Keine Panik vor der Datenschutzgrundverordnung Cloud-Funktionen für zentrale DSGVO-Vorgaben
13. Oktober 2017Die Uhr tickt, die Verunsicherung steigt: Die EU-DSGVO, die im Mai 2018 in Kraft tritt, stellt Unternehmen vor große Herausforderungen, denn Datenschutzverstöße können bald mit bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes bestraft werden. Bislang waren es lediglich bis zu 300.000 Euro. Das Problem: Laut einer aktuellen Dell-Studie haben 97 Prozent der befragten IT- und Business-Professionals noch keinen Plan zur Umsetzung der EU-DSGVO.
Chefsache DSGVO
Viele Firmenlenker schrecken davor zurück, sich intensiver mit der Thematik auseinanderzusetzen. Das liegt insbesondere daran, dass ihnen die Datenschutzgrundverordnung zu komplex und kompliziert erscheint. Konfrontiert mit umfassenden Änderungen hinsichtlich Datenschutz, Compliance und IT-Sicherheit, erstarrt so manches Unternehmen in Untätigkeit. Dabei gibt es bereits Lösungen, die adäquate Antworten auf die zentralen Anforderungen der EU-DSGVO bieten.
Die kommende EU-Verordnung verlangt, dass Daten sachlich richtig und erforderlichenfalls auf dem neusten Stand sein müssen. Diesen Aspekt können Unternehmen beispielsweise mit einer Cloud-Lösung abdecken, die nachvollziehbare Freigaben mit Hilfe einer Zeitreisefunktion gewährleistet. Ein derartiges Tool vereinfacht auch die Forderung transparenten Zugriffsmanagements, denn Anwender können die Historie von Dokumentenversionen und ihre Archivierung lückenlos nachverfolgen.
Ein Teamroom-Konzept ermöglicht rechtmäßige Zugriffe auf Daten und Dokumente. Außerdem verlangt die EU-DSGVO, dass Daten nur solange gespeichert werden dürfen, wie es für die Verarbeitungszwecke erforderlich ist. Diese zeitliche Speicherbegrenzung lässt sich durch die automatische Löschung von Daten mithilfe einer regelbasierten Reminder-Funktion lösen. Zudem legt die Verordnung fest, dass Daten ausschließlich zweckgebunden verwendet werden. Hierfür bieten sich automatische Klassifizierung und integriertes Workflow-Management innerhalb des Cloud-Dienstes an.
Den Schutz vertraulicher Informationen gewährleistet eine Zwei-Faktor-Authentifizierung beim Login sowie das bereits erwähnte Berechtigungskonzept mit einer Übersicht der jeweiligen Zugriffsrechte je Teamroom. Das Informationsmanagement im Kontext einer Beauskunftung können Firmen in der Cloud auf der Basis eines lückenlosen Audit-Trails abdecken.
Datentransparenz leicht gemacht
Wer sich den einzelnen Bestimmungen der Datenschutzgrundverordnung unvoreingenommen und strategisch nähert, wird erkennen, dass bestimmte Cloud-Dienste viele Bereiche bereits abdecken und so Sorgen und Aufwand mindern. So müssen Unternehmen laut EU-DSGVO beispielsweise ein Verfahrenstätigkeiten- beziehungsweise Lieferantenverzeichnis führen, das erfasst, welche Daten wo gespeichert und von wem bearbeitet werden.
Außerdem müssen sie offenlegen können, welche Daten gespeichert wurden, und wer auf sie zugreifen kann. Sie müssen Daten gegebenenfalls löschen, eine „Beauskunftung“ über die Datenverarbeitung geben und Behörden bei Verstößen fristgerecht informieren. Besonders größeren Organisationen ist anzuraten, sich rechtzeitig um eine Digitalisierung relevanter Prozesse zu bemühen, um so die Komplexität zu minimieren, Mitarbeiter zu unterstützen und Aufwand zu reduzieren. Eine in die Cloud integrierte, automatisierte App schafft Abhilfe: Mit ihr können Unternehmen alle relevanten Quellen verwalten und zusammenführen sowie Prozesse definieren. Es lassen sich auch Textvorlagen ablegen, die verlässlich in der Cloud freigegeben sind, und die bei Bedarf sofort genutzt werden können.
Die Digitalisierung flankiert durch Cloud-Services ist speziell für große Unternehmen mit mehreren Standorten zumeist der einzige Weg, um rasch und verlässlich die Vorgaben der EU-DSGVO zu erfüllen und so hohen Strafen zu entgehen. Ist ein verantwortlicher Mitarbeiter beispielsweise während der Frist einer Beauskunftung oder Datenlöschanfrage auf Dienstreise, kann er mithilfe der Cloud mobil und sicher auf Firmendaten zugreifen. Das kann in der Praxis wie folgt ablaufen: Der Kunde Fritz Meier ruft beim Unternehmen A an. Er möchte wissen, welche Daten von ihm wo abgelegt sind. Dafür nutzt das Unternehmen idealerweise eine Checkliste, die als fester Bestandteil des Workflows dazu dient, strukturiert relevante Informationen abzufragen. Danach wird jede Anfrage zur effektiven Bearbeitung an den jeweiligen Verantwortlichen weitergeleitet.
Das ist vor allem für Unternehmen mit unterschiedlichen Geschäftseinheiten sinnvoll, bei denen Daten komplett getrennt verwaltet werden. Ein Beispiel sind Online-Shops und traditionelle Läden. In der Cloud kann der Mitarbeiter mithilfe einer speziellen Suchfunktion herausfinden, wo und in welchen Datenanwendungen Informationen zum Kunden Meier verwaltet werden. Aus der Anfrage wird automatisiert ein Bericht generiert, der auflistet, wo spezielle Kundeninformationen gespeichert sind. Dieser Report kann Meier nun zugeschickt und in der Cloud automatisch dokumentiert werden.
Ein weiteres Beispiel: Lisa Meier bittet das Unternehmen B in einer E-Mail ihre Daten zu löschen. Sie hat vor vielen Monaten online Ersatzteile bestellt, möchte nun aber nicht länger E-Mail-Newsletter erhalten. In der Cloud kann der Mitarbeiter einen Standardprozess einleiten, der alle relevanten Stellen im Haus informiert und die Löschung einfordert. Die jeweils verantwortlichen Personen löschen die Daten der Kundin und bestätigen dann im Workflow die erfolgreiche Löschung. Lediglich die Buchhaltung wird die Daten zunächst nicht löschen können, da eine Rechnung ausgestellt wurde und eine siebenjährige Archivierungsfrist gilt. Sind alle Rückmeldungen eingegangen, lässt sich ein automatischer PDF-Report für die Kundin erstellen, der ihr mitteilt, dass alle Informationen gelöscht wurden, beziehungsweise, dass einige Informationen aufgrund der Archivierungsauflagen noch weiter aufgehoben werden müssen.
Rechtssichere Abwicklung
Cloud-Services erleichtern viele Prozesse im Zusammenhang mit der neuen Datenschutzrichtlinie. So müssen Unternehmen Verletzungen beispielsweise innerhalb von 72 Stunden an die Behörde melden. Hilfreich sind diesbezüglich Word-Vorlagen, in denen sich Verletzungen einfach eintragen oder Veränderungen firmenspezifisch vornehmen lassen. Auf Basis dieser Vorlagen wird dann ein Prozess gestartet und die Datenschutzverletzung gemeldet:
Die Verantwortlichen pflegen zunächst die Daten ein, alles wird zusammengeführt und ein automatisches Schreiben an die Behörde erstellt. Der im Vorfeld definierte Prozess setzt allen Beteiligten entsprechende Fristen. Ratsam ist es, auf einen Cloud-Service zu setzen, der Grundfunktionen wie Workflow-Management, Apps für beispielsweise die Freigabe von mobilen Geräten aus sowie lückenlose Nachvollziehbarkeit bereits im Standard abdeckt. Dies vereinfacht eine schnelle, automatisierte und rechtssichere Abwicklung. Des Weiteren sollten Unternehmen bei der Cloud-Auswahl darauf achten, dass der Dienst über einschlägige Zertifizierungen verfügt, die Zuverlässigkeit, Sicherheit und Funktionalität garantieren.
Vor allem wenn es um die reale Umsetzung geht, wissen viele Firmen bislang nicht, was durch die neue Datenschutzgrundverordnung auf sie und ihre Mitarbeiter zukommt. Stattdessen erstellen sie noch immer eine Liste der verschiedenen Datenquellen. Darüber hinaus weiß niemand genau, wie viele Use Cases pro Monat, pro Woche oder pro Tag voraussichtlich ausgeführt werden müssen. Eine Bearbeitung per Hand oder via E-Mail würde zu einem Mehraufwand führen, den ein Unternehmen schwer stemmen kann. Auch eine fristgerechte Behördenmeldung lässt sich manuell in der Regel nicht einhalten. Um Strafen zu vermeiden und Prozesse hinsichtlich der neuen Datenschutz-Grundverordnung so effizient wie möglich zu gestalten, sollten sich Unternehmen daher jetzt über potenzielle Cloud-Unterstützung informieren: Anstatt in EU-DSGVO-Angststarre zu verfallen, proaktiv und strategisch auf die Cloud setzen.
Andreas Dangl
ist Business Unit Executive für Cloud-Services bei Fabasoft.
Hier geht es zu Fabasoft