Stefan Henke / Regional Vice President Central Europe bei Veritas: DSGVO: Ab jetzt zählt jeder Tag

Der Countdown für die Datenschutz-Grundverordnung läuft. In weniger als einem Jahr, ab dem 25. Mai 2018, müssen Unternehmen personenbezogene Daten von EU-Bürgern nach neuen, strengeren Regeln behandeln.

(Foto: Veritas)

Viele Firmen erwarten eine Reihe von Schwierigkeiten, denn diese Daten sind aktuell oft an unterschiedlichen Stellen gespeichert, sei es on premise oder in der Cloud. Personenbezogene Daten gilt es künftig besonders sorgsam zu pflegen, schließlich erhalten EU-Bürger im Rahmen des privaten Datenschutzes eine ganze Reihe von wichtigen Privilegien. Beim Recht auf Vergessenwerden, um nur ein zentrales Privileg herauszugreifen, dürfen Bürger beispielsweise fordern, dass ein Unternehmen alle Daten zu der Person löschen muss, sofern die Daten nicht aus bestimmten gewichtigen Gründen vorgehalten werden müssen.

Laut einer Veritas-Studie zweifeln allerdings 47 Prozent der deutschen Unternehmen daran, die neuen Regelungen rechtzeitig umsetzen zu können. Das könnte sie teuer zu stehen kommen. Im Fall eines Datenlecks, dies ist ein zweites wichtiges Recht der Verordnung, müssen Betroffene und Aufsichtsbehörden innerhalb von 72 Stunden informiert werden. Wer dem nicht nachkommt, dem drohen Strafen von bis zu 20 Millionen Euro oder vier Prozent des Gesamtumsatzes. Der Studie zufolge fürchten 24 Prozent der Befragten dieses Worst-Case-Szenario und die damit verbundenen Folgen wie Vertrauens- oder Kundenverlust.

Wichtig ist daher die richtige Strategie zur Vorbereitung auf die Datenschutzverordnung. Fünf Kernfunktionen müssen auf dem Weg zur DSGVO-Compliance abgehakt werden:

1. Lokalisieren: Zunächst müssen Unternehmen in einer Art Datenlandkarte einen Überblick darüber gewinnen, wo personenbezogene Daten überhaupt gelagert sind. Das gilt insbesondere bei Infrastrukturen, in denen die Daten auf jede Menge Standorte und in der Cloud verteilt sind.

2. Suchen: EU-Bürger können einen Einblick in und/oder die Herausgabe von über sie gespeicherte Daten verlangen. Unternehmen müssen das zeitnah gewährleisten können. Ein Prozess und Software, mit denen sich Daten schnell auffinden und bei Bedarf löschen lassen, helfen dabei.

3. Minimieren: Die DSGVO regelt, dass Firmen personenbezogene Daten nur zweckgebunden, also nur für eine bestimmte Frist speichern dürfen. Deshalb sollte jede Datei mit einem Verfallsdatum versehen und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.

4. Schützen: Es sollte selbstverständlich sein personenbezogene Daten sorgsam zu sichern. Unternehmen müssen Maßnahmen ergreifen, um Angreifer von außen und innen abzuwehren. Passiert doch etwas, sind Firmen verpflichtet, das Datenleck innerhalb von 72 Stunden zu melden. Eine direkte Überleitung für den letzten Punkt.

5. Überwachen: Bevor ein Datenleck gemeldet werden kann, muss man wissen, dass es existiert. Es ist wichtig, verlorene Daten schnell und eindeutig zu identifizieren. Eine Software für ein umfassendes Datenmanagement, das die komplexe Speicherinfrastruktur ständig auf Unregelmäßigkeiten überprüft, kann hier sehr helfen.

Viele Unternehmen stellt die Datenschutzverordnung vor große Aufgaben, daher sollte ein Projekt mit speziellen Beratungsdiensten gekoppelt sein, um möglichst effizient Tools und Prozesse aufeinander abzustimmen. Ein GDPR Assessment sollte dabei der erste Schritt sein, um den Reifegrad und damit einen faktisch ermittelten Ausgangspunkt zu bestimmen.

Damit können Unternehmen die Risiken schnell identifizieren und die großen Themen priorisiert angehen. Denn ab jetzt zählt jeder Tag, das Inkrafttreten der Datenschutzverordnung ist nun weniger als 365 Tage entfernt.