Sie sind hier: HomeDatacenter

EU-DSGVO: Weckruf für das Datenmanagement

Bald ein Jahr nach der Einführung der Datenschutzgrundverordnung (DSGVO) zeigen sich ihre Stärken – und einige Schwächen. Vor allem die Unsicherheit rund um viele noch ungeklärte Konstellationen, in denen Daten verarbeitet und weitergegeben werden, macht Unternehmen zu schaffen.

Sträfling Daten Bildquelle: © ostill-123rf

Insbesondere kleinere Firmen ohne eigene Compliance-Abteilung können die mit der neuen Verordnung anfallenden Aufgaben kaum unkompliziert und kostengünstig bewältigen.

Größere Firmen haben die DSGVO zum Anlass genommen, ihre Datenlandschaft besser zu verstehen und Prozesse einzuführen, um die Speicherung und Analyse von Informationen grundlegend neu aufzusetzen. Neben der Erfüllung der neuen Anforderungen sollten damit im gleichen Atemzug Ziele wie Wettbewerbsvorteile und Kostenersparnisse erreicht werden. Von den dabei verwendeten Methoden können im Prinzip auch wesentlich kleinere Unternehmen profitieren. Konkret haben sich vier Best-Practise-Schritte herausgebildet, mit denen die Fragen, welche Daten auf den verschiedenen Speichersystemen lagern, welche Vorgänge damit verbunden sind und welcher Personenkreis damit beschäftigt ist, beantwortet werden können.

Best Practises für mehr Datenschutz
Beim ersten Schritt, dem Lokalisieren und Finden, geht es zunächst einmal darum, personenbezogene Daten sichtbar zu machen. Schließlich ist es mit Blick auf die DSGVO wichtig zu wissen, wo persönliche und sensible Informationen gespeichert sind, wer darauf Zugriff hat und wie lange diese Informationen bereits aufbewahrt werden. Das betrifft gerade auch all die Informationen, die mittlerweile in der Cloud gelagert werden. Im Idealfall bekommt das Unternehmen im Anschluss über eine Art Datenlandkarte die in dieser Phase geforderte Transparenz.

Mit dem zweiten Schritt, dem Minimieren, soll der Umfang der personenbezogenen Daten kontrolliert und reduziert werden. Damit wird eine der zentralen Forderungen der DSGVO nach Datensparsamkeit erfüllt. Ein zentrales Ziel der Verordnung ist schließlich, dass Unternehmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern sollen. Um dieser Forderung nachzukommen, ist im idealen Fall jede Datei mit einem Verfallsdatum versehen. Nach Ablauf einer bestimmten Zeitspanne und abhängig vom Verwendungszweck und eventuellen Aufbewahrungspflichten wird sie automatisch gelöscht.

In eine ähnliche Richtung geht der dritte Schritt, dass Schützen von personenbezogenen Daten vor Missbrauch und Verlust. Dabei lautet die Herausforderung, den aktuellen Status quo zu ermitteln und bestehende Prozesse vor dem Hintergrund neuer Angriffspunkte auf den Prüfstand zu stellen. Der vierte Schritt, dass Überwachen, ist angesichts hoher Strafen von besonderer Bedeutung. Immerhin müssen die Unternehmen laut DSGVO die von einem Datenverlust betroffenen Personen und die Behörden innerhalb von 72 Stunden über den Vorfall informieren. Der Aufwand, mit dem diese vier Schritte als Best Practise durchgängig ausgeführt werden können, ist beträchtlich. Er wächst mit der Größe der Firma, der Datenmenge und den Datenquellen, die eingebunden werden müssen. Dabei bereiten besonders die unstrukturierten Daten die größten Probleme. Schließlich müssen in den unstrukturierten Daten – einem Wust aus E-Mails, Office-Dokumenten, Bildern und Videos – die DSGVO-relevanten Informationen gefunden werden. Immerhin werden im Jahr 2020, Analysen von „Demo“ zufolge, für jeden Menschen auf der Welt 1,7 Megabyte an Daten erzeugt – pro Sekunde.