Datenschutzgrundverordnung: Aussitzen kann teuer werden Wer kümmert sich um die Datenmassen?

Seit dem 25. Mai ist es amtlich:  Die Datenschutzgrundverordnung (DSGVO) ist verbindlich. Sie betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Diese Informationen müssen weltweit nach neuen, strengeren Regeln behandelt werden. Wer sich nicht daran hält, muss mit empfindlichen Strafen rechnen. Dabei wächst das Datenvolumen rasant weiter. Doch wer kennt schon alle Daten, die in seinem Unternehmen gespeichert sind?

Daten in Massen

Erst Smartphones, dann Smartwatches und nun auch noch Autos, die mitdenken, Informationen einholen, übermitteln und auswerten. Im sogenannten Connected Car sammeln laut McKinsey mehr als 100 Sensoren laufend Daten, die dann an anderer Stelle weiterverarbeitet werden können. Das Connected Car ist eines der sichtbarsten Symbole für die Digitalisierung und zeigt, wie schnell diese Revolution führende Branchen in Deutschland erreicht hat. Es zeigt auch, wie hoch das Datenwachstum in der Welt des „Internet of Things“ (IoT) sein wird. Die Sensoren im Auto sollen 25 Gigabyte generieren – pro Stunde.

In Zukunft werden immer größere Datenwellen auf die IT zukommen. Dabei ist bereits das aktuelle Datenwachstum für IT- und Compliance-Verantwortliche kaum mehr zu stemmen. Im Schnitt nimmt die Menge der Daten in jeder Firma auch ohne IoT oder Digitalisierung durchschnittlich um 49 Prozent zu, wie der Data Genomics Index 2017 von Veritas auf Basis anonymisierter Kundendaten errechnete. 31 Milliarden Dateien und 20 Millionen Gigabytes echter Kundendaten wurden hierzu untersucht.

Doch Untersuchungen der Databerg-Studie von Veritas kommen zu dem Ergebnis, dass Firmen in Deutschland den Inhalt von 66 Prozent aller gespeicherten Daten gar nicht kennen. Diese unstrukturierten Daten können personenbezogene Daten enthalten, die im Rahmen der Verordnung auskunftspflichtig sind oder gelöscht werden müssten, sofern der Bürger dies anfragt. Zugleich wachsen unstrukturierte Daten in jedem Unternehmen weitaus schneller als sogenannte strukturierte Daten, die sortiert und kategorisiert in Datenbanken gepflegt werden. Das Problem der unbekannten Dokumente oder Dark Data, wie es im Fachjargon heißt, wird jeden Tag größer.

Weil aber die Inhalte und damit die Relevanz der meisten Daten nicht klar sind, sind IT-Verantwortliche dazu übergegangen, den Kopf in den Sand zu stecken. Sie horten Informationen. Sei es, um sie später mit Analytics und Big Data auswerten zu können, oder weil Speicherplatz so günstig war, und ist, dass das Abspeichern unter dem Strich kostengünstiger war als eine kluge, aber aufwendigere Klassifizierung. Im Hinblick auf die neuen Regelungen der DSGVO befinden Unternehmen sich damit auf einem gefährlichen Weg: Wer die Regeln zum Umgang mit personenbezogenen Daten nicht einhalten kann, zahlt empfindliche Strafen. Laut Veritas hat sich bislang allerdings mehr als die Hälfte der Unternehmen noch gar nicht damit befasst, eine DSGVO-Compliance bereitzustellen.

Oft fehlt noch immer der Wille, sich um die Datenmassen zu kümmern. Speicherplatz ist immer noch günstiger als der Prozess, sich um die Daten zu kümmern. So liegen riesige Datenmassen auf diversen Speichern und kaum jemand kennt ihren Inhalt. Mit der DSGVO ist es allerdings unabdingbar geworden, Ordnung in das Datenchaos zu bringen. Es steigt das Risiko, gegen die Vorgaben zu verstoßen. So ist es auf lange Sicht mittlerweile günstiger und sicherer, in Prozesse und Tools zu investieren, die diese Daten untersuchen und kategorisieren, zumal ein gutes Datenmanagement eine Reihe von Synergieeffekten auslöst.
Belegter Speicher lässt sich freiräumen, Backup- und Archivierungsprozesse beschleunigen. Die meisten Unternehmen gehen auch davon aus, dass sie mehr Wissen aus ihren Daten ziehen und so bessere Geschäftsentscheidungen fällen können. Fortschritte in Sachen Data Analytics ermöglichen so auch einen schnelleren Weg in die Digitalisierung und damit entscheidende Wettbewerbsvorteile.

Doch auch die Cloud ist ein Thema im Zusammenhang mit der DSGVO und der Datenmenge: In den letzten Jahren haben IT-Verantwortliche Informationen vermehrt in die Cloud ausgelagert. Daten werden nicht mehr nur im eigenen Netzwerk und auf den eigenen mobilen Geräten verteilt, sondern auf verschiedenste Cloud-Speicher. Assessments von Veritas bei Kunden haben ergeben, dass in Unternehmen zwei bis vier von der IT bereitgestellte Cloud-Dienste laufen. Daneben nutzen Mitarbeiter eigene Services, die von der IT nicht autorisiert wurden. Spätestens bei diesen Speicherressourcen bleibt völlig unklar, welche Daten dort liegen.

Unklar ist vielen Verantwortlichen auch, wer in dem Verhältnis zwischen Kunde und Dienstleister für elementare Fragen wie Datensicherung und Compliance die alleinige Verantwortung trägt. Das Gros der Befragten in der Veritas-Studie jedenfalls war Meinung, dass die Verantwortung für das Datenmanagement auf den Cloud-Anbieter zurückfällt. Die Veritas-Rechtsabteilung hat Standardverträge zahlreicher Public-Cloud-Anbieter untersucht, und widerspricht: Die Verträge sehen den Kunden in der Pflicht. Dabei sind die Fähigkeiten der Provider auf dem Gebiet Datenschutz und Compliance für die befragten Organisationen eines der wichtigsten Kriterien bei der Anbieter-Auswahl.

Gemeinsame Basis

Aufgrund dieser Tatsachen ist es von grundlegender Bedeutung, in den fragmentierten dynamischen Netzen der Unternehmen eine technologische Basis zu schaffen, die alle Daten und Datensilos einbindet und sowohl neue als auch alte Dateien auf konsistente Weise einstuft. Dazu gehört eine Klassifizierung von Daten. Moderne Varianten dieser Technik nutzen mehrere hundert technische Indikatoren, die eindeutige inhaltliche Merkmale in Daten erkennen und sie entsprechend mit Tags kategorisieren. Auf diese Weise werden beispielsweise länderspezifische personenbezogene Daten wie beispielsweise die deutsche Führerscheinnummer als solche erkannt und gekennzeichnet.

Nutzt man diese Technologie in Bereichen, in denen viele unstrukturierte Daten zusammenkommen – wie bei E-Mails, im Cloud-Speicher oder bei Backups – können die Daten so gut wie lückenlos erfasst werden. Der Anwender muss seine Daten nicht selbst einordnen, weitere Fehler durch manuelle Eingaben werden vermieden. Jedes Datensilo, das der automatische Prozess nicht erfasst, erhöht das Risiko, gegen Richtlinien zu verstoßen. Mit dem Technologieansatz kann ein Unternehmen seine Dark-Data-Anteile durchleuchten und beispielsweise gezielt personenbezogene Daten identifizieren. Die Klassifizierung schafft so den wichtigen gemeinsamen Nenner für das Datenmanagement, das aus Compliance-Sicht fünf wichtige Schritte beherrschen muss.

1. Orten: Das Unternehmen muss einen Überblick darüber gewinnen, wo sich Firmendaten befinden. Das gilt auch für alle Daten, die in Multi Cloud-Speichern liegen.

2.  Suchen: Im Rahmen der DSGVO dürfen EU-Bürger Einblicke in die über sie gespeicherten Daten verlangen und müssen diese zeitnah erhalten. Ein Prozess nebst Software, die Daten schnell auffinden und bei Bedarf löschen, sind wichtig.

3. Minimieren: Eines der Ziele der DSGVO ist es zu regeln, dass Firmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern. Deshalb sollte jede Datei ein Verfallsdatum erhalten und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.

4. Schützen: Geschäftsrelevante und personenbezogene Daten sind besonders schützenswert. Unternehmen müssen Maßnahmen ergreifen, um Angreifer von außen und innen abzuwehren. Passiert doch etwas, muss das Datenleck innerhalb von 72 Stunden gemeldet werden.

5. Überwachen: Um ein Datenleck zu melden, muss man zuerst wissen, dass es existiert. Im Anschluss gilt es, schnell und eindeutig zu klären, welche Daten verloren gegangen sind. Die DSGVO fordert, dass Betroffene und die Behörden innerhalb von 72 Stunden über den Vorfall informiert werden. Eine Software für ein umfassendes Datenmanagement, das die komplexe Speicherinfrastruktur ständig auf Unregelmäßigkeiten überprüft, ist unabkömmlich. Compliance-Risiken lassen sich leichter vorhersehen und abwenden, wenn Unternehmensdaten automatisch nach spezifischen Kriterien sortiert und aus Compliance-Sicht – ebenfalls anhand automatischer Prozesse – ihrem Wert entsprechend bearbeitet werden.

Mathias Wenig

ist Senior Manager TS und Digital Transformation Specialist bei Veritas.