EU-Datenschutz-Grundverordnung: Damoklesschwert für Datenhalter und –verarbeiter

Im digitalen Darwinismus, den wir gerade erleben, geht es darum, Entwicklungen frühzeitig zu antizipieren und sich rasch anzupassen. Das Datenmanagement beeinflusst dabei entscheidend, in welche Richtung ein Unternehmen steuert. Schließlich basieren strategische Geschäftsentscheidungen auf Daten, die eine Firma möglichst in Echtzeit analysiert.

Anpassungsdruck entsteht für die Wirtschaft aber auch noch aus einer anderen Richtung: Im Mai 2016 trat die EU-Datenschutz-Grundverordnung (EU-DSGVO), im Englischen “General Data Protection Regulation” (GDPR), in Kraft. Sie dient dazu, den Datenschutz in Europa zu modernisieren und zu vereinheitlichen. Unternehmen haben nun noch bis zum 25. Mai 2018 Zeit, alle EU-Datenschutzvorgaben, wie zum Beispiel zum “Recht auf Vergessenwerden”, umzusetzen und es Kunden zu ermöglichen, ihre Daten zu einem neuen Dienstleister mitzunehmen. Dann endet die Übergangsfrist.

Laut einer Umfrage von NetApp haben jedoch aktuell mehr als 70 Prozent der IT-Entscheider in Deutschland, Frankreich und UK Bedenken, ob ihre Organisation bis zum 25. Mai 2018 die einheitlichen EU-Datenschutz-Vorgaben erfüllen kann. Die NetApp-Umfrage unter jeweils 750 IT-Entscheidern in Deutschland, Frankreich und UK zeigt darüber hinaus, dass viele Wirtschaftsakteure den Handlungsdruck noch nicht erkennen: Nur 37 Prozent der Befragten haben zusätzlich investiert, um gesetzeskonforme Datenschutzprozesse zu realisieren. Dieser Wert sollte weit höher liegen, denn Unternehmen müssen ihr Geschäft auf eine datengetriebene Zukunft ausrichten und Maßnahmen ergreifen, um den drakonischen Geldstrafen vorbeugen, die bei Verstößen gegen die EU-DSGVO drohen.

Die Regulierung betrifft alle Unternehmen, die mit personenbezogenen Daten von EU-Bürgern arbeiten, unabhängig davon wo diese Unternehmen ihren Sitz haben. Sie müssen künftig in der Lage sein, schnell alle Daten mit Personenbezug zu löschen, wenn die betreffende Person das wünscht. Aus diesem “Recht auf Vergessenwerden” ergibt sich, dass die Komplexität für das Halten, Klassifizieren und Wiederauffinden von Daten steigt.

Abschreckender Strafenkatalog

Unternehmen, die gegen die DSGVO verstoßen, drohen Strafen bis zu 20 Millionen Euro oder bis zu vier Prozent ihres weltweit erzielten Jahresumsatzes. Zur konkreten Sanktionshöhe führt die EU-Verordnung ein Stufensystem auf. Es hängt also ein Damoklesschwert über Unternehmen, die sich nicht auf die rechtlichen, technischen und organisatorischen Veränderungen vorbereiten. Die neue Dimension von Eintrittswahrscheinlichkeit und Umfang der potenziellen Belastungen bedeuten, dass dieses Risiko nun auch im Bilanzerstellungsprozess relevant sein kann.

Hinzu kommt, dass sich dieses Risiko euerdings in zwei Richtungen auswirkt: In Zukunft stehen sowohl Datenhalter also auch Datenverarbeiter in der Haftung. Demzufolge steigt für Anbieter von IT-Outsourcing und -Service-Bereitstellung das Risiko immens. Der Datenverarbeiter hat nicht nur den korrekten Datenumgang sicherzustellen, sondern auch auf Nachfrage der Aufsichtsbehörde den Nachweis dafür zu liefern.

Sparsameres Erheben von Daten

Im neuen Gesetz stehen auch zwei Vorschriften für IT-Services, welche das bereits nach bisheriger Gesetzeslage bestehende Prinzip der Datensparsamkeit verbessern sollen. Zum einen handelt es sich um “Privacy by Design”. Hierbei sorgt die Technik für den Datenschutz: Jede Datenhaltungsapplikation, die mit personenbezogenen Daten umgeht, muss so konzipiert sein, dass sie den Datenschutz sicherstellt.

Als zweite zentrale Vorgabe ist “Privacy by Default” verankert. Diese schreibt für Anwendungen vor, im Grundzustand, also im Rahmen der Voreinstellungen, den Datenschutz zu gewährleisten. Unternehmen müssen folglich bereits beim Produktdesign den Datenschutz berücksichtigen.

Für Anwendungen im Bereich Big Data bedeutet das, ein Anonymisieren der Daten sozusagen ‚einzubauen‘. Niemandem darf es gelingen, chiffrierte Information einfach zu entschlüsseln – durchaus eine Herausforderung in der Praxis. Noch spannungsgeladener ist allerdings das Feld der personalisierten Werbung. Diese spielt einer Person aufgrund ihres Onlineverhaltens gezielt Angebote zu. Die DSGVO sieht ganz klar vor, dass dazu eine vollinformierte und verständig abgegebene Einwilligung der Person vorliegen muss. Ein Kunde muss also die Voreinstellungen selbst ändern, will er das dafür erforderliche, niedrigere Datenschutzniveau akzeptieren.

Über die Datenklassifizierung zur zentralen Managementoberfläche

Der Aufwand für Unternehmen steigt, um zu einem gesetzeskonformen Datenmanagement zu gelangen. Ein Unternehmen muss wissen, welche personenbezogenen Daten es erhebt und wo dies passiert. Zum Überblick trägt vor allem eine Einordnung und Klassifizierung der vorhandenen Strukturen und Daten bei.

Die Datenklassifizierung erfolgt primär nach unterschiedlichen Sensitivitätsstufen: Angaben im Geschäftsverkehr zu Name, Berufsbezeichnung, Büroanschrift und Telefonnummer sind weniger “heiß” als darüber hinausgehende, persönliche Mitarbeiterinformationen. In den hochsensiblen Bereich fallen persönliche Angaben bei Versicherungen, Banken oder im Gesundheitswesen. Die IT-Umgebung muss auf diese Anforderungen abgestimmt sein. Aber allein die Bestandsaufnahme, wie eine IT aufgestellt ist und mit den ermittelnden Datenklassen umgeht, kostet immensen Aufwand und erfordert möglicherweise externe Unterstützung.

Es empfiehlt sich daher für Unternehmen, das Datenmanagement im Lichte der Anforderungen der DSGVO in einem Projekt zu priorisieren. Das bindet idealerweise die Verantwortlichen für IT, den Datenschutz und der Rechtsabteilung sowie auch die Fachbereiche ein. Denn es gilt, das Verständnis für die Datenklassifizierung aus technischer, juristischer und fachlicher Sicht zu entwickeln und das Wissen zusammenzuführen. Daraus ergibt sich in der Regel ein Team aus internen und spezialisierten externen Ressourcen.

Aus der technischen Perspektive betrachtet, müssen sich Unternehmen mit einer hybriden IT-Landschaft beschäftigen. Die Hybrid Cloud ist in aller Regel heute schon Realität: Laut einer Marktstudie von NetApp, durchgeführt im Dezember 2016, nutzen mehr als zwei Drittel (69 Prozent) der 750 befragten IT-Leiter in Deutschland eine Kombination aus Private Cloud und Public Cloud. Beim Hybrid-Cloud-Modell findet das Datenmanagement sowohl im eigenen Haus als auch in Private-Cloud- oder sogar Public-Cloud-Umgebungen statt.

Das Hauptaugenmerk liegt in hybriden Landschaften auf der Datenkontrolle. Ein Unternehmen muss jederzeit wissen, wo seine Daten liegen. Und es muss diese schnell zurückholen und gegebenenfalls löschen können. Diesen Anspruch an die Architektur erfüllen zentrale Plattformen, die auf einheitliche Verwaltung von definierten Dateiformaten setzen. Technisch ist ein Unternehmen so in der Lage, schnell auf Gesetzesänderungen zu reagieren und notwendige Anpassungen vorzunehmen.

Beispielsweise für die “Cookie-Richtlinie” sind im Laufe der Zeit Präzisierungen oder Anpassungen zu erwarten. Die könnten notwendig werden, wenn der Gesetzgeber oder der Europäische Gerichtshof einzelne Aspekte neu interpretiert und zum Beispiel noch höheren Datenschutz fordert. Auch in der DSGVO gibt es einige Öffnungsklauseln, insbesondere beim Mitarbeiterdatenschutz, die der Gesetzgeber noch ausgestalten muss. Unternehmen sollten daher technisch in der Lage sein, etwaige Änderungen rasch und effizient umzusetzen.

In der Praxis heißt das, sogenannte “Vendor Lock-ins” zu vermeiden und bereits vor dem Upload der Daten in eine Cloud-basierte Lösung auch einen möglichen Rückzug aus der Cloud zu bedenken – und zwar nicht nur theoretisch und vertraglich abgesichert, sondern mit Blick auf die praktische Handhabung: Wie lassen sich Daten schnell und mit wenig technischem und kommerziellem Aufwand bewegen oder besser schützen, wenn neue Leitlinien dies erfordern – und wie kann das im laufenden Betrieb passieren?

Kooperative Behörden und gute Zertifizierungsaussichten

Die Datenschutzbehörden wollen proaktiv Hilfestellung anbieten und geben in mehreren Bundesländern bereits Leitfäden oder Ratgeber heraus. Für Unternehmen, die eine Datenmanagementlösung implementieren, ist es ratsam, dass der Datenschutzbeauftragte diese Informationen nutzt und möglicherweise zu bestimmten Fragen proaktiv die zuständige Behörde kontaktiert und mit ihr zusammenarbeitet.

Die DSGVO sieht neben dem kollaborativen Ansatz zwischen Anwendern und Behörden auch datenschutzspezifische Zertifizierungen vor – insbesondere für Service- und Cloud-Provider sowie Cloud-basierte Dienste. Einen Rahmen gibt die Norm ISO 27001 vor. Eine Zertifizierung nach DSGVO existiert noch nicht, es gibt jedoch bereits Initiativen, die daran arbeiten. Bis zum nächsten Jahr ist hier also viel Bewegung zu erwarten.

Beispielsweise können IT-Dienstleister branchenspezifische “Codes of Conduct” erarbeiten und auf Basis dieser Vorschläge dann die Datenschutzbehörden einbeziehen, um die vorgelegten Datenschutzrichtlinien überprüfen zu lassen. Ein solches Vorgehen ist auch in anderen Branchen vorstellbar. Krankenhäuser könnten sich zum Beispiel auf Standards verständigen, wie sie mit Patientendaten umgehen, wenn sie Röntgenaufnahmen machen.

Das Gesetz begegnet hier auf sehr moderne Art und Weise der IT-Realität und gibt nicht mehr jedem Einzelnen Nutzer vor, “seine” cloudbasierten Services zu zertifizieren. Vielmehr können und sollen die Datenverarbeiter, die Massenservices anbieten und ja auch für den Datenschutz mithaften, die Steilvorlage der DSGVO nutzen und ihr Angebot durch Zertifizierung absichern. Sie können damit gleichzeitig eine Chance nutzen und das Angebot aufwerten. Denn es ist ganz eindeutig davon auszugehen, dass Anwender bei Cloud-basierten Lösungen stärker auf überprüfbare Standards zum Datenschutz achten werden.

Ab sofort an der Anpassungsfähigkeit arbeiten

Das Gebot der Stunde für Unternehmen ist es, ein IT-Transformations-Projekt zu starten: Eine veränderte Datenhaltung aufzusetzen, ist sehr komplex. Die Klärung der grundsätzlichen Fragen zu Outsourcing oder Nutzung von Public, Private oder Hybrid Cloud benötigt Vorlauf. Ein Jahr vergeht schnell und das Gesetz greift dann mit härteren Vorgaben und höheren Haftungsrisiken. Bestehende IT-Landschaft, Geschäftsfeld, Risikobewertung und Investitionsbereitschaft stecken den Spielraum ab, wie eine Hybrid-Cloud-Lösung mit einheitlichem Datenmanagement für eine Anwenderfirma aussehen kann. Diese steht im nächsten Schritt vor der Frage, wo kauft sie die Lösung(en) ein und welchen Dienstleister holt sie an Bord, um ihre IT-Infrastruktur anpassungsfähig aufzustellen.

Newsletter CEO
Die wichtigsten Informationen für das C-Level-Management - melden Sie sich jetzt für unseren Newsletter an.