Vier Jahre Datenschutz-Grundverordnung:Ohne Rationalisierung und Automatisierung geht es nicht
25. Mai 2022Am 25. Mai 2018 trat die EU-Datenschutzgrundverordnung (EU-DSGVO) verbindlich in Kraft. Sie regelt und vereinheitlicht, wie Unternehmen personenbezogene Daten von Einzelpersonen erfassen und verarbeiten. Dochwas hat das alles gebracht?
Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie betrifft jedes Unternehmen, unabhängig von seinem Standort, das Daten von Personen innerhalb des Europäischen Wirtschaftsraums verarbeitet. Gerade vor dem Hintergrund, dass die Verordnung bei fehlender Compliance empfindliche Strafen nach sich zieht – aber auch, dass Datenschutzverletzungen mit einem massiven Imageverlust einhergehen – ist und bleibt die DSGVO ein essenziell wichtiges Thema für Unternehmen.
Laut einer aktuellen Studie der international tätigen Anwaltskanzlei DLA Piper ist die Summe der verhängten Bußgelder für DSGVO-Verstöße im vergangenen Jahr europaweit auf 1,1 Milliarden Euro gestiegen. Zum Vergleich: Der Vorjahreswert lag bei 158,5 Millionen Euro – dies ist ein Anstieg von knapp 600 Prozent. Deutschland nimmt im Ländervergleich bei der Anzahl der gemeldeten Datenschutzverletzungen (seit 2018) die Spitzenposition ein und gehört mit 35 Millionen Euro ebenfalls zu den Ländern mit den höchsten verhängten Einzelgeldbußen.
Doch wie sehen deutsche Unternehmen die DSGVO und wie ist es um den Stand der Compliance bestellt? Eine Studie des Instituts der deutschen Wirtschaft (IW) aus dem Jahr 2020 zeigt: Die Mehrheit der Unternehmen (54 Prozent) sieht in der Verordnung zwar keinen Nachteil für den Wettbewerb, aber immerhin doch ein gutes Drittel (34 Prozent) empfindet sie als nachteilig. 96 dieser Unternehmen bemängeln konkret den hohen Aufwand bei der Umsetzung und die damit verbundene Rechtsunsicherheit sowie die Sorge vor hohen Strafen (89 Prozent). Laut einer aktuellen Bitkom-Umfrage sind 29 Prozent der Unternehmen in Deutschland erst teilweise DSGVO-compliant und 5 Prozent standen zum Zeitpunkt der Erhebung bei der Umsetzung sogar noch ganz am Anfang.
Die Tatsache, dass Firmen mit der Einhaltung der DSGVO teilweise überfordert sind, ist angesichts der Komplexität der Regularien nachvollziehbar. Das Positive ist aber: Die Compliance mit der Verordnung ist gut machbar und Unternehmen sind der Komplexität der DSGVO nicht hilflos ausgeliefert. Wichtig ist aber auch zu betonen, dass die Einhaltung ein kontinuierlicher Prozess ist, der immer wieder neu angepasst und nachjustiert werden muss. Doch wie sollten Betriebe konkret vorgehen?
Als Best Practice hat es sich bewährt, im ersten Schritt zu versuchen, die regulatorischen Anforderungen so gut wie möglich zu verstehen und zu schauen, wie diese sich auf die eigene Branche auswirken. Im zweiten Schritt sollten Betriebe Bewertungen durchführen, um ihre eigenen Risiken im Bereich Datenschutz zu identifizieren, Prioritäten zu setzen und einen Aktionsplan zur Abschwächung der wichtigsten Risiken zu erstellen. Danach gilt es, die bereits bestehenden Sicherheitsrichtlinien und -verfahren zu überprüfen, um sicherzustellen, dass sie mit den für ihr Unternehmen geltenden Vorschriften übereinstimmen.
Um die nachhaltige Einhaltung der DSGVO sicherzustellen und bei aller Komplexität Herr der Lage zu bleiben, sollten Unternehmen Compliance-Prozesse und Richtlinien so weit wie möglich rationalisieren und automatisieren. Durch die Rationalisierung und Automatisierung von Prozessen können Firmen Kosten sowie wertvolle Mitarbeiterzeit sparen und gleichzeitig das Risiko von verheerenden Datenschutzverletzungen durch manuelle Fehler verringern. Besonders Lösungen aus dem Bereich Identity Security haben sich hier in der Praxis bewährt.
Zum Hintergrund: Solche Lösungen automatisieren, verwalten und regeln den Zugriff in Echtzeit, idealerweise mit KI- und ML-gestützter Transparenz und Kontrolle. Somit sorgen sie für einen schnellen, sicheren und skalierbaren Betrieb in einer Cloud-kritischen, bedrohungsintensiven (Geschäfts-)Welt. Sie gewährleisten die Compliance, indem der Zugriff geregelt und die Nutzung nachverfolgt wird – und Richtlinien werden für alle Benutzer, Apps und Daten durchgesetzt, und dies kontinuierlich.
Letztlich ist es sinnvoll, kontinuierlich durch Audits zu prüfen, ob alle internen Prozesse gut funktionieren und im Zweifel Abläufe anzupassen. Regelmäßige Mitarbeiterschulungen zum Thema DSGVO und den Umgang mit sensiblen Daten helfen zusätzlich.
Steve Bradford ist Senior Vice President EMEA bei SailPoint.