Categories: DataStorage

DSGVO: Droht ein neues Millennium-Problem?

Das Millennium-Problem ist den meisten IT-lern noch in Erinnerung. Können ihre Systeme auch mit einer vierstelligen Jahreszahl umgehen? Die Antwort gab der Neujahrsmorgen: Die meisten Systeme liefen reibungslos. Der IT-Gau trat nicht ein, was zuletzt auch daran lag, dass Soft- und Hardware im Vorfeld ausgiebig getestet wurden.

Eine ähnliche Frage stellt sich bald neu – mit der Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt. Auch hier ist eine Debatte darüber entfacht worden, welche Konsequenzen die Regularien haben werden und welche Kosten auf Unternehmen zukommen könnten.

Bei genauerer Betrachtung wird aber klar, dass es diesmal wohl nicht so glimpflich ablaufen könnte. Die neuen Regelungen sind umfangreich, bei Verstößen gegen die Kernprinzipien drohen Strafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Verwunderlich ist, dass sich Unternehmen scheinbar weniger akribisch auf diese Änderungen vorbereiten als einst 1999.

Die Ergebnisse einer neuen Veritas-Studie (PDF) bestätigen das: 54 Prozent haben noch keine Vorbereitungen auf die DSGVO getroffen. Gartner haut in dieselbe Kerbe: Den Analysten zufolge werden 50 Prozent der Unternehmen bis zum Jahresende 2018 noch keine Compliance sichergestellt haben.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Woher kommt dieses Zögern? Hier spielen zwei Faktoren eine entscheidende Rolle: Der 1. Januar 2000 war ein fester Stichtag – Unternehmen wussten, was auf sie wartet und wo das Problem liegt. Mit der DSGVO hingegen ist unklar, wie streng die neuen Gesetze in der Praxis umgesetzt werden. Die Strafen auf dem Papier scheinen drastisch zu sein. Es fehlen aber die Belege aus der Praxis – und damit die Grundlage, das wirkliche Risiko einzuschätzen.

Bei der Vorbereitung auf die DSGVO müssen Unternehmen fünf wichtige Punkte beachten:

  1. Unabhängig vom Firmensitz oder dem Speicherort der Daten: Haben Unternehmen personenbezogene Informationen von EU-Bürgern gespeichert, müssen sie eine DSGVO-Compliance vorweisen.
  2. Organisationen haften für persönliche Daten. Sie sind deshalb dazu verpflichtet, grundlegende Governance-Prozesse für den sachgemäßen Umgang mit Informationen zu implementieren.
  3. Laut den neuen Bestimmungen haben Kunden ein “Recht darauf, vergessen zu werden”. Das heißt: Auf Anfrage müssen persönliche Daten gelöscht werden. Eine Ausnahme besteht nur bei einem triftigen Grund, nämlich wenn bewiesen wurde, dass die Daten auch weiterhin zu ihrem ursprünglichen Zweck benötigt werden. Voraussetzung für das Löschen ist allerdings, die entsprechenden Informationen erst einmal finden zu können.
  4. Personenbezogene Daten dürfen nicht länger vorgehalten werden, als unbedingt notwendig.
  5. Ein Datenleck, bei dem personenbezogenen Daten abfließen, muss innerhalb von 72 Stunden an die Aufsichtsbehörde und allen betroffenen Individuen gemeldet werden.

Wie genau stellen Unternehmen eine DSGVO-Compliance her? Dazu müssen fünf Kernfunktionen müssen abgehakt werden:

  1. Lokalisieren: Zunächst müssen Unternehmen in einer Art Datenlandkarte einen Überblick darüber gewinnen, wo personenbezogene Daten abgelegt sind. Das gilt insbesondere für Umgebungen, in denen die Daten auf verschiedenen Standorten und in der Cloud verteilt wurden.
  2. Suchen: EU-Bürger können einen Einblick in und/oder die Herausgabe von über sie gespeicherte Daten verlangen. Unternehmen müssen diese Anfordrung zeitnah erfüllen können. Ein Prozess und Software, mit denen sich diese Daten schnell auffinden und bei Bedarf löschen lassen, helfen dabei.
  3. Minimieren: Die DSGVO regelt, dass Firmen personenbezogene Daten nur zweckgebunden, also nur für eine bestimmte Frist speichern dürfen. Deshalb sollte jede Datei mit einem Verfallsdatum versehen und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.
  4. Schützen: Es sollte selbstverständlich sein, personenbezogene Daten sorgsam zu sichern. Unternehmen müssen Maßnahmen ergreifen, um Angreifer von außen und innen abzuwehren. Bei einem Datenleck sind Firmen verpflichtet, es innerhalb von 72 Stunden zu melden.
  5. Überwachen: Bevor ein Datenleck gemeldet werden kann muss klar sein, dass es existiert. Es ist wichtig, verlorene Daten schnell und eindeutig zu identifizieren. Eine Software für ein umfassendes Datenmanagement, das die komplexe Speicherinfrastruktur ständig auf Unregelmäßigkeiten überprüft, unterstützt dieses Vorhaben.
Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Redaktion

Recent Posts

Cloud-Beschleuniger Covid

Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…

4 Jahre ago

Trends 2021 – Vier Entwicklungen bei (Graph)Datenbanken und Datenanalyse

Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…

4 Jahre ago

Ein globales digitales Identitätssystem muss Vertrauen und Transparenz schaffen

Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…

4 Jahre ago

Nachhaltigkeit wird zu einem der Schlüsselkriterien in der Tech-Industrie

Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…

4 Jahre ago

Chief Data Officer: Garanten für eine stärkere Datennutzung in Unternehmen

Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…

4 Jahre ago

Ethik, Regulierungen, Cloud: Der Nebel lichtet sich

COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…

4 Jahre ago