Die EU regelt den Datenschutz für EU-Bürger in der Datenschutz-Grundverordnung (DSGVO). Die Regelungen sind bereits offiziell in Kraft, und müssen bis Mai 2018 umgesetzt werden. Wir fassen in diesem Beitrag nochmal alle Fakten zusammen, die Unternehmen wissen und beachten müssen. Update: Nun mit den Ergebnissen unserer DSGVO-Umfrage.
Karl Fröhlich und Engelbert Hörmannsdorfer
Das erwarten Unternehmen, was sie für die DSGVO umsetzen sollten (Grafik: Bitkom).Die EU-Richtlinien katapultieren den Datenschutz in die Zeit von Cloud-Computing und Big Data und wollen sicherstellen, dass der Datenschutz als fundamentales Grundrecht in ganz Europa einheitlich geregelt ist. Jedes Unternehmen, das Kundenbeziehungen in Europa unterhält und im Zuge dessen Käuferdaten sammelt, muss sich an die Datenschutz-Grundverordnung (DSGVO) halten. Dies gilt auch für Firmen, die ihren Sitz außerhalb Europas haben und ihre Daten außerhalb europäischer Grenzen verwalten.
Die wachsende Menge personenbezogener Daten und ihre vielfältige Nutzung stellen deutlich höhere Anforderungen an die Datenarchitektur und alle datenbezogenen Prozesse. Die Gewährleistung der DSGVO-Compliance sollte für Unternehmen mehr sein als nur lästige Pflicht mit Blick auf den Datenschutz. Transparente personenbezogene Daten sollen die Automatisierung von Geschäftsprozessen erleichtern. Laut den Marktforschern von IDC treibt dies die Digitalisierung voran. Unternehmen, die diesen Schritt bereits vollzogen haben, verschaffen sich durchaus Vorteile im Wettbewerb mit anderen.
Wann tritt die DSGVO in Kraft?
Die EU-DSGVO ist bereits am 25. Mai 2016 in Kraft getreten. Ab dem 25. Mai 2018 kommt das Gesetz auch zur Anwendung, bis dahin galt eine zweijährige Übergangsfrist. Die Einhaltung überprüft die EU-Datenschutzaufsichtsbehörden und Gerichte bzw. in Deutschland die Bundesländer, die aktuell die nötigen Strukturen aufbauen.
Die DSGVO ersetzt in Deutschland das bisherige Bundesdatenschutzgesetz (BDSG) aus dem Jahr 1995, welches aus heutigen Gesichtspunkten vollkommen veraltet war. Bekannte Firmen mit digitalen Geschäftsmodellen wie Dropbox, Google, Instagram, Twitter, WhatsApp, Xing oder Zalando wurden alle nach 1995 gegründet und wurden vom BDSG überhaupt nicht berücksichtig.
Hautpanforderungen der DSGVO
Die Hautpanforderungen der DSVGO gliedern sich in vier Handlungsfelder (Grafik: IDC).Die Hautpanforderungen der DSGVO gliedern sich in vier Handlungsfelder. Organisation: Alle Firmen ab zehn Mitarbeitern benötigen einen Datenschutzbeauftragten. Dies kann sowohl ein entsprechend qualifizierter Mitarbeiter sein, oder ein externer Dienstleister. Seminare zum Datenschutzbeauftragten dauern in der Regel drei bis fünf Tage und kosten rund 2.000 Euro.
Prozesse: Hier ist die wichtigste Anforderung, dass innerhalb von 72 Stunden nachdem eine Datenschutzverletzung festgestellt wurde, die zuständige Aufsichtsbehörde informiert werden muss sowie die Betroffenen, wenn sie »voraussichtlich« zu einem »hohen Risiko« führt.
Die Technologie soll dem Stand der Technik entsprechen. Dies ist zwar sehr weich formuliert, die Verordnung soll aber auch noch in zehn Jahren Bestand haben. Alle künftigen Entwicklungen, sind hier bereits subsummiert. Stand der Technik bedeutet auch, Technik die am Markt verfügbar, sich in der Praxis bewährt hat und auch erschwinglich ist.
Recht: Der Anwendungsbereich der Verordnung betrifft alle EU-Bürger und Firmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dabei ist der Aufenthalt in der EU ausreichend. Touristen und Geschäftsleute kommen ebenfalls in den »Genuss« der DSGVO, wenn in Deutschland (oder der EU) ansässige Unternehmen, ihre Daten verarbeiten. Die Nutzer müssen ihre Einwilligung für den jeweiligen Verwendungszweck geben, können dies Widerrufen und haben ein Recht auf Vergessenwerden.
Strafen – waren früher eher »kleinere Strafzettel«
Ein Verstoß gegen DSGVO-Bestimmungen durch ein Unternehmen kann zu Geldstrafen und strafrechtlicher Verfolgung führen. Es ist das erste EU-Gesetz, das sich mit Datenschutz befasst. Die Strafen bei Verstößen sind drakonisch: bis zu vier Prozent eines Unternehmensjahresumsatzes, oder 20 Millionen Euro.
»Früher waren die Strafen eher kleinere Strafzettel, da lohnte es sich nicht, deswegen in neue Technologien zu investieren«, meint IDC-Analystin Carla Arend. Aber das sei nun anders: Vier Prozent vom Umsatz – da rentiert sich ein Investment in neue Technologien.
»Es ist auch für Unternehmen die Chance, sich nun endlich strategisch neu aufzustellen«, weist Arendt den Weg in die Zukunft. In diesem Zusammenhang erwartet sie eine Renaissance von Disziplinen wie Information-Lifecycle-Management (ILM) und Information-Governance. Die mögliche Strafhöhe gibt dem Thema Datenschutz auf Management-Ebene mehr Gewicht, denn – wie bereits erwähnt – das Brechen mit den DSGVO-Auflagen könnte teuer werden.
DSGVO treibt Investitionen in Technologie
Die Umstellung der IT-Systeme ist für Unternehmen die größte Herausforderung. Denn es ist klar, der effiziente Schutz personenbezogener Daten ist ohne Informationstechnologie nicht realisierbar. »Die DSGVO fordert den Einsatz von State-of-the-Art-Technologie«, sagt Matthias Zacher, Manager Research & Consulting bei IDC. »Next-Gen-Security-Lösungen wie Breach und Leakage-Detection, Intrusion-Detection und Threat-Intelligence sind wertvolle Tools, um Datenlecks möglichst schnell aufzudecken. Diese sind jedoch in der Fläche noch nicht umfassend im Einsatz. Hier sehen wir dringenden Handlungsbedarf.«
Der Anpassung der IT-Systeme kommt eine zentrale Rolle zu, gleichzeitig wird sie von jedem Fünften als größte Herausforderung empfunden. Nach IDC Einschätzungen sind Investitionen in den meisten Fällen erforderlich, besonderen Handlungsbedarf besteht im Hinblick auf IT-Security. Grundlegende Anforderungen sind hierbei der sichere Betrieb der IT, ihre permanente Überwachung in Echtzeit und Maßnahmen als Reaktion auf Auffälligkeiten im System. Ein besonderes Augenmerk wird dabei auf Cyber-Security fallen, denn Sicherheitsrisiken und Angriffsszenarien auf personenbezogene Daten lassen sich nur mit moderner Technologie effizient abwehren. Dem Erkennen und Beseitigen von Datenlecks sowie dem Aufspüren und Bekämpfen von Sicherheitsverletzungen kommt dabei eine zentrale Bedeutung zu.
Datenlecks vermeiden und rechtzeitig erkennen
Der ungewollte Abfluss von personenbezogenen Daten muss zwingend verhindert werden (Data-Loss-Prevention). Das heißt, es gilt umfassende Schutzmechanismen einzubauen. Dies sind unter anderem die Vergabe von Zugriffsrechte nur an relevante Personen sowie der Entzug von nicht mehr benötigten Zugriffsrechten. Eine unkontrollierte Vervielfältigung der Daten sollte ebenfalls nicht möglich sein. Dazu gehört das Kopieren von vertraulichen Daten in andere Dateien sowie das Versenden vertraulicher Daten per E-Mail.
Letztendlich sind es meist Mitarbeiter, die unachtsam mit den Daten umgehen und diese leichtsinnig weitergeben und in vielen Firmen den größten Schaden anrichten. »Verantwortliche, die keine moderne Lösungen einsetzen und somit das State-of-the-rt-Prinzip nicht erfüllen, müssen dies künftig gut begründen können«, erklärt IDC-Manager Zacher. »Denn die DSGVO fordert eindeutig, dass Technologien, die dem Stand der Technik entsprechen bei der Auswahl berücksichtigt werden. Dabei liegt es auf der Hand, dass Unternehmen gegenüber Partnern, Kunden und Aufsichtsbehörden in Erklärungsnot kommen, wenn Mechanismen zur Vermeidung und Erkennung von Datenlecks nicht vorhanden oder veraltet sind und die Datentransparenz nicht gewährleistet ist.« Aus diesem Grund müsse die gesamte Informationstechnologie und auch Partner, die personenbezogene Daten verarbeiten, auf ihre Datensicherheit geprüft werden.
Das Recht auf Vergessen
Jede Firma, die mit personenbezogenen Daten von in der EU ansässigen Personen arbeitet, ist wie gesagt verpflichtet, ihre Informationsmanagement-Prozesse eingehend zu überprüfen. Dazu gehören künftig auch neue Grundsätze wie »das Recht auf Vergessen« und Meldepflichten. So muss ein Unternehmen, unter Umständen persönliche Daten innerhalb einer Frist löschen, wenn ein Nutzer dies fordert. Auch müssen von einer Datenschutzverletzung betroffene Personen unverzüglich darüber informiert werden, wenn ihre persönliche Daten in falsche Hände gelangten und dies eine ernsthafte Bedrohung ihrer Rechte und Freiheiten darstellt.
Das Problem: Die meisten Unternehmen kennen bei mehr als der Hälfte ihrer gespeicherten Daten den genauen Inhalt nicht. Die Branche spricht hier auch von »Dark Data«, also Daten, deren Inhalt dem Besitzer unbekannt ist. Dieser Mangel an Transparenz macht es für Unternehmen schwierig, einfach und schnell die richtigen Daten zu finden.
Zu viele Unternehmensdaten sind außerhalb der Firewall
Im Wesentlichen geht es bei der DSGVO um die Regeln, die Unternehmen befolgen müssen, um sicherzustellen, dass persönlich identifizierbare Informationen (PII) in gutem Glauben geschützt werden. Mit heutigen Compliance-Tools ist es bisher fast nicht möglich festzustellen, wer wann etwas wusste, vor allem mit Hinblick auf die vielen mobilen Geräte. Verlangt ein Kunde beispielsweise die Löschung seiner Daten, ist die Chance groß, dass diese trotzdem auf einem Tablet, Smartphone oder Außendienst-Notebook noch vorhanden bleiben.
Für viele Unternehmen existieren Daten über die geschäftlichen Aktivitäten hinaus und innerhalb verschiedener IT-Ressourcen. Experten gehen davon aus, dass rund 40 Prozent der Unternehmensdaten heutzutage nicht die zentralen IT-Plattformen erreichen. Das heißt, sie befinden sich nicht hinter der Unternehmens-Firewall. Um den DSGVO-Anforderungen gerecht zu werden, steht Firmen eine große Aufgabe bevor.
Wie sich bereits jetzt zeigt, war die Übergangsfrist für viele zu kurz. Was aber vor allem daran liegt, viele Firmen die DSVGO nicht ernst genommen haben. Einer IDC-Umfrage zufolge sind deutschlandweit 44 Prozent der befragten Unternehmen noch keine Maßnahmen ergriffen. Lesen Sie mehr in unserem Beitrag »Deutsche Firmen nicht auf die DSGVO vorbereitet«.
DSGVO – eine Herausforderung für Administratoren
► Unstrukturierte Daten einsehen – Um das Risiko eines Rechtsbruchs zu senken, sollten Firmen nach Meinung von Veritas im ersten Schritt die Inhalte ihre Daten nachvollziehen können. Dies gilt insbesondere in fragmentierten Umgebungen, in denen die Daten neben dem Firmennetz auch auf Cloud-Infrastrukturen abgelegt sind – das sogenannte »Dark Data« sollte beleuchtet werden.
► Data-Governance überwachen und durchsetzen – Unternehmen sollten nachvollziehen können, welcher Anwender auf persönlichen Daten im Firmennetz zugreifen kann und wer dafür autorisiert ist. Administratoren sollten sich darüber im Klaren sein, dass dies in stark fragmentierten Speicherumgebungen – bestehend aus Servern, cloudbasierten Services, Backup-Files von mobilen Geräten und Archiven – schwierig zu erreichen ist.
► Daten automatisch klassifizieren – Bei der DSGVO ist es wichtig zu wissen, wo persönliche Daten gespeichert sind. Das gilt insbesondere bei unstrukturierten Dateiformaten wie Excel-Tabellen, Präsentationen und Tabellenkalkulationen. Dies ist kritisch, um solche Daten angemessen zu schützen und auch der Aufforderung nachkommen zu können, persönliche Daten auf Wunsch zu löschen. Hier könnten automatische Klassifizierungssysteme helfen. Sie bewerten automatisch den Inhalt aus E-Mails, Ordnern, Sharepoint, Instant-Messaging sowie anderen sozialen Kanälen. Anwender, die in ihren Archiven bereits PBytes an Daten abgelegt haben, sollen damit ihre Dateien neu bewerten können.
► Das Recht, vergessen zu werden – Es ist eine der wesentlichen Philosophien der DSGVO. Klingt simpel, wird aber heutzutage nur rudimentär umgesetzt. Kunden, oder auch (potenzielle) Mitarbeiter haben aber zukünftig das Recht, dass persönliche Daten über sie gelöscht werden, wenn eine Geschäftsbeziehung beendet wurde. Oder wenn eine Kundenbeziehung nicht zustande kam, oder Kunden umziehen, oder sie einen Service nicht mehr nutzen wollen. Unternehmen sollten deshalb zeitgerecht ihre eigenen Datenarchivierungsprozesse anpassen, um diese Aufgabe zu erleichtern. Unternehmen in regulierten Branchen müssen möglicherweise Kundendaten jahrelang aufbewahren, auch wenn der Kunde dort keine Waren mehr kauft oder die Dienstleistungen nicht mehr in Anspruch nimmt. Bei einer Datenlöschanforderung kann es deshalb eine Überlappung zwischen den Daten für die Archivierung und denen zur Nutzung für die Kundendaten geben.
speicherguide.de-DSGVO-Umfrage: Fast die Hälfte liegt im Plan
Wie weit sind die Vorbereitungen Ihres Unternehmens auf die DSGVO fortgeschritten (Grafik: speicherguide.de/Stand Okt. 2017)?Ende Oktober haben wir die speicherguide.de-Leser gefragt, wie sie es im Unternehmen mit der DSGVO halten. Mit rund 100 Teilnehmern ist unsere Umfrage nicht ganz repräsentativ, aber ein Indikator. Immerhin sind unsere Zahlen etwas besser, als die von IDC. Den Marktforschern zufolge haben 44 Prozent der befragten Unternehmen noch keine konkreten technologischen oder organisatorischen Maßnahmen zur Vorbereitung auf die DSGVO getroffen.
Tatsächlich sind sieben Prozent der von uns befragten Leser im grünen Bereich und bereits fertig. 27 Prozent haben Maßnahmen ergriffen und erwarten eine planmäßige Umsetzung bis Mai 2018. 22 Prozent haben insgesamt einen Plan. Etwas mehr als die Hälfte davon halten eine pünktliche Umsetzung noch für möglich. Die anderen sehen dies eher als unwahrscheinlich an. Bei fast einem Viertel der Befragten sind die Anforderungen zwar bekannt, die Unternehmen warten aber lieber ab. Elf Prozent haben sich noch gar nicht damit auseinandergesetzt.
Datenschutzbeauftragter bei fast 50 Prozent eingeplant
44 Prozent beschäftigen bereits einen Datenschutzbeauftragten (Grafik: speicherguide.de/Stand Okt. 2017).Beim Datenschutzbeauftragten sieht es ähnlich aus: 44 Prozent beschäftigen bereits einen und bei vier Prozent ist er eingeplant. Bei 36 Prozent gibt es noch keinen Datenschutzbeauftragten und so wie es aussieht, ist er auch nicht eingeplant. Im Nachhinein hätten wir vielleicht noch Fragen sollen, ob der Datenschutzbeauftragte als Dienstleistung eingekauft wird oder im Unternehmen fest angestellt ist. Auch können wir nicht sagen, wie viele Firmen eventuell keinen benötigen. Wir gehen aber davon aus, dass sich das Umfrageergebnis nicht wesentlich verändern würde. Wie gesagt, Unternehmen ab zehn Mitarbeitern benötigen einen Datenschutzbeauftragten.
speicherguide.de-Podcast: Der Einfluss der DSGVO auf Storage
- DSGVO nicht auf die leichte Schulter nehmen (Seite 4 im Storage-Magazin 2/16)
- Datenschutz-Grundverordnung DSGVO: Wer hat’s auf dem Schirm?
- EU-Datenschutz-Grundverordnung (DSGVO) bringt ILM und Information-Governance zurück
- Bitkom-FAQ: Was muss ich wissen zur EU-Datenschutz Grundverordnung
Podcast:»DSGVO beeinflusst Storage massiv«