Europäischer Datenschutz bringt Recht und Geschäft in Einklang Umfassendes Verständnis der DSGVO fehlt
3. Januar 2018Von Daten und dem Umgang mit ihnen hängt der Geschäftserfolg ab. Das Verarbeiten von personenbezogenen Daten schärft die Zielgruppenansprache. Sorgfalt war schon immer beim Verwenden von Nutzernamen, IP-Adressen, GPS-Koordinaten, Telefonnummern, Autokennzeichen, Daten zum Nutzerverhalten, Personalakten oder Gesundheitsinformationen geboten. An den klaren Regeln, die Geschäftsaktivitäten mit einem einheitlichen europäischen Datenschutz verbinden, kommt jedoch ab dem 25. Mai 2018 niemand mehr vorbei. Ab diesem Tag müssen Unternehmen die EU-Datenschutzgrundverordnung (EU-DSGVO), im Englischen „General Data Protection Regulation“ (GDPR), einhalten.
DSGVO-Bewusstsein
Die DSGVO regelt das Sammeln, den Zugriff, die Verwendung, das Speichern und die Weitergabe von personenbezogenen Daten neu. Die Verordnung ist für jedes Unternehmen verbindlich, das personenbezogene Daten eines EU-Bürgers verarbeitet – selbst wenn es seinen Sitz außerhalb der EU hat. Das Recht des Einzelnen wird gestärkt. Neben dem „Recht auf Vergessen werden“ erhalten ÉU-Bürger unter anderem die Möglichkeit, Daten zu einem andern Dienstleister mitzunehmen und Transparenz in der Datenverarbeitung einzufordern.
Den Stand der DSGVO-Umsetzung spiegelt eine NetApp-Umfrage aus dem Jahr 2017 wieder. Demnach zweifeln mehr als 70 Prozent der 750 befragten IT-Entscheider in Deutschland, Frankreich und Großbritannien, ob ihre Organisation die EU-Datenschutzvorgaben erfüllen kann. Trotz dieser Bedenken haben nur 37 Prozent der Befragten investiert, um ihre Datenschutzprozesse gesetzeskonform aufzustellen. 14 Prozent der Umfrageteilnehmer gehen sogar ein besonders großes Risiko ein: Sie gaben an, bei ihnen sei wegen der DSGVO noch kein Vorbereitung losgegangen. Unternehmen, die gegen die DSGVO verstoßen, drohen Strafen bis zu 20 Millionen Euro oder bis zu vier Prozent ihres weltweit erzielten Jahresumsatzes.
Fakt ist: Ein umfassendes Verständnis der DSGVO fehlt. So glauben laut der Umfrage 51 Prozent der Befragten, die Compliance-Verantwortung liege beim Unternehmen, das die Daten erzeugt. Für 46 Prozent liegt die Verantwortung beim datenverarbeitenden Unternehmen, 37 Prozent sehen die Cloud-Anbieter in der Pflicht, die Daten-Compliance sicherzustellen. Richtig ist jedoch: alle drei Gruppen sind individuell für die Daten verantwortlich, die sie handhaben. Sie alle müssen nachweislich die besten verfügbaren und angemessenen Maßnahmen zum Schutz der personenbezogenen Daten ergreifen. Die Verordnung stuft beispielsweise Verschlüsselung als geeignet ein, um Daten zu schützen.
Unternehmen sollten sich bewusst machen, dass der Datenschutz den gesamten Lebenszyklus der personenbezogenen Daten umfasst. Das reicht von der Erhebung bis zum Zeitpunkt, an dem sie gelöscht werden. Verschlüsselung und Datenmaskierung alleine reichen daher nicht aus, um die DSGVO einzuhalten. Denn es bringt nichts, Daten zu schützen, die man nach dem Gesetz gar nicht haben dürfte. Bei der DSGVO geht es also in erster Linie um rechtliche und geschäftliche Aspekte, und erst im zweiten Schritt um technologische.
Datenmanagement
Wünscht künftig ein EU-Bürger, dass seine personenbezogenen Daten gelöscht werden, muss das datenverarbeitende Unternehmen dieser Anfrage entsprechen – so verlangt es das DSGVO. Es ist komplex, das Halten, Klassifizieren und Wiederauffinden von Daten so zu organisieren, um das „Recht auf Vergessen werden“ zu realisieren. Verbraucher können zudem künftig ihre personenbezogenen Daten, die sie einem Unternehmen selbst zur Verfügung gestellt haben, wieder zurückfordern. Das Unternehmen muss also auch in der Lage sein, die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu übergeben.
Die DSGVO wirkt sich noch wesentlich weiter auf das Datenmanagement aus. So verfolgt die EU das Prinzip der Datensparsamkeit noch konsequenter, was sich in zwei Vorschriften für IT-Services ausdrückt. „Privacy by Design“ legt fest: Jede Datenhaltungsapplikation, die mit personenbezogenen Daten umgeht, muss so konzipiert sein, dass sie den Datenschutz sicherstellt.
Der zweite zentrale Aspekt ist „Privacy by Default“. Danach müssen Anwendungen im Grundzustand, also in den Voreinstellungen, den Datenschutz gewährleisten. Unternehmen müssen folglich bereits beim Produktdesign den Datenschutz berücksichtigen. Bei Big-Data-Anwendungen ist es nötig, eine Lösung zu integrieren, welche die Daten anonymisiert. Die DSGVO schreibt vor, dass es niemandem gelingen darf, chiffrierte Information einfach zu entschlüsseln.
Die Rechte der Einzelnen und das Gebot der Datensparsamkeit verdeutlichen: Ein Unternehmen muss wissen, welche personenbezogenen Daten es erhebt und wo dies passiert. Bereits bei Einordnung und Klassifizierung der vorhandenen Strukturen und Daten kann es nötig sein, dass sich Unternehmen externe Experten ins Haus holen, um eine konsistente Bestandsaufnahme zu erreichen. Es ist aufwendig, ein gesetzeskonformes Datenmanagement zu etablieren. In hybriden Umgebungen spielt zudem Datenhoheit und -kontrolle eine entscheidende Rolle. Das Wissen, wo die Daten liegen, reicht nicht, sondern es ist die Fähigkeit gefragt, die Daten schnell zurückzuholen und gegebenenfalls löschen zu können. Eine zentrale Plattform, die auf einheitliche Verwaltung von definierten Dateiformaten setzt, erfüllt diese Anforderungen an eine hybride Infrastruktur.
Data-Governance-Gewinn
Generell stellt sich vor diesem Hintergrund die Frage, wie sich die DSGVO-Vorgaben auf das eigene Geschäft auswirken. Erst die genaue Antwort darauf schafft die Voraussetzung, den rechtlichen Compliance-Rahmen aufzubauen und die nötigen Verfahren umsetzen. Es nimmt viel Zeit in Anspruch, diesen Prozess zu vollziehen. Das Ziel ist ein gesetzeskonformes Ökosystem der Unternehmensdaten, das auf Datenermittlung, unstrukturierte und strukturierte Datenanalyse, Analyse der Sicherungsdaten, Cloud-Datenanalyse, Datenverlauf und Daten-Case-Management beruht.
Der Aufwand für eine Data Governance ist unbestritten hoch. Zugleich bietet sich Unternehmen durch die DSGVO jedoch die Chance, ihre Infrastrukturen und Daten besser zu organisieren. Wenn Unternehmen genau wissen, welche Daten sie wirklich benötigen, und sich von unnötigen Kopien trennen, können sie ihre Speicherkapazitäten effektiver nutzen und ein besseres Datenmanagement gewährleisten. Diese Unternehmen schöpfen das Potenzial ihrer Daten voll aus und treffen bessere Geschäftsentscheidungen.
Wer also alle Datenschutzvorgaben erfüllt, erhöht seine Marktchancen. Geschäftskunden arbeiten zudem lieber mit einem Partner zusammenarbeiten, der nachweisbar etwas von Datenschutz versteht und über eine wirkungsvolle Data-Governance-Strategie verfügt. So ein Unternehmen steht für verantwortungsbewusste Geschäftspraktiken.
Vor allem für Systemhäuser bietet das strenge Gebot der Datenportabilität gleich zwei Möglichkeiten, mehr Umsatz zu erzielen. So lohnt es, die Digitalisierung von Dokumenten aller Art anzubieten, da in vielen Unternehmen Papier nach wie vor das bevorzugte Informationsmedium ist. Auch die Gruppe muss auf elektronische Verwaltung und Archivierung umstellen. Weitergedacht liegt in der Standardisierung und Integration von Datenprozessen im Enterprise Information Management (EIM) enormes Umsatzpotenzial. Der Datenschutz soll schließlich bei jeder Geschäftsentscheidung im Vordergrund stehen – im eigenen Unternehmen und bei Geschäftspartnern.
Dr. Dierk Schindler
ist Head of EMEA Legal & Deal Management sowie Head of Global Legal Shared Services bei NetApp.
Hier geht es zum Thema DSGVO bei NetApp