Suche

Wie Unternehmen sich für das strengste Datenschutzgesetz der Welt fitmachen

erstellt am 22 November 2017 durch Grafiken: zvgGrafiken: zvgGrafiken: zvgGrafiken: zvg

Datenschutz-Grundverordnung (EU-DSGVO): Reform des europäischen Gesetz-Flickenteppichs – mit Auswirkungen auch auf die Schweiz.

Expertenbericht von Gerhard Raffling, Country Manager Schweiz und Österreich sowie Regional Director für SEE bei Commvault

 

Das derzeit in Europa geltende Datenschutzrecht hat sich im Laufe der Jahre zur komplexen Materie entwickelt. Es verteilt sich über verschiedene Gesetzentwürfe hinweg, ist teilweise veraltet und wurde in der Vergangenheit nur im Bedarfsfall und dann auch nur bruchstückhaft ergänzt. Mit dem Inkrafttreten der EU-DSGVO am 25. Mai 2018 werden bestehende Datenschutz-Regelungen innerhalb der EU harmonisiert und zeitgemässe Richtlinien für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen geschaffen – mit Auswirkungen auf alle Länder, die mit der EU Geschäfte machen.

Die EU-DSGVO betrifft alle Länder

Der Grund: Jedes Unternehmen, das personenbezogene Daten von EU-Einwohnern sammelt oder verarbeitet, unterliegt der Neuregelung und muss deren Bestimmungen einhalten, unabhängig davon, wo es ansässig ist. Damit sind auch Unternehmen in der Schweiz, in den USA und weiteren Ländern betroffen.

Unternehmen unterliegen mit dem Inkrafttreten der Kontrolle staatlicher Prüfinstanzen und müssen für grösstmögliche Sicherheit und Transparenz bei Datenverarbeitungsprozessen sorgen. So wird datenschutzrechtlich bedenklichen Rückzugsräumen innerhalb Europas ein Riegel vorgeschoben, nationale Datenschutz- und Regulierungsbehörden werden mit wirkungsvollen Instrumenten zur Sanktionierung ausgerüstet. Wer gegen das strengste Datenschutzgesetz der Welt verstößt, muss mit Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes rechnen.

Die Verordnung umfasst eine Reihe von neuartigen Rechten und Verpflichtungen, darunter unter anderem:

·       Angepasster Datenschutz: Schutz personenbezogener Daten vor Missbrauch in jeder Phase ihres Lebenszyklus.

·       Datenminimierung: Sammlung und Speicherung so wenig personenbezogener Daten wie möglich.

·       Recht, vergessen zu werden: Löschung aller personenbezogenen Daten einer Person auf Anforderung.

·       Übertragung und Portabilität von Daten: Migration der personenbezogenen Daten einer Person zu einem anderen Anbieter auf Anforderung.

·       Verwaltung der Zustimmung: Definition spezifischer Verwendungsszenarien bei Einholen der Zustimmung, Aufbewahrung des Nachweises der Zustimmung und Löschung der Daten, wenn die Verwendungsszenarien nicht länger bestehen.

·       Benachrichtigung über Datenschutzverletzungen innerhalb von 72 Stunden: Ermittlung des Umfangs einer Verletzung und Benachrichtigung der Betroffenen

·       Integrität und Verfügbarkeit: Schnelle Wiederherstellung des Zugriffs auf personenbezogene Daten nach einem Ausfall oder Fehler.

·       Dokumentation: Protokollierung und Bereitstellung von Audit-Belegen für alle Zustimmungen, Anforderungen und Abhilfemaßnahmen.

Daten-Sammelwut und zunehmende Cloud-Datenkomplexität erschweren Compliance

In Industrie 4.0 Umgebungen sind Infrastrukturen und Applikationen weitgehend miteinander vernetzt, Cloud-Lösungen führen Informationen aus unterschiedlichsten Datensilos zusammen und intelligente Algorithmen gewähren gewinnbringende Einblicke in die gesammelten Datenschätze.

Dieser Trend bietet Unternehmen die Möglichkeit bestehende Geschäftsabläufe zu optimieren und völlig neue Geschäftsmodelle zu erschließen. Gleichzeitig besteht die größte Herausforderung der Digitalisierung hinsichtlich der DSGVO-Compliance darin, sich einen umfassenden Überblick über all die erhobenen strukturierten und unstrukturierten Daten, unabhängig vom Speicherort, zu verschaffen: Laptops, Tablets, mobile Endgeräte, E-Mails, persönliche Clouds, Dateiserver mit Tausenden von Nutzerdaten sorgen für zusätzliche Datenkomplexität und behindern die Compliance maßgeblich. Eine IDC Studie unterstreicht die vorliegende Problematik: So prognostiziert das internationale Analystenhaus, dass die Menge an Daten innerhalb eines Unternehmens jährlich weiterhin um 40 bis 50 Prozent wachsen wird. Für Unternehmensverantwortliche bedeutet dies zunächst, dass sie ermitteln müssen, welche Daten in die Cloud ausgelagert werden und nicht zuletzt auch, wie diese dort umfassend geschützt sind. 

Commvault-Studie belegt unzureichende EU-DSGVO Konformität bei Unternehmen

CIOs und IT-Entscheidern weltweit ist aktuell nicht bewusst, wie sehr der Druck auf sie wächst. Und das nicht nur von Seiten des Gesetzgebers, denn auch die Verbraucher rüsten sich: Eine aktuelle DMI-Studie* (Deutsche Messe Interactive), die im Auftrag von Commvault durchgeführt wurde, offenbart, dass mehr als zwei Drittel der deutschen Verbraucher planen, von ihren zentralen Rechten im Rahmen der DSGVO Gebrauch zu machen – und das über Ländergrenzen hinweg. Konkret geht es hierbei vor allem um das Auskunftsrecht sowie das Recht auf Vergessenwerden.

Für mindestens die Hälfte der Unternehmen in Deutschland stellt dies jedoch eine enorme Herausforderung dar, denn sie sind momentan weder personell noch IT-seitig darauf vorbereitet, eine große Anzahl an Auskunfts- oder Löschanfragen zu bearbeiten, wie eine weitere Studie von Commvault zeigt. 87 Prozent der befragten CIOs geben sogar zu, dass ihre aktuellen Richtlinien und Verfahren nicht EU-DSGVO konform sind. Ähnlich sieht es in den benachbarten Ländern wie der Schweiz und Österreich aus, wie eine Studie von Trend Micro zeigt.

Darüber hinaus zeigt sich, dass in Bezug auf die neuen Prozesse aktuell noch erheblicher Klärungsbedarf besteht: 35 Prozent haben noch nicht definiert, wer sich überhaupt um die Anfragen kümmern soll. Und 45 Prozent weisen dem Datenschutzbeauftragten diese Aufgabe zu, die schnell zu einer Herkulesaufgabe werden kann. Die Studienergebnisse verdeutlichen zudem, dass nur die wenigsten der befragten Unternehmen bisher tatsächlich auf die neue DSGVO vorbereitet sind. Zwar sind die Verwantwortungsbereiche in den meisten Fällen relativ klar definiert aber es fehlt an Transparenz bezüglich der Speicherorte sowie der Zugriffsmöglichkeiten.

Unternehmen, die ihre Infrastrukturen nicht umgehend auf den Ernstfall vorbereiten, werden mit schwerwiegenden Problemen zu kämpfen haben – sowohl mit personellen Ressourcen, wenn es um die Bearbeitung der Anfragen geht, als auch mit finanziellen Strafen bei Nichteinhaltung.

EU-DSGVO-Compliance mittels konsolidiertem Datenmanagement

Während die Sicherstellung größtmöglicher DSGVO-Konformität Unternehmen aktuell vor zahlreiche Herausforderungen stellt, bietet die zeitnahe Umstellung auf konsolidierte Datensicherungs-, Compliance, und Discovery-Vorgänge die Möglichkeit, sich mittels DSGVO-konformer Datenverarbeitungsabläufe vom Wettbewerb abzuheben und neue Kunden für sich zu gewinnen. Das geht beispielsweise mit einer speziellen Software zur Informationsverwaltung aller strukturierten und unstrukturierten Unternehmensdaten, wie sie Commvault mit seiner Backup-, Wiederherstellungs- und Archivierungs-Lösung anbietet, die einen zentral durchsuchbaren Pool aller verfügbaren Datensätze schafft. Damit haben Unternehmen die nötige Transparenz und Kontrolle, um auf die vielseitigen DSGVO-Anforderungen umgehend zu reagieren.


*Quelle der Studienergebnisse: In der Umfrage „Sind Sie bereit für die neue EU-Datenschutzgrundverordnung (DSGVO)?“ wurden von Deutsche Messe Interactive im Mai und Juni 2017 im Auftrag von Commvault 113 Unternehmen in Deutschland befragt. Für die von Commvault in Auftrag gegebene repräsentative Umfrage „Die EU-Datenschutzgrundverordnung im Verbrauchercheck“ wurden im Juni 2017 von YouGov 2.064 deutsche Verbraucher befragt.

 

https://www.commvault.com/de-de


facebook twitter