-Profis deshalb genau darauf achten, dass dieser die Anforderungen hinsichtlich des Datenschutzes erfüllt. Nachdem die Situation in Europa aktuell unklar ist, gilt umso mehr: Unternehmen müssen sicherstellen, dass ihr Cloud-Anbieter gängige Sicherheitsverfahren und -protokolle einhält. Nur so können sie alle Kundendaten schützen und Konformität mit aktuellen und zukünftigen EU-Datenschutzanforderungen gewährleisten.
Oft bieten sich deshalb Provider an, die über eigene europäische Datenzonen verfügen. Das bedeutet, dass hier eine komplette Netzwerktrennung auf allen Hardware- und Zugriffsebenen vorliegt. Wie auch immer die finale Entscheidung aussieht: Eine sichere und weltweite Informationsmanagement-Strategie muss den Eckpfeiler für die Cloud-Einführung darstellen.
Fest steht, dass es Zeit zu handeln ist. Wer das versäumt, das Problem auf die lange Bank schiebt oder sich dem Thema auf zu vielen Ebenen nähert, muss mit Strafen und Bußgeldern rechnen. Auch bedeuten die meisten Vorschriften nicht, eine Vielzahl neuer Funktionen implementieren zu müssen. Stattdessen geht es für Unternehmen darum, eine umfassende Information-Governance-Strategie aufzusetzen. Sie hilft dabei, Daten im Blick zu halten und Compliance mit der sich ändernden Vorschriftenlage herzustellen.