Suchen

Auf eine schnelle Verfügbarkeit kommt es an Daten-Management in Zeiten der DSGVO

| Autor / Redakteur: Stefan Riedl / Sarah Böttcher

Der Countdown läuft. Ab Mai 2018 greift die europäische Datenschutzgrundverordnung (EU-DSGVO). In Hinblick auf Sicherheit und den Umgang mit personenbezogenen Daten weht dann ein anderer Wind. Es gibt aber immer noch einige Verwirrungen.

Firmen zum Thema

Sind die Daten schnell verfügbar und trotzdem DSGVO-konform abgelegt? Diese Frage sollten sich alle Unternehmen ab sofort – und somit vor dem in Kraft treten der EU-DSGVO – stellen.
Sind die Daten schnell verfügbar und trotzdem DSGVO-konform abgelegt? Diese Frage sollten sich alle Unternehmen ab sofort – und somit vor dem in Kraft treten der EU-DSGVO – stellen.
(Bild: © Cybrain - stock.adobe.com)

Die maximale Geldbuße, die bei Verstößen gegen die Datenschutzgrundverordnung der EU droht, beträgt bis zu 20 Millionen Euro oder bis zu vier Prozent des ­gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Wert der höhere ist. Grund genug für IT-Verantwortliche, sich über das Storage- und Datenmanagement im Unternehmen Gedanken zu machen. Datenbestand, Datenflüsse und Datenverarbeitungsprozesse sollten auf den Prüfstand gestellt und dokumentiert werden. Angesichts der Bußgeldhöhe relativieren sich die Kosten für externe Audits und Beratungen.

Ergänzendes zum Thema
Was will die EU-DSGVO?

Ziel der EU-Datenschutzgrund­verordnung (EU-DSGVO) ist es, einerseits den Schutz von personenbezogenen Daten innerhalb der Europäischen Union sicherzustellen, andererseits den freien Datenverkehr innerhalb des europäischen Binnenmarkts zu gewährleisten.

Im Rahmen der DSGVO haben Privatpersonen unter anderem das Recht auf eine Auskunft, welche Daten Unternehmen von ihnen ­erhoben haben und was damit ­gemacht wird. Des Weiteren unterliegen Unternehmen dann der Kontrolle staatlicher Prüfinstanzen. Neben hohen Sicherheitsanforderungen ist deshalb Transparenz bei den Datenverarbeitungsprozessen gefordert. Die DSGVO gilt auch für ­Unternehmen mit Sitz außerhalb der EU, deren Angebot sich jedoch an EU-Bürger wendet wie beispielsweise die US-amerikanischen Firmen Google oder Facebook.

Recht auf Vergessenwerden

Ein Beispiel für die Auswirkungen der EU-Datenschutzgrundverordnung ist Artikel 17 derselben: das Recht auf Löschung (auch: Recht auf Vergessenwerden). Personen haben demnach das Recht, dass ihre personenbezogenen Daten auf Verlangen unverzüglich gelöscht werden, wenn einer der Gründe dafür gegeben ist.

So ein Grund liegt beispielsweise dann vor, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr nötig sind, oder die Einwilligung zur Erhebung der Daten widerrufen wird (und es keine andere Rechtsgrundlage dafür gibt). Doch wer bestimmte Daten unverzüglich löschen muss, muss zwangsläufig wissen, wo diese liegen, inklusive Backups oder weiterer Dateien, die im Rahmen von Datenflüssen und Datenverarbeitungsprozessen ­angelegt wurden.

Anders formuliert: Ein intelligentes Storage- und Daten-Managemementsystem kann vor immensen Bußgeld-Zahlungen schützen. Immerhin sind Kunden oder potenzielle Kunden, die auf ihr Recht auf Löschung pochen und bei Zuwiderhandlungen eine Meldung bei der Aufsichtsbehörde tätigen, eine der möglichen Ursachen dafür, dass ahndungswürdige Sachverhalte ans Licht kommen. Aber auch durch Meldungen von unzufriedenen (womöglich vor Kurzem gekündigten) Mitarbeitern droht den Unternehmen Ungemach.

Angesichts der Höhe der Bußgelder, die im Raum stehen, ist kaum verwunderlich, dass die DSGVO kontrovers diskutiert wird. So ­erwarten die Unternehmen laut einer Bitkom-Umfrage beispielsweise ungefähr gleichermaßen mehr Rechtsunsicherheit wie Rechtssicherheit.

Dass beide Antwortoptionen von mehr als der Hälfte gegeben wurden, mag daran liegen, dass in Teilbereichen mehr und in anderen Teilen weniger Rechtssicherheit erwartet wird. Insgesamt ergibt sich ein kontroverses Meinungsbild (siehe Grafik „Unternehmen zur DSGVO“).

Bestehende Unsicherheiten

Ein Aspekt sorgt zusätzlich für Verwirrung: Sicherheitsmaßnahmen müssen laut DSGVO, so die Formulierung, dem „Stand der Technik“ entsprechen. Doch was bedeutet dieser Ausdruck, um im Zweifel auf der rechtssicheren Seite zu sein?

Unternehmen legen bei der Beantwortung dieser Frage ziemlich unterschiedliche Maßstäbe an. Beim Bitkom-Verband kennt man die Problematik mit solchen vagen Formulierungen. „Allerdings dürfen die rechtlichen Unsicherheiten kein Grund dafür sein, die Hände in den Schoß zu legen“, betont Susanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit beim Bitkom-Verband.

Geht es vor Gericht, wird ein Verfahrensverzeichnis im Unternehmen eine zentrale Rolle spielen, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind. „Ein Verfahrensverzeichnis ist heute schon Pflicht, künftig aber noch dringender erforderlich.

Die neue Verordnung verlangt von Unternehmen den Nachweis der rechtskonformen Datenverarbeitung. Eine solche Datenschutz-Dokumentation wird in Streitfällen eine wichtige Rolle spielen“, so Dehmel. Der Bitkom-Verband stellt ein umfangreiches FAQ bereit, um für die Fragen, die sich aus der DSGVO ergeben, zu sensibilisieren.

DSGVO-konforme Daten-Management- und Storage-Lösungen arbeiten mit Metadaten, um personenbezogene Informationen, die in der Cloud oder vor Ort gespeichert wurden, per Suchfunktion zu ermitteln. Das hilft beispielsweise bei der Umsetzung des Rechts auf Vergessenwerden. Ferner kann die Zusammenarbeit mit Cloud-Anbietern ein Weg zum geforderten „standardmäßigen Datenschutz nach dem Stand der Technik“ sein.

* Diesen Beitrag haben wir von unserem Schwesterportal IT-Business übernommen.

(ID:45067803)