IckeT - Fotolia

EU-Datenschutz-Grundverordnung: Herausforderung und Chance für Unternehmen

Für die Umsetzung der EU-DSGVO ist das Wissen um die personenbezogenen Daten entscheidend. Welche Informationen sind dies, und wo liegen diese?

Im Mai 2018 ist es soweit: Die europäische Datenschutz-Grundverordnung (General Data Protection Regulation / GDPR) tritt endgültig in Kraft und muss verbindlich umgesetzt werden. Betroffen sind in erster Linie Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Um eine Compliance-konforme Einhaltung des neuen Regelwerks sicherzustellen, müssen Firmen die entsprechenden Verpflichtungen kennen, verstehen und wirksam anwenden.

Viele Unternehmen sind jedoch verunsichert: Die Zeit drängt, und die IT-Verantwortlichen sind mit den neuen Herausforderungen oft schlichtweg überfordert. So befürchten laut einer aktuellen Studie rund 62 Prozent der befragten CIOs eine Bußgeldzahlung aufgrund von Versäumnissen im Zusammenhang mit der GDPR. Und sogar 87 Prozent der Teilnehmer halten die aktuellen Richtlinien und Prozesse in ihrem Unternehmen für ein Risiko, was die Einhaltung der neuen Vorschriften betrifft.

Besonders brisant: Bei bestimmten schweren Verstößen gegen die GDPR drohen empfindliche Geldbußen, die sich auf manche Unternehmen im Extremfall sogar existenzgefährdend auswirken. Sie können zu Zahlungen von bis zu vier Prozent des weltweiten Jahresumsatzes verpflichtet werden. Die Vorschriften der GDPR sollen vor allem natürliche Personen bei der Verarbeitung relevanter Informationen schützen und den Datenverkehr verbindlich regeln. So besteht beispielsweise eine Informationspflicht von Unternehmen bei der Erhebung personenbezogener Daten sowie ein Auskunftsrecht des Betroffenen. Dieser kann zudem die Berichtigung sowie die Löschung der Daten verlangen. Es gibt also – erstmals in der Geschichte der Digitalisierung – quasi ein „Recht auf Vergessenwerden“.

Unstrukturierte Daten effizient managen

Wie können Unternehmen nun diese völlig neuen und verbindlichen Anforderungen optimal umsetzen? Wichtig ist in erster Linie das genaue Wissen um die Speicherung von personenbezogenen Daten. Um welche Informationen handelt es sich? Und wo genau liegen sie? Um diese zentralen Fragen verlässlich zu beantworten, benötigen Unternehmen ein effizientes und durchgängiges Daten-Management. Dies ist ein wichtiger Baustein zur Erfüllung der Pflichten, die sich aus der GDPR ergeben.

Dabei besteht die größte Herausforderung im Umgang mit unstrukturierten Daten: beispielsweise Kundeninformationen aus E-Mails, digitalen Dokumenten, der Online-basierten Interaktion in sozialen Medien (User Generated Content) und aus vielen weiteren Quellen müssen ausgewertet und in einen strukturellen Zusammenhang gebracht werden.

Nur so lassen sie sich gezielt auffinden und bei Verlangen dem Kunden zur Verfügung stellen. Hierbei müssen auch verschiedene Kommunikationskanäle und Speicherorte wie Desktop-PC, Smartphone, Cloud oder Rechenzentrum berücksichtigt werden.

Unternehmen sind gut beraten, wenn sie hierfür auf eine ganzheitliche Daten-Management-Lösung zurückgreifen. Diese sollte sich sowohl On-Premises als auch in der Cloud betreiben lassen. Dabei ist es entscheidend, dass die unstrukturierten, personenbezogenen Daten präzise sowie automatisiert indexiert und damit eindeutig gekennzeichnet werden. Dieser Vorgang sollte sich über alle Speicherorte wie Endgeräte, Backups, Archive und File-Systeme erstrecken.

Wichtig ist es auch, die Informationen nach bestimmten Kriterien zu kategorisieren. So sind neben dem Namen und der Anschrift des Kunden auch weitere Merkmale wie die Personalausweis- und Kreditkartennummer, der Geburtstag, die Telefonnummer, die IP-Adresse sowie handschriftliche Notizen von Bedeutung.

Dadurch lassen sich die Daten schnell und einfach über alle System-Plattformen hinweg „quasi auf Knopfdruck“ auffinden und bei Bedarf löschen.

Durchdachte Regelung der Zugriffsrechte

Um die Sicherheit und den Schutz der personenbezogenen Daten entsprechend der Datenschutz-Grundverordnung zu gewährleisten, bedarf es auch einer intelligenten Zugangsregelung: Demnach dürfen nur die Personen, die bestimmte Informationen für ihre Tätigkeit benötigen, darauf zugreifen. So können beispielsweise Vertriebsmitarbeiter sämtliche Kontaktdaten, den Status der Korrespondenz oder die Kaufhistorie nutzen.

Angehörige der Buchhaltung hingegen haben Zugriff auf Kontodaten, Rechnungsinformationen oder Zahlungseingänge. Eine Daten-Management-Lösung verwaltet die entsprechenden Zugriffsrechte transparent und ermöglicht die lückenlose Nachverfolgung von Änderungen oder ausgeführten Aktionen der einzelnen Nutzer.

„Um die Sicherheit und den Schutz der personenbezogenen Daten zu gewährleisten, bedarf es einer intelligenten Zugangsregelung.“

Jörg Kranepuhl, Commvault

xxx

Und mehr noch: Entsprechende Lösungen vereinen alle kritischen Anforderungen einer GDPR-konformen Speicherung und Sicherung von sensiblen, personenbezogenen Kundendaten in einer einzigen, ganzheitlichen „Single-Source-of-Truth“. Hierbei lassen sich durch die übergreifende und durchdachte Speicherorganisation die benötigten Informationen über alle Systemwelten hinweg zielgenau indexieren, auffinden und auf Verlangen des Kunden löschen.

Überdies integrieren solche Lösungen typischerweise Backup, Wiederherstellung und Archivierung nahtlos und schaffen so einen zentralen Datenpool für alle unstrukturierten Informationen. Unternehmen profitieren dadurch von einer soliden Basis für die Informationsverwaltung sowie von mehr Transparenz und Kontrolle zur Einhaltung der GDPR-Richtlinie. Zudem lässt sich die Compliance-sichere Datenverwaltung jederzeit gegenüber den Regulierungsbehörden nachweisen.

Fazit

Die GDPR, die im Mai 2018 für alle Unternehmen verbindlich wird, stellt die IT-Abteilungen beim Management personenbezogener Kundendaten vor große Herausforderungen. CIOs sollten sich schon jetzt mit den Inhalten und Anforderungen der neuen Verordnung sowie mit möglichen Lösungsoptionen auseinandersetzen, um eine maximale Sicherheit im Umgang mit den Daten zu erreichen und empfindliche Bußgelder zu vermeiden.

Über den Autor:
Jörg Kranepuhl ist Senior Legal Counsel EMEA bei Commvault.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Tools & Ratgeber zur Umsetzung der EU-DSGVO

EU-Datenschutz-Grundverordnung: Der Countdown läuft

EU-DSGVO: IT-Abteilungen fühlen sich durch Datenschutzrecht gestärkt

Kostenloses E-Handbook: EU-Datenschutz-Grundverordnung richtig umsetzen

Artikel wurde zuletzt im Juni 2017 aktualisiert

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close