Die EU-Datenschutzverordnung gilt zwar seit einem Jahr, aber nicht alle Unternehmen erfüllen die Anforderungen. Micro Focus, Anbieter von Lösungen für die Software-Modernisierung, stellt drei Möglichkeiten zur Umsetzung vor.
Nachholbedarf: In einer Untersuchung des Datenschutzspezialisten Trustarc haben lediglich 27 Prozent der europäischen Unternehmen angegeben, dass sie alle gesetzlichen Anforderungen umsetzen. Aber auch die zuständigen Behörden sind nicht voll auf die Datenschutzgrundverordnung (DSGVO) vorbereitet: 17 der 24 europäischen Datenschutzbehörden fehlten zum Start die nötigen Mittel, um die Umsetzung angemessen zu verfolgen.
Die befürchtete Abmahnwelle ist bislang zwar ausgeblieben, allerdings zeigen verschiedene Datenschutzpannen, dass auch nach einem Jahr noch kein vollumfänglicher Datenschutz in der EU herrscht. Facebook musste eingestehen, Passwörter ungesichert Mitarbeitern zugänglich gemacht zu haben und Amazon gab versehentlich Daten von Alexa an den falschen Nutzer heraus.
50 Millionen Euro Strafe für Google
Ein großer Streitpunkt ist nach wie vor die Auslegung der Formulierungen wie „angemessener Datenschutz“ und „Zweckmäßigkeit der Datenverarbeitung“. So wurde Google von der französischen Datenschutzbehörde CNIL nicht wegen eines Datenlecks zu 50 Millionen Euro verurteilt. Vielmehr nannte die Behörde als Grund mangelnde Transparenz und Verletzung der Informationspflicht sowie den Zwang, die Nutzungsbedingungen zur Datenverarbeitung zu akzeptieren. Dies war der erste Fall, in dem ein Bußgeld gegen ein global operierendes Internetunternehmen gemäß der DSGVO verhängt wurde.
„Es wird noch einige Zeit vergehen, bis Compliance in ganz Europa zu 100 Prozent gewährleistet ist, allein schon, weil sich die etwas freier formulierten Passagen abhängig vom Unternehmen unterschiedlich umsetzen lassen“, erläutert David Kemp, Business Strategist bei Micro Focus. „Dennoch ist zu erkennen, dass die DSGVO den digitalen Alltag inzwischen mitbestimmt, da Privatpersonen und Unternehmen stärker für Datenschutz sensibilisiert sind. So hätten sich Internetnutzer an die Datenschutz-Hinweise und Opt-In-Notifications auf Webseiten gewöhnt, und der ‚Privacy by Design‘-Ansatz sei nun Bestandteil der Entwicklungszyklen neuer digitaler Produkte und Services. Somit sei zumindest langfristig ein höherer Datenschutz gewährleistet.
Datenschutz als Weckruf für Sicherheitsstrategien
Die DSGVO gibt Unternehmen laut Kemp die Möglichkeit, die Standards zur Datenstrukturierung und –sicherheit auch auf andere Bereiche zu übertragen und so das allgemeine Sicherheitsniveau und die operative Effizienz über personenbezogene Daten hinaus zu verbessern. Um in Zukunft die Datenschutz-Standards sinnvoll umzusetzen, empfiehlt der Strategieberater die folgenden drei Use Cases:
1. Die rein zweckgebundene Erhebung, Speicherung und Verarbeitung von Daten können Unternehmen als Blaupause für sämtliche operativen Prozesse nutzen, um deren Effizienz zu verbessern. So lasse sich beispielsweise das Volumen der Dunkeldaten in Unternehmen reduzieren, die zwar gespeichert, aber noch nicht identifiziert, klassifiziert und somit auf deren Nutzen hin bewertet wurden.
2. Ebenso ließen sich die DSGVO-Standards zu Datenschutz und transparenten Prozessen der Datenverarbeitung dazu nutzen, um andere Sicherheitsstrategien zu unterstützen, die nicht personenbezogen, aber ebenso geschäftskritisch sind. Die Nachvollziehbarkeit und zweckgebundene Zugriffskontrolle, die das Regelwerk vorschreibt, unterstützten Strategien der Data Loss Prevention (DLP) und könnten durch Identity und Access Management sowie Verschlüsselung durchgesetzt werden.
3. Im Rahmen der Sorgfaltspflicht, die bei Geschäftsübernahmen und Zusammenschlüssen anfällt, könne eine Datenerfassung gemäß den DSGVO-Richtlinien dabei helfen, die verschiedenen Datensätze schneller und reibungsloser zusammenzuführen, um die neuen Geschäftsprozesse schneller aufzunehmen. Jürgen Frisch