DSGVO: Droht ein neues Millennium-Problem?

Das Millennium-Problem ist den meisten IT-lern noch in Erinnerung. Können ihre Systeme auch mit einer vierstelligen Jahreszahl umgehen? Die Antwort gab der Neujahrsmorgen: Die meisten Systeme liefen reibungslos. Der IT-Gau trat nicht ein, was zuletzt auch daran lag, dass Soft- und Hardware im Vorfeld ausgiebig getestet wurden.

Eine ähnliche Frage stellt sich bald neu – mit der Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft tritt. Auch hier ist eine Debatte darüber entfacht worden, welche Konsequenzen die Regularien haben werden und welche Kosten auf Unternehmen zukommen könnten.

Bei genauerer Betrachtung wird aber klar, dass es diesmal wohl nicht so glimpflich ablaufen könnte. Die neuen Regelungen sind umfangreich, bei Verstößen gegen die Kernprinzipien drohen Strafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Verwunderlich ist, dass sich Unternehmen scheinbar weniger akribisch auf diese Änderungen vorbereiten als einst 1999.

Die Ergebnisse einer neuen Veritas-Studie (PDF) bestätigen das: 54 Prozent haben noch keine Vorbereitungen auf die DSGVO getroffen. Gartner haut in dieselbe Kerbe: Den Analysten zufolge werden 50 Prozent der Unternehmen bis zum Jahresende 2018 noch keine Compliance sichergestellt haben.

Woher kommt dieses Zögern? Hier spielen zwei Faktoren eine entscheidende Rolle: Der 1. Januar 2000 war ein fester Stichtag – Unternehmen wussten, was auf sie wartet und wo das Problem liegt. Mit der DSGVO hingegen ist unklar, wie streng die neuen Gesetze in der Praxis umgesetzt werden. Die Strafen auf dem Papier scheinen drastisch zu sein. Es fehlen aber die Belege aus der Praxis – und damit die Grundlage, das wirkliche Risiko einzuschätzen.

Bei der Vorbereitung auf die DSGVO müssen Unternehmen fünf wichtige Punkte beachten:

1. Unabhängig vom Firmensitz oder dem Speicherort der Daten: Haben Unternehmen personenbezogene Informationen von EU-Bürgern gespeichert, müssen sie eine DSGVO-Compliance vorweisen.
2. Organisationen haften für persönliche Daten. Sie sind deshalb dazu verpflichtet, grundlegende Governance-Prozesse für den sachgemäßen Umgang mit Informationen zu implementieren.
3. Laut den neuen Bestimmungen haben Kunden ein “Recht darauf, vergessen zu werden”. Das heißt: Auf Anfrage müssen persönliche Daten gelöscht werden. Eine Ausnahme besteht nur bei einem triftigen Grund, nämlich wenn bewiesen wurde, dass die Daten auch weiterhin zu ihrem ursprünglichen Zweck benötigt werden. Voraussetzung für das Löschen ist allerdings, die entsprechenden Informationen erst einmal finden zu können.
4. Personenbezogene Daten dürfen nicht länger vorgehalten werden, als unbedingt notwendig.
5. Ein Datenleck, bei dem personenbezogenen Daten abfließen, muss innerhalb von 72 Stunden an die Aufsichtsbehörde und allen betroffenen Individuen gemeldet werden.

Wie genau stellen Unternehmen eine DSGVO-Compliance her? Dazu müssen fünf Kernfunktionen müssen abgehakt werden:

1. Lokalisieren: Zunächst müssen Unternehmen in einer Art Datenlandkarte einen Überblick darüber gewinnen, wo personenbezogene Daten abgelegt sind. Das gilt insbesondere für Umgebungen, in denen die Daten auf verschiedenen Standorten und in der Cloud verteilt wurden.
2. Suchen: EU-Bürger können einen Einblick in und/oder die Herausgabe von über sie gespeicherte Daten verlangen. Unternehmen müssen diese Anfordrung zeitnah erfüllen können. Ein Prozess und Software, mit denen sich diese Daten schnell auffinden und bei Bedarf löschen lassen, helfen dabei.
3. Minimieren: Die DSGVO regelt, dass Firmen personenbezogene Daten nur zweckgebunden, also nur für eine bestimmte Frist speichern dürfen. Deshalb sollte jede Datei mit einem Verfallsdatum versehen und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.
4. Schützen: Es sollte selbstverständlich sein, personenbezogene Daten sorgsam zu sichern. Unternehmen müssen Maßnahmen ergreifen, um Angreifer von außen und innen abzuwehren. Bei einem Datenleck sind Firmen verpflichtet, es innerhalb von 72 Stunden zu melden.
5. Überwachen: Bevor ein Datenleck gemeldet werden kann muss klar sein, dass es existiert. Es ist wichtig, verlorene Daten schnell und eindeutig zu identifizieren. Eine Software für ein umfassendes Datenmanagement, das die komplexe Speicherinfrastruktur ständig auf Unregelmäßigkeiten überprüft, unterstützt dieses Vorhaben.