Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

StolpernIn knapp 50 Wochen tritt die komplexe europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft und wird den Umgang mit personenbezogenen Daten nachhaltig verändern. Noch haben viele Unternehmen nur eine diffuse Vorstellung davon, welche Anforderungen sie künftig erfüllen müssen und welche konkreten Auswirkungen das haben wird. Aber den Kopf in den Sand zu stecken ist keine Option.

Die auch als „General Data Protection Regulation“ (GDPR) bekannte Verordnung sorgt ab Mai nächsten Jahres für ein Umdenken bei der Verarbeitung von personenbezogenen Daten. Gezwungenermaßen wird der sorglose Umgang mit personenbezogenen Daten bald ein Ende finden müssen, denn andernfalls kann es durch die künftige Verordnung richtig teuer werden. Allein die Nicht-Konformität mit den technischen Anforderungen kann Unternehmen bereits 2 % des weitweiten Umsatzes oder Einzelpersonen bis zu 10 Millionen Euro kosten. Bei schwerer Missachtung der Grundsätze muss sogar noch tiefer in die Tasche gegriffen werden: bis 4 % des weltweiten Umsatzes für Firmen oder bis zu 20 Millionen für Einzelpersonen können dabei fällig werden.

Das Problem: Vielen Verantwortlichen ist nicht klar, wo personenbezogene Daten überall gespeichert werden. Das aber ist einer der Schlüsselaspekte, wenn es um Richtlinienkonformität geht, weshalb Unwissen schnell zur Achillesferse werden kann. Von einer alltäglichen E-Mail können beispielsweise in Zusammenhang mit Backup-und Recovery-Prozessen an die 50 Kopien entstehen, die neben dem Desktop-PC, auf dem Mobiltelefon, der Cloud, dem Data-Center und vielen weiteren Orten gespeichert werden. Damit personenbezogene Informationen nicht als „Dark Data“ im Datensumpf verschwinden, das heißt nicht mehr aufzuspüren sind und Unternehmen in Folge Geldbußen in Millionenhöhe kosten, ist neben der Kenntnis über die Kernpunkte der Verordnung deshalb gutes Datenmanagement entscheidend.

Kernanforderung für DSGVO-konformes Datenmanagement

Die DSGVO erfordert sowohl auf Technologie- als auch auf Prozessebene Anpassungen in den Unternehmen. Statt konkrete Handlungsanweisungen zu geben, definiert die DSGVO vor allem Prinzipien um trotz des rasanten technologischen Fortschritts die zukünftige Relevanz der Verordnung sicher zu stellen. Im Hinblick auf Datenmanagement sind folgende Punkte zu beachten:

Auskunftsrecht (Artikel 15): Erlaubt natürlichen Personen, Einsicht in gesammelte Daten in einer maschinenlesbaren Form einzufordern.

Die einfachste Lösung, um Compliance mit Artikel 15 zu gewährleisten, ist der Rückgriff auf eine Lösung, die das Indexieren von personenbezogenen Daten ermöglicht. Dadurch werden personenbezogene Daten genau gekennzeichnet und wandern nicht als „Dark Data“ an unbekannte Speicherorte. Dabei sollten Unternehmen darauf achten, dass die gewählte Lösung nicht nur auf Endgeräte beschränkt ist, sondern auch Backups, Archive und File-Systeme durchsuchen sowie unstrukturierte Daten volltextindizieren kann.

Ein optimales Ergebnis erreichen Unternehmen mit einer Lösung, die eine granulare Unterscheidung bei der Kategorisierung von Daten erlaubt. Zu den personenbezogenen Daten zählen nämlich weitaus mehr als nur der Name oder die Adresse eines Kunden, sondern unter anderem auch die Reisepassnummer, Kfz-Kennzeichen, Kreditkartennummer, Geburtstag, Geburtsort, Telefonnummer, IP-Adresse, Fingerabdruck, Handgeschriebenes. Mithilfe der Kategorisierung können Daten so einfacher durchsucht und zur Verfügung gestellt werden.

Recht auf Vergessenwerden (Artikel 17): Das manchmal auch als „digitaler Radiergummi“ bezeichnete Recht macht es betroffenen Personen möglich, die Löschung ihrer Daten zu fordern.

Vor der Implementierung einer Lösung sollten Unternehmen sichergehen, dass die Löschung der Daten ohne großen Aufwand auf allen Plattformen, egal ob Cloud, Archiv, Endgeräte oder Backup, vorgenommen werden kann. Mithilfe der bereits erwähnten Indexierung lässt sich der Prozess weiterhin vereinfachen und führt zu einer Reduzierung von Ressourcen und Kosten. Zudem ist eine kurze Backup-Speicherzeit, wie sie beispielsweise Commvaults Snapshot liefert, hilfreich. Die im Backup als Kopie hinterlegten personenbezogenen Daten haben dadurch nur eine kurze „Lagerzeit“, was verhindert, dass scheinbar gelöschte Daten wieder aus dem Nirvana auftauchen.

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25):

Definiert die technischen Anforderungen an die Sicherheit bei der Verarbeitung von personenbezogenen Daten. Dabei sollten Unternehmen sicherstellen, dass nur ein notwendiges Minimum an Daten gesammelt wird und dies nur für vordefinierte Zwecke.

Angesichts der Sensibilität von personenbezogenen Daten muss der Zugriff darauf genau definiert werden. Nicht jeder Mitarbeiter braucht Einsicht in die Kontodaten oder die Telefonnummer eines Kunden, wenn es nicht zur Erledigung einer Aufgabe notwendig ist. So ist es sinnvoll, eine Lösung zu implementieren, die nicht nur bestimmten Nutzern Zugriffsrechte auf personenbezogene Daten erlaubt, sondern auch Änderungen oder ausgeführte Aktionen bei der Verarbeitung der Daten genau nachverfolgen kann. Dadurch können auf technischer Ebene bereits datenschutzfreundliche Voreinstellungen getroffen werden.

Unstrukturierte Daten ade

Die DSGVO beziehungsweise GDPR erscheint zwar zunächst als eine große Herausforderung, doch können Unternehmen aus der Not eine Tugend machen und endlich wieder Ordnung in eingestaubte Datensilos bringen, die es IT-Verantwortlichen nahezu unmöglich machen, einen vollständigen Überblick über die Datenlandschaft zu erhalten und diese effizient zu verwalten. Bevor Unternehmen jedoch panisch zu irgendeiner Datenmanagement-Lösung greifen, sollten sie sich zunächst über die Ressourcen und Anforderungen Gedanken machen. Nicht jede Lösung ist für die Verarbeitung und den Umgang mit personenbezogenen Daten in jedem Unternehmen geeignet.

Als guter Start kann eine Priorisierung der Kernaufgaben bei der Umstellung auf richtlinienkonforme Technologien und damit verbundenen Prozesse dienen. So sollten Unternehmen zunächst die Organisation und Strukturierung von mindestens 80 % der unstrukturierten Daten in Angriff nehmen. Die entsprechenden Datenmanagement-Prozesse sollten Daten an allen Speicherorten berücksichtigen, auf Endgeräten ebenso wie in der Cloud. Denken die Verantwortlichen dabei an die Dokumentation aller Entscheidungen und Prozesse, gestaltet sich zudem die Berichterstellung bei möglichen Audits einfach und effizient.

Der Schlüssel für eine erfolgreiche Vorbereitung auf die DSGVO ist ganzheitliches Datenmanagement. Es unterstützt Organisationen dabei, die Datenlandschaft zu verstehen, Management-Richtlinien für alle Speicherorte inklusive Cloud-Speicher zu definieren und so die Voraussetzungen zu schaffen, den Anforderungen hinsichtlich Einsicht und Löschung von Daten und der Daten-Portabilität zu entsprechen.

Robert RomanskiRobert Romanski, System Engineer, Commvault
 

GRID LIST
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…