20.05.2020
Veritas
Zwei Jahre Datenschutz-Grundverordnung (DSGVO)
Autor: Bernhard Lauer
peterschreiber.media / shutterstock.com
Bußgelder in Höhe von 25 Millionen Euro und mehr als 21.000 gemeldete Datenpannen in Deutschland zeigen: Firmen tun sich schwer, ihre Daten richtig zu managen und zu schützen.
DSGVO) zum zweiten Mal. Die Regelung hat den Datenschutz der Bürger massiv modernisiert und an die Bedingungen der globalen digitalen Wirtschaft angepasst. Die eingeführten Privilegien verlangen von Firmen unter anderem, private Daten stärker zu schützen, fristgerecht zu löschen und Datenpannen zu melden.
Am 25. Mai jährt sich die Einführung der Datenschutz-Grundverordnung (Mindestens 234 Unternehmen haben gegen die DSGVO derart massiv verstoßen, dass die Datenschutzbehörden in Europa ihnen Bußgelder in Höhe von mehr als 467 Millionen Euro auferlegten. In Deutschland wurden im vergangenen Jahr allein 187 Bußgelder verhängt, die Strafen belaufen sich auf mehr als 25 Millionen Euro, wie das Handelsblatt schreibt. Die Regelung fordert von Firmen auch, Datenpannen an die Behörden zu melden. Seit Mai 2018 gab es mehr als 21.000 dieser Vorfälle hierzulande. Die Dunkelziffer mag um ein Vielfaches höher sein, da vermutlich nicht jeder den Meldepflichten nachkommt und Vorfälle vielleicht lieber verschweigt. Die Ereignisse legen offen, dass einige Firmen überfordert sind, ihre Daten umfassend zu managen und besonders den Zugriff auf persönliche Daten strenger zu kontrollieren. Die internen Prozesse sind dann zu lückenhaft und die Verantwortlichen übersehen wichtige Datenquellen, in denen personenbezogene Daten liegen könnten.
In den letzten zwei Jahren haben die Compliance-Spezialisten bei Veritas miterlebt, welche typischen Fehler Firmen im Bereich des Datenmanagements machen und wie erfolgreiche Firmen vorgehen. Andere Unternehmen können aus den Fehlern und Stärken der Compliance-Projekte lernen und in ihre eigene Umgebung übertragen. Nur wenn ein Unternehmen alle seine Daten kennt, sie schützt und den Zugriff darauf streng regelt, wird es von dieser Compliance-Aufgabe nicht überfordert.
1. Falsches Verständnis von Compliance
Die IT-Abteilung ist in der Praxis oft eine der ersten, die mit den neuen Anforderungen aus der DSGVO wie dem fristgerechten Löschen oder der Auskunftspflicht konfrontiert wird. Dadurch wurden Compliance-Projekte stark technisch interpretiert und rein technische Lösungen gefunden. Dabei ist Compliance eine klar rechtliche Aufgabe, bei der Technik, Prozesse, Risiken und Mitarbeiter eng zusammenspielen müssen und sich gegenseitig abstimmen sollten. Bei erfolgreichen Projekten wurden alle Beteiligten wie die Rechtsabteilung, der Datenschutzbeauftragte, die IT und die Geschäftsführung zusammengebracht. Auf diese Weise haben alle wichtigen Beteiligten das gleiche Verständnis der Compliance gewonnen und mögliche Risiken gemeinsam eingeschätzt.
2. Fehlender Management-Support
Compliance-Projekte stehen stark mit Kundendaten im Zusammenhang und wirken sich so direkt auf Abläufe aus, mit denen ein Unternehmen Geld verdient. Blieb die Verantwortung für solche Projekte auf IT-Ebene, wurden den Teams oft zu wenig Budget, Zeit und Mannstunden zugesprochen. Es ist entscheidend, der Führungsebene klar die Risiken aufzuzeigen und den hohen finanziellen und nachhaltigen Reputationsschaden zu verdeutlichen. Wer mit den Daten seiner Kunden fahrlässig umgeht, verliert ihr Vertrauen und den Umsatz. Das Management eines Unternehmens sollte die strategische Bedeutung eines solchen Projekts sehen und ihm entsprechend Interesse, Zeit und Ressourcen einräumen.
3. WORM ist nicht gleich Compliance
Der Begriff WORM oder "Write once, read many" beschreibt Speicher, auf denen Daten per se unveränderlich abgelegt werden. Leider irren immer noch Unternehmen, dass sie mit dieser technischen Insellösung Revisionssicherheit (fälschlich auch "Rechtssicherheit") erreicht hätten, wie der größte DSGVO-Fall gegen die Immobilienfirma Deutsche Wohnen zeigt. Die Firma war nicht in der Lage, personenbezogene Daten im Einklang mit der DSGVO nach Ablauf des Zwecks automatisch zu löschen.
Firmen sollten bei personenbezogenen Daten daher alle Verfahren beschreiben, die mit diesen Daten hantieren und sie detailliert dokumentieren. Dazu gehört, die Zugriffe der Mitarbeiter auf die Daten zu beschränken und in Audit-Logs genau nachzuvollziehen. Die Rechte selbst sollten in einem Rollenkonzept klar definiert und ebenfalls dokumentiert sein. Ebenso wichtig ist es, nach Ablauf des dokumentierten Zwecks personenbezogene Daten automatisch zu löschen. Und zwar nicht nur in den Archiven, sondern auch in anderen Datenquellen, in denen sie abgelegt sind. Diese Aufgabe lässt sich klug und effizient mit einem umfassenden Datenmanagement lösen, das personenbezogene Daten automatisch und treffsicher in allen Speicherorten erkennt.
4. Das falsche Maß anlegen
Die Aufgabe, DSGVO-konform zu werden, wirkt groß und hat zu zwei typischen Reaktionen geführt. Die Zuständigen wurden vom Ausmaß der Aufgabe überwältigt und schoben das Compliance Projekt auf die lange Bank. Sie sind also das Risiko bewusst eingegangen, gegen Vorgaben zu verstoßen. Andere Firmen haben sich auf das absolute Minimum aus den Vorgaben und Pflichtenheften beschränkt und nur diese technischen Minimal-Maßnahmen umgesetzt. Beim Testen und in der Praxis stellte sich dann schnell heraus, dass ihr Ansatz zu viele Lücken ließ und sie das ganze Projekt neu konzipieren mussten.
Die besten Ergebnisse erzielten Firmen, die ihr Projekt nach einem klaren Prozess und definierten Plan vorantrieben, der die internen Abläufe und Daten in einer Istaufnahme erfasste. Daraus wurde ein Sollzustand definiert und gemeinsam mit allen Beteiligten wie der Rechtsabteilung, den Datenschutzbeauftragten, der IT und der Geschäftsführung ein pragmatischer Anforderungskatalog mit klaren Zielen und Zwischenschritten definiert.
"Als Bürger der Europäischen Union profitieren wir vom modernsten Datenschutz der digitalen Welt. Verbraucher interessieren sich längst viel stärker dafür, wie Firmen ihre Daten nutzen und speichern. Wer wie jüngst ein Anbieter von Videokonferenzsystemen Daten zu aggressiv sammelt oder wie eines der 25 Unternehmen in Deutschland gegen Compliance-Vorgaben verstößt, schadet seiner Reputation und verliert das Vertrauen der Verbraucher – und riskiert Bußgelder. Firmen allerdings, die Compliance nicht als reine Tick-the-box-Übung verstanden haben, konnten von positiven Nebeneffekten ihrer Datenmanagementprojekte profitieren. Sie waren in der Lage, den Inhalt und damit den Wert ihrer Daten besser zu verstehen und den Schutz ihrer sensibelsten Daten zu stärken. Sie haben ebenso unnütze Dokumente und Files als solche erkannt, von ihren Speichern gelöscht und so Kosten gesenkt,"sagt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR, bei Veritas Technologies.
Untersuchung
Amerikaner sehen KI als Risiko für Wahlen
Die Unterscheidung zwischen echten Infos und KI-Inhalten fällt vielen politisch interessierten US-Amerikanern schwer, wie eine Studie des Polarization Research Lab zeigt.
>>
Roadmap
Estos bringt neue Services und Produkte
Der Software-Hersteller feilt an seinem Partnerprogramm, hat Schlüsselpositionen neu besetzt und kündigt eine ganze Reihe neuer Produkte und Services an. Das ist die Estos-Roadmap bis Ende des Jahres.
>>
Mit KI
Enreach Open Air Partner-Event 2024 in Dortmund
Der Hersteller Enreach lädt Partner am 5. Juni an seinen Firmensitz ein, um mit Ihnen über smarte Sprachassistenten, Conversational AI und weitere Kommunikationslösungen zu diskutieren.
>>
Sponsored Post
Passwörter - versteckte Kostenfalle für Unternehmen?
Passwörter spielen für die Sicherheit vieler Unternehmen eine wichtige Rolle. Allerdings können sie auch einen erheblichen Kostenpunkt darstellen. Von unzähligen Stunden, die Ihr Service Desk mit Passwort-Resets und dem Entsperren von Konten verbringt, bis hin zu den enormen Kosten, die durch Cyberangriffe entstehen - Kurzum: Passwörter kosten Ihrem Unternehmen Geld.
>>