Marc Ahlgrim ist Information Insight-Spezialist bei VERITAS. Anlässlich des Business Brunch „Datenschutz 2017“ am 16.November in Wien haben wir ihn für den Blog gefragt, was denn die EU Grundverordnung für Unternehmen bedeutet und warum es ein Problem ist, wenn Daten im Unternehmen unkontrolliert gesammelt und gehortet werden.
Was darf man von der neuen Datenschutz Grundverordnung erwarten?
Die Richtlinie GDPR katapultiert den Datenschutz in die Zeit von Cloud Computing und Big Data und will sicherstellen, dass der Datenschutz als fundamentales Grundrecht in ganz Europa einheitlich geregelt ist. Jedes Unternehmen, das Kundenbeziehungen in Europa unterhält und im Zuge dessen Käuferdaten sammelt, wird sich an dieses Gesetz halten müssen – auch Firmen, die ihren Sitz außerhalb Europas haben und ihre Daten außerhalb europäischer Grenzen verwalten.
Die neue Richtlinie ermöglicht es den Datenschutzbehörden in Europa, bei schweren Verstößen Bußgelder in Höhe von bis zu vier Prozent des weltweiten Umsatzes oder 20 Millionen Euro zu verhängen. Die mögliche Strafhöhe gibt dem Thema Datenschutz auf Management-Ebene mehr Gewicht, denn das Brechen mit den GDPR-Auflagen könnte teuer werden.
GDPR ist die bedeutendste Gesetzinitiative beim Datenschutz in den vergangenen zwanzig Jahren. Bürger und Firmen werden von klaren Regeln profitieren, die für einen starken Schutz im digitalen Zeitalter entwickelt wurden. Jede Firma, die mit personenbezogenen Daten von in der EU ansässigen Personen arbeitet, ist verpflichtet, ihre Informationsmanagement-Prozesse eingehend zu überprüfen.
Welche Auswirkungen wird es auf Unternehmen geben?
Die Verordnung wird am 25. Mai 2018 in Kraft treten, so dass Unternehmen noch etwa zwei Jahre Zeit haben, sich auf GDPR vorzubereiten. Unternehmen, die diese Aufgabe bereits früher angehen, werden nicht nur von einer stärkeren Kontrolle ihrer Daten profitieren. Ein leistungsstärkeres Informationsmanagement wird ihnen helfen, ihre Storage-Ressourcen effizienter zu nutzen und wertvolle Einblicke in die gespeicherten Daten zu gewinnen.
Die GDPR führt neue Grundsätze wie „das Recht auf Vergessen“ und Meldepflichten ein. So ist ein Unternehmen verpflichtet, unter Umständen persönliche Daten innerhalb einer Frist zu löschen, wenn ein Nutzer dies fordert. Auch müssen von einer Datenschutzverletzung betroffene Personen unverzüglich darüber informiert werden, wenn ihre persönlichen Daten in falschen Hände gelangten und dies eine ernsthafte Bedrohung ihrer Rechte und Freiheiten darstellt.
Wie fit ist das Datenmanagement in den Unternehmen um diese neue Anforderungen zu erfüllen?
Leider kennen die meisten Unternehmen bei mehr als der Hälfte ihrer gespeicherten Daten den genauen Inhalt nicht. Dies zeigen die Ergebnisse des Global Databerg Reports von Veritas, demnach 52 Prozent aller Informationen, die Firmen auf der ganzen Welt gespeichert haben, so genannte Dark Data sind, also Daten, deren Inhalt dem Besitzer unbekannt ist. Dieser Mangel an Transparenz macht es für Unternehmen schwierig, einfach und schnell die richtigen Daten zu finden.
Welche Maßnahmen sollten Unternehmen jetzt treffen?
Um das Risiko eines Rechtsbruchs zu senken, wollen Firmen im ersten Schritt die Inhalte ihre Daten nachvollziehen können. Dies gilt insbesondere in fragmentierten Umgebungen, in denen die Daten neben dem Firmennetz auch auf Cloud-Infrastrukturen abgelegt sind. Veritas kann Firmen mit verschiedenen Lösungen und Dienstleistungen helfen, die Inhalte von Dark Data zu beleuchten:
· Die Cloud-Applikation Information Map hilft Unternehmen, eine Übersicht über ihre unstrukturierten Daten zu gewinnen. Sie extrahiert Metadaten aus Veritas NetBackup und stellt sie in ihrer grafischen Oberfläche in Segmenten dar. So können Kunden auf einen Blick Bereiche mit wertvollen Daten, hohem Risiko oder redundanten Daten identifizieren. NetBackup liefert Backup- und Recovery-Funktionen für die gesamte IT-Infrastruktur – unabhängig davon, ob es sich dabei um eine virtuelle oder klassische Client-Server- oder um eine Cloud-Plattform handelt.
· Data Governance überwachen und durchsetzen – Unternehmen wollen nachvollziehen können, welcher Anwender auf persönlichen Daten im Firmennetz zugreifen kann und wer dafür autorisiert ist. In stark fragmentierten Speicherumgebungen bestehend aus Servern, cloudbasierten Services, Backup-Files von mobilen Geräten und Archiven ist das schwierig zu erreichen. Data Insight 5.1 von Veritas analysiert diese unstrukturierten Daten sowie den Zugriff darauf aus Anwenderperspektive, und zwar über unterschiedliche Speicherorte (wie z.B. den Cloud Dienst „Box“ )hinweg. Mit ihren Analysen macht die Software Aufbewahrungsvorgaben genauso transparent wie die Zugriffe auf Dokumente. Unternehmen können so das Zusammenspiel aus sensiblen Daten, Zugriffsrechten und Nutzern besser verstehen und steuern.
· Daten automatisch klassifizieren – Es ist wichtig, zu wissen, wo persönliche Daten gespeichert sind. Das gilt insbesondere bei unstrukturierten Dateiformaten wie Excel-Tabellen, Präsentationen und Tabellenkalkulationen. Dies ist kritisch, um solche Daten angemessen zu schützen und auch der Aufforderung nachkommen zu können, persönliche Daten auf Wunsch zu löschen. Enterprise Vault 12 setzt ein automatisches Klassifizierungssystem ein, mit dem die Archivierungssoftware wichtige oder Compliance-relevante Informationen einfacher identifiziert. Sie bewertet damit automatisch den Inhalt aus E-Mails, Dateien, SharePoint oder Instant Messaging und anderen sozialen Kanälen. Kunden, die in ihren Archiven bereits Petabytes an Daten abgelegt haben, können mit dem Klassifizierungssystem ihre Dateien neu bewerten und so auch neue Bestimmungen wie die GDPR besser einhalten.
Veritas Technologies, führendes Unternehmen im Information Management, unterstützt Firmen mit Lösungen und Dienstleistungen, sich auf die kürzlich verabschiedete Europäische Datenschutzverordnung „General Data Protection Regulation“ (GDPR) vorzubereiten. Mit Enterprise Vault 12, Data Insight 5.1, Information Map und Diensten wie dem Dark Data Assessment Service gewinnen Unternehmen einen wichtigen Einblick in ihre unstrukturierten Daten. Damit sind sie besser in der Lage, die neuen GDPR-Richtlinien und bereits bestehende Vorschriften einzuhalten.
Auf dem gemeinsam mit Confare initiierten Business Brunch Datenschutz 2017 werden die aktuellen Anforderungen an Unternehmen, die rechtlichen Fallstricke und technischen Möglichkeiten aufgegriffen. Anmeldung und Details finden Sie hier: https://confare.at/business-brunch-datenschutz-2017/ 
1 comment
Das zentrale Element beim Datenschutz sind die Mitarbeiterinnen und Mitarbeiter. Wenn Das Bewusstsein, was es für das Unternehmen bedeutet, wenn hier Fehler passieren, muss vermittelt werden.
Der gravierendste Unterschied zur “alten” Datenschutzrechtslage wird die durch die hohen Strafen entstehende Abmahnungsmarkt. Da bei offenen Services jede(r) schnell mal zu einer “betroffenen Person” werden kann, lässt sich damit leicht eine einträglich Falle bauen: Persönliche Daten liefern und das gesamte Spektrum der Forderungen durchspielen. Wenn das Unternehmen nicht “dtaenschutz-fit” ist, droht man mit Anzeige und bietet einen Vergleich nach amerikanischem Muster. Und wer kann heute schon behaupten, dass Admins compliant nach der DSGVO im Unternehmen agieren? Awareness wird noch wichtiger als bisher schon.