Neue Anforderungen im Storage-Bereich: DSGVO braucht Datenmanagement

Die ab kommendem Mai verbindlich geltende EU-Datenschutzgrundverordnung erlegt Unternehmen neue Pflichten beim Umgang mit personenbezogenen Daten auf. Das ist nicht nur ein Security-Thema, sondern bietet auch Storage-Spezialisten die Gelegenheit, sich weiter vom Hardware-Geschäft zu emanzipieren.

Datenminimierung als Ziel

Viele Unternehmen sind bei der Umsetzung der DSGVO auf die Unterstützung des Channels angewiesen. Zu großen Teilen ist das ein Thema für klassische Sicherheitsspezialisten, die die Mitarbeiter eines Unternehmens für IT-Security und Datenschutz sensibilisieren und mit den verschiedensten Sicherheitslösungen dafür sorgen, dass Daten nicht zerstört, manipuliert oder entwendet werden. Hier kommen etwa Lösungen für Endpoint- und Netzwerk-Security zum Einsatz, aber auch für Backup, Verschlüsselung sowie Identity- und Access-Management.

Doch auch für Systemhäuser und Dienstleister aus dem Storage-Business bietet das Thema großes Potenzial für Consultingdienste und Services, gibt es doch neue Dokumentations-, Auskunfts- und Meldepflichten, für die es unerlässlich ist zu wissen, welche personenbezogenen Daten sich im Unternehmen befinden, wo diese liegen und was mit ihnen geschieht. Der Schlüssel ist ein professionelles Datenmanagement und ein sogenanntes Verfahrensverzeichnis, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind.

Grundsätzlich ist Datenminimierung eine gute Strategie, auch wenn das vielen Unternehmen nicht gefallen mag. Doch wer nur wirklich notwendige persönliche Daten erhebt, diese nur so lange aufbewahrt, wie sie tatsächlich benötigt werden, und sie nur dann weitergibt, wenn das erforderlich ist, minimiert auch sein Risiko, Daten zu verlieren oder gegen die DSGVO zu verstoßen. Denn es drohen künftig empfindliche Strafen: Verstöße gegen die Datenschutzgrundverordnung können eine Geldbuße von bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes nach sich ziehen. Und eine Verletzung der Meldepflichten, also dass Behörden oder betroffene Personen nach einem Vorfall nicht rechtzeitig oder umfassend informiert werden, kann mit einer Strafe von maximal zehn Millionen Euro oder zwei Prozent des Jahresumsatzes geahndet werden.

Die meisten Experten rechnen damit, dass die Behörden im kommenden Jahr relativ schnell aktiv werden und Exempel statuieren wollen, um zu zeigen, dass es ihnen ernst ist mit der DSGVO. Wahrscheinlich trifft es wegen der erwünschten Signalwirkung aber zunächst ein größeres, namhaftes Unternehmen und nicht eine kleine oder mittelständische Firma.