Zukunft Industrien

Neue EU-Datenschutzgrundverordnung – möglichen Strafzahlungen vorbeugen

Eine neue europäische Datenschutzverordnung, die das Datenschutzrecht aller EU-Mitgliedsstaaten harmonisiert, tritt im Mai 2018 in Kraft: die Datenschutzgrundverordnung („DS-GVO“ oder englisch „General Data Protection Regulation“). Die Vorschriften sind im Vergleich zum bisher geltenden deutschen Bundesdatenschutzgesetz strenger und Strafzahlungen bei Verstößen weit höher. Problematisch ist, dass sich über die Hälfte aller deutschen Unternehmen laut aktuellen Studien nicht ausreichend vorbereitet fühlt. Fünf Tipps, um sich für die neue Datenschutzverordnung zu rüsten:

1.Stammdatenverwaltung auf den neuesten Stand bringen

Die Verarbeitung von personenbezogenen Daten muss rechtmäßig sein. Eine Möglichkeit ist beispielsweise die freiwillige und unmissverständliche Einwilligung der betroffenen Personen in die konkrete Verarbeitung ihrer Daten (Opt-in). Jedoch kann diese Einwilligung jederzeit widerrufen werden – die Verarbeitung der Daten muss daraufhin eingestellt werden. Oder die Löschung aller Daten wird verlangt. Auch hier müssen Unternehmen unverzüglich reagieren und die personenbezogenen Daten löschen: Es greift das sogenannte „Recht auf Vergessenwerden“. Liegen inkorrekte Daten einer Person vor, kann ebenso verlangt werden, diese zu korrigieren. Doch wie stellen Unternehmen diese Betroffenenrechte sicher?

Hier sind eine solide Stammdatenverwaltung und ein leistungsfähiges Master-Data-Management-System (MDM) gefragt. Diese können dabei unterstützen, dass Unternehmen Informationen zu derselben Person in so unterschiedlichen Systemen wie CRM, ECM und ERP konsolidiert betrachten können. Erst wenn sich Stamm- und Bewegungsdaten unkompliziert zusammenführen lassen, lassen sie sich auch zuverlässig und über alle Teilsysteme hinweg bearbeiten und bei Bedarf löschen oder berichtigen. Bevor die DS-GVO in Kraft tritt, sollten Unternehmen evaluieren, welche Information sie über eine Person wo in der Systemlandschaft gespeichert haben. Ein State-of-the-Art MDM-System kann hierzu wichtige Hilfe leisten. Mit der Verwaltung dieser strukturierten Daten ist es allerdings nicht getan. Deshalb:

2.Software einführen, die auch unstrukturierte Daten findet

Mit der Konsolidierung mehrerer Datenbanken durch zentrales Master-Data-Management allein sind Unternehmen noch nicht auf der sicheren Seite. Die DS-GVO verlangt auch, dass ein Unternehmen auf Verlangen der betroffenen Person deren personenbezogene Daten löscht. Dies kann auch Dokumente betreffen – etwa E-Mail oder Office-Dateien – die unter Umständen schon seit Jahren auf dem Laptop eines Vertriebsmitarbeiters oder irgendwo auf den Fileservern des Unternehmens liegen. Man spricht hier von unstrukturierten Daten, die gängige Data-Management-Systeme in der Regel nicht identifizieren können, weil sie nicht Bestandteil einer Datenbank sind.

Was also tun? Eine Softwarelösung finden, die dabei unterstützt, diese Datenbestände des Unternehmens auf spezifische Datensätze zu durchforsten. IBM bietet dafür die StoredIQ-Suite an, die dank einer leistungsstarken Suchfunktion dabei unterstützt, alle Dokumente zu finden, in denen sich die relevanten Daten befinden. Verlangt eine betroffene Person die Löschung ihrer Daten, kann diese Lösung das Unternehmen dabei unterstützen, die relevanten Dokumente zu finden. Wenn Betriebe auf solche Lösungen verzichten, dann riskieren sie Dark Data. Das sind zum Teil uralte Daten, die niemand mehr im Blick hat und die deshalb zum DS-GVO-Stolperstein werden können.

3.Software integrieren, die Datendiebstahl sofort erkennt

Vor Kurzem ging ein Hackerangriff auf ein großes US-amerikanisches Internetunternehmen durch die Medien. Der Angriff erfolgte bereits 2014. Doch erst zwei Jahre später hat das Unternehmen die 500 Millionen Nutzer darüber informiert, dass ihre Namen, E-Mail-Adressen und Geburtsdaten von diesem Angriff betroffen waren. Laut DS-GVO muss über Verletzungen des Schutzes personenbezogener Daten unverzüglich, möglichst innerhalb von 72 Stunden, nach Bekanntwerden eines solchen Angriffs die Aufsichtsbehörde und gegebenenfalls auch die betroffenen Personen informiert werden.

Was bedeutet das für Betriebe? Dass sie ab Mai 2018 ein Software-Instrument im Einsatz haben sollten, das dabei unterstützt, solche Verletzungen, z.B. durch Datendiebstahl, sofort zu erkennen. IBM unterstützt Unternehmen mit Lösungen für Datensicherheit dabei, die Unregelmäßigkeiten sofort zu identifizieren. Neben einem umfassenden Rechtemanagement protokollieren die Werkzeuge auf Wunsch auch jeden Datenbank-Zugriff.

picintext-datenschutzgrundverordnung

Unternehmen sollten ein Software-Instrument im Einsatz haben, das Datendiebstahl sofort erkennt.

4.Unerlaubten Datenfluss unterbinden, Zweckgebundenheit gewährleisten

Ein Auto, das automatisch Daten über den Fahrstil an die Versicherung schickt? Das kann mit Einwilligung der betroffenen Person eine tolle Sache sein und z.B. einen günstigeren Versicherungstarif für diese Person bewirken. Doch es gibt genügend Personen, die einen solchen Datenfluss wie vom Automobil-Unternehmen zum Versicherer nicht wünschen und in eine solche Datennutzung nicht einwilligen. Die Einwilligung ist stets zweckgebunden, d.h. sie muss für die konkreten Verarbeitungszwecke gegeben werden. Eine darüber hinausgehende Nutzung der Daten ist nur in sehr engen Grenzen möglich. Die DS-GVO sieht Strafen für eine unrechtmäßige Verarbeitung, einschließlich einer unrechtmäßigen Übermittlung, vor. Aber das lässt sich verhindern. Zum einen mit einem MDM-System, das dabei unterstützt, die erteilten Verwendungsrechte und die Zweckgebundenheit der personenbezogenen Daten zu sichern: So könnte beispielsweise dem Wunsch eines Mobilfunk-Kunden entsprochen werden, der zwar einem gemeinnützigen Verkehrsprojekt die anonymisierte Nutzung seiner Daten erlaubt, der Nutzung für ein kommerzielles Bonussystem aber widerspricht. Hier kann der Datenhalter die Zweckgebundenheit einhalten, indem er die Zweckbindung in den Stammdaten hinterlegt und prüft. Zum anderen sind aber auch Software-Instrumente erforderlich, mit denen Unternehmen jeden Datenfluss kontrollieren können. Denn mit zunehmender Verflechtung, nimmt auch der Datenaustausch zu.

5. Stellen Sie rechtzeitig einen DS-GVO-Fahrplan auf

Die DS-GVO gilt ab dem 25. Mai 2018. Das ist für eine wasserdichte Vorbereitung in vielen Fällen eine kritisch kurze Zeitspanne. Unternehmen sollten daher einen systematischen Fahrplan zur Umsetzung der neuen gesetzlichen Anforderungen entwickeln. Wie ist der Stand der Technik? Wie verschaffen wir uns einen Überblick über sämtliche IT-Assets? Das sind Fragen, die es am Anfang zu beantworten gilt. Von den Erkenntnissen müssen die Betriebe technische und organisatorische Maßnahmen ableiten und neue Managementprozesse zum Datenschutz etablieren – am besten in enger Zusammenarbeit mit internen Funktionen wie beispielsweise der IT Sicherheit, der Rechts- und Datenschutzabteilung, einschließlich des Datenschutzbeauftragten.

Doch auch der Blick über den Tellerrand ist gefragt. Und zwar in Richtung Cloud-Anbieter und externe Dienstleister. Auch die Lieferanten müssen nämlich auf die neue DS-GVO vorbereitet sein und alle rechtlichen Anforderungen (z.B. Sicherheitsanforderungen) erfüllen.

Ein informativer Event zum Thema findet übrigens am 21. November 2016 in Kelsterbach statt.  

Weiterführende Links:

Wer sich aus erster Hand informieren möchte, findet bei der Europäischen Kommission, Gesetztexte, Hintergründe und Informationen: http://ec.europa.eu/justice/data-protection/index_en.htm

58 Prozent der deutschen Unternehmen glauben laut einer Studie DS-GVO-Anforderungen nicht erfüllen zu können:  http://www.computerwoche.de/a/eu-datenschutz-grundverordnung-zu-streng-fuer-deutsche-unternehmen,3220322

Unstrukturierte Daten identifizieren, StoredIQ hilft: http://www-03.ibm.com/software/products/de/storediq-suite

IBM Security Guardium ist eine umfassende Plattform für die Datensicherheit: http://www-03.ibm.com/software/products/de/category/data-security

Add Comment
No Comments

Leave a Reply

Your email address will not be published.Required fields are marked *

More Zukunft Industrien Stories

Kognitive Technologie: Sichere Landung auf dem kognitiven Planeten

John F. Kennedy setzte alles auf eine Karte: „Noch vor Ablauf der nächsten zehn Jahre solle ein US-Amerikaner den Mond betreten und gesund wieder auf die Erde zurückkehren“. Mit diesen Worten in seiner Grundsatzrede am 25. Mai 1962 setzte der damalige US-amerikanische Präsident nicht nur den Forschern seines Landes ein Ultimatum, er setzte auch seine […]

IT + Wissenschaft = Fortschritt für Patienten

Morbus Parkinson: Eine der häufigsten neurologischen Erkrankungen unserer Gesellschaft. Eine Erkrankung, die Patienten enorm belastet und für die es bis heute keine Heilung gibt. Rund 20.000 Menschen sind in Österreich betroffen, in Deutschland geht man von ca. 250.000 Patienten aus. Und Krebs: Eine der wohl bedrohlichsten und gleichzeitig komplexesten Krankheiten, die die Menschheit kennt. Etwa […]

Information Governance: Aufbruchsstimmung für ein wenig beliebtes Thema

Es klingt nach einem modernen Horrortrip: Die Beschäftigung mit Datenqualität, Datenmanagement und Datenschutzverordnungen, mit Risikomanagement, Klassifizierungen und Datensicherheit. Und doch lohnt es sich, etwas genauer hinzuschauen: Denn der scheinbare Horrortrip „Information Governance“ hat heute mehr denn je das Zeug zum Aufbruch in eine produktivere und erfolgsversprechende Zukunft. Das Managen, Koordinieren und ‚Qualitätssichern’ von Information ist […]