Interview: So kommen Sie mit der Datenschutz-Grundverordnung voran

Interview: So kommen Sie mit der Datenschutz-Grundverordnung voran

Die bald in Kraft tretende Datenschutz-Grundverordnung der EU würde für die Chief Information Officer (CIO) und Chief Information Security Officer (CISO) zahlreiche Herausforderungen bereithalten – jedoch auch Möglichkeiten, erklärt David Kemp von Micro Focus.

Man darf durchaus sagen, dass es bisher keine große Eile gab, an der Erfüllung der Vorschriften der Datenschutz-Grundverordnung (DSGVO) der EU zu arbeiten. Wir hoffen, dass es sich in anderen Ländern nicht wie in Italien verhält. Dort haben aktuellen Recherchen zufolge 25 % der CISOs und Datenschutzbeauftragten bisher noch nicht einmal von der neuen Verordnung gehört, und weitere 25 % hatten zwar davon gehört, jedoch nicht geplant, diesbezüglich etwas zu unternehmen.

David Kemp, Unternehmensberater für die EMEA-Region bei Micro Focus, verbringt seine Zeit damit, Unternehmen zu unterstützen, die mit den Anforderungen der DSGVO klarkommen und wissen möchten, welche Auswirkungen die DSGVO auf die Führung ihres Unternehmens hat und welche Technologien hierzu beitragen können.

Dabei begegnet er sicherlich den unterschiedlichsten Herangehensweisen, sowohl in verschiedenen Ländern als auch in unterschiedlichen Organisationen, und häufig wird er auch feststellen können, dass die Führungsetage in so manchem Unternehmen überhaupt nicht weiß, was auf sie zukommt.

Er sagt: „Einige Länder haben sich natürlich schon vorbereitet und die neuen Vorschriften entsprechend implementiert, da Unternehmen, die sich auf öffentliche Ausschreibungen bewerben, im Einklang mit den gültigen Gesetzen und den Regelungen der DSGVO handeln müssen.“

Jedoch merkt er weiterhin an, dass die Pläne der Unternehmen noch immer Lücken aufweisen würden. Er hebt hervor, wo Unklarheiten bestehen, was die Art der Compliance betrifft, und wie viele Unternehmen den Aufwand ihrer To-dos in diesem Bereich falsch einschätzen:

„Es besteht ein Unterschied zwischen dem, was die DSGVO nach Meinung der Unternehmen bedeutet, und dem, was sie tatsächlich bedeutet“, fügt er hinzu.

Ursache dafür sei ein Missverständnis darüber, wie die Anforderungen der DSGVO interpretiert und umgesetzt werden müssten.

„Wenn Sie sich hinsetzen und eine 80-seitige Verordnung lesen, klingt das schlicht wie ein weiteres Stück Compliance, die Verordnung ist jedoch viel komplexer als das: Sie hat auch Auswirkungen auf Unternehmen … und sie dreht sich nicht nur um das Thema Compliance“, sagt er und betont, dass Untersuchungen zufolge ein Großteil der Unternehmen davon überzeugt sei, dass Compliance und Sicherheit das Gleiche wären. In der Praxis hingegen stellt sich das Lebenszyklusmanagement für Datensätze und Informationen besonders arbeitsintensiv dar.

Er ist der Meinung, dass sich dieses Missverständnis auf viele Arten manifestiere. Als Erstes bestünde ein Problem darin, zu ermitteln, was personenbezogene Daten sind – etwas, das durch die DSGVO sehr klar definiert wird.

„Die Suche nach personenbezogenen Daten gestaltet sich schwierig. Insbesondere in multinationalen Unternehmen. Ich habe mit Unternehmen im mittleren Westen gesprochen, mit Banken in Brasilien und Finanzdienstleistern in Hongkong, und alle verfügen über personenbezogene Daten von in der EU wohnhaften Personen.“ Und, so betont er, die Ansässigkeit ist ein wichtiger Punkt, da sich die Gültigkeit der DSGVO auf jeden in Europa bezieht, unabhängig davon, ob Personen auch EU-Staatsbürger sind.

Dies bedeutet aber vor allem, dass Unternehmen die DSGVO tatsächlich als Chance betrachten sollten. Kemp rät, die DSGVO nicht als eine Zumutung zu betrachten, sondern eher als Möglichkeit, die eigene Infrastruktur zu rationalisieren.

„Die Datenmengen an zahlreichen Standorten und in unterschiedlichen Formaten und auch Sprachen zu reduzieren wird die Ermittlung und Verwaltung personenbezogener Daten gemäß den Anforderungen erleichtern. In jeder Organisation werden dabei Daten vom Typ ROT (redundant, obsolet, trivial) bearbeitet, und etwa 40 % der Unternehmensdaten  lassen sich vermutlich diesem Datentyp zuordnen. Warum also sollte man all diese Informationen behalten?“

Und für den CIO ergeben sich außerdem ein paar wichtige Punkte. „Der CIO muss als Erstes das Datenvolumen reduzieren, um den Anforderungen der DSGVO zu entsprechen. Und als Nächstes gilt es, die Auswirkungen zu betrachten, die diese Daten auf die Unternehmensinfrastruktur haben. Der CIO bezahlt für diese Daten, für deren Speicherung, für die Stromversorgung und für Datensicherungen.“

Betrachtet man diesen Aspekt, ist die DSGVO für Organisationen wirklich vorteilhaft. Kemp beschreibt, wie eine große britische Bank einen Prozess durchläuft, den sie selbst als „Anwendungen in den Ruhestand schicken“ bezeichnet, und zu der Überzeugung gelangt, dass die DSGVO zu einer Beschleunigung dieses Prozesses beigetragen und so eine Kapitalrendite geschaffen hat.

Die Verwaltung von Datensätzen ist absolut entscheidend und etwas, das in großen Unternehmen nicht immer optimal gehandhabt wurde. Und wie Kemp sagt, rückt die DSGVO die Richtlinienprozesse in Unternehmen sowie die Verfahren einer solchen Verwaltung unter das Mikroskop.

 „Das ist ein entscheidender Teil der DSGVO: Diese Regelung trifft jedes Unternehmen, das der Einhaltung der Verordnung verpflichtet ist, im Herzen. Organisationen verfügen über Unmengen an archiviertem Material, Archive, die unter Umständen sogar nur in Papierform vorhanden sind“, bemerkt er.

Kemp ist der Meinung, dass die Aufgabe, sowohl die Sicherheitsstandards als auch die Standards zum Datensatzmanagement, die die DSGVO tatsächlich mit sich brächte, zu erreichen, so immens sei, dass große Unternehmen bis ins Jahr 2018 wahrscheinlich nicht compliant sein werden.

„Was  Sie tun können, ist, die Rückendeckung der Führungsetage sicherzustellen, ein Steuerungsgremium zusammenzustellen, ein Programm auf Grundlage einer soliden Risikobewertung unter Einbeziehung rechtlicher Beratung auszuarbeiten und es dann der Aufsichtsbehörde vorzulegen und zu sagen: ‚Das ist es, was wir planen.‘“

Der Berater von Micro Focus beschreibt ein Beispiel für die Probleme von Organisationen: „Ich habe einen großen Versicherungskonzern gebeten, innerhalb von vier Wochen alle personenbezogenen Daten zu David Kemp zu ermitteln. Sie hatten jedoch keine Chance, alle Informationen in dem Datenwust zu finden, der sich in über 25 Jahren angesammelt hat. Diese Informationen können in jedem beliebigen Format vorliegen, in Form eines Tweets, einer Audio- oder Videodatei, eines Blogs oder einer Wave-Datei aus einem Callcenter und natürlich auch in jeder beliebigen Sprache. Im Rahmen der DSGVO müssen all diese Informationen verschlüsselt werden – [und] dafür muss man wissen, wo sie sind.“

Bis Mai 2018 bleibt nicht mehr viel Zeit. Angenommen, Ihr Unternehmen gehört nicht zu denen, die bis zur letzten Minuten abwarten. Wie sollte sich also Ihr Unternehmen auf die DSGVO vorbereiten?

„Am besten sollte ein Konsens auf Führungsebene gefunden werden. Und die Uhr tickt, daher ist es ratsam, jetzt mit der Arbeit zu beginnen. Technologie ist ein Muss: Manche Organisationen sind so groß, dass es nur über technologische Unterstützung möglich ist, die Richtlinien- und Verfahrensaspekte des Themas Compliance in Angriff zu nehmen.“

Des Weiteren steht ein umfassendes Recruiting an, da Unternehmen einen Datenschutzbeauftragten benötigen – ein Erfordernis, dem viele Unternehmen bisher nicht gegenüberstanden. „In vielen Fällen gibt es einfach keinen Datenschutzbeauftragten. Solche müssen entsprechend geschult werden und die Rolle übernehmen.  Die Kandidaten können aus unterschiedlichen Bereichen [von praktisch überallher] stammen, ich vermute jedoch, dass viele aus dem internen Audit kommen werden, denn in dieser Position dreht sich bereits alles um das Erzwingen von Regeln.

Am Ende des Tages liegt die Verantwortung jedoch bei jedem einzelnen Mitarbeiter in der Organisation. „Die Wirksamkeit der DSGVO obliegt nicht der alleinigen Verantwortung des Datenschutzbeauftragten: Datenschutz ist die Aufgabe eines jeden Mitarbeiters.“

Das bedeutet, dass im Hinblick auf die DSGVO sofortiges Handeln erforderlich ist. Und dabei geht es nicht nur darum, die richtigen Personen einzustellen oder die am besten geeignete Technologie zu implementieren.  „Überholen Sie erst einmal Ihre Richtlinie und Verfahren, Technologien können Sie dann einsetzen, um die entsprechende Durchsetzung zu ermöglichen.“

Bis Mai 2018 ist nicht mehr viel Zeit, und besonders große Unternehmen werden sich Freiräume für die Arbeit schaffen müssen, um bis dahin geeignete Standards für eine wirksame Umsetzung der DSGVO zu etablieren. Doch wie auch Kemp sagt: Wenn ein Unternehmen die komplette Vorbereitung auch nicht abgeschlossen hat, so muss es doch zumindest weiter vorankommen. Er merkt an, „Dies ist wenigstens eine Demonstration gegenüber der Aufsichtsbehörde, dass Sie Maßnahmen ergreifen.“

CISO Compliance-Beauftragter Datenhoheit Datenschutzbeauftragter Recht

Teilen Sie uns in der Diskussion bei LinkedIn Ihre Meinung mit!

ABONNIEREN

Melden Sie sich an und erhalten Sie aktuelle Informationen zu DSGVO & Beyond