Ihr Auftritt auf der DMEXCO DialogArea 2024 Frühbucher-Rabatt sichern
Die Erfolgsstory geht 2024 weiter: Messeauftritt, Speakerslot, zusätzliche Leads, Marketing-Riesenpaket: Alles Inklusive.
Frühbucher-Rabatt sichern
Expert Talk: "Wir erleben eine Explosion der Touchpoints" Video-Podcast ansehen
Die Komplexität modernen Marketings ist schon heute beachtlich - und wird in Zukunft noch weiter wachsen. Welche Herausforderungen für Unternehmen entstehen, und wie sie diese bewältigen können, erklärt Eric Heiliger von Axciom. Video-Podcast ansehen

EU-DSGVO: Sechs Antworten auf die wichtigsten Praxis-Fragen

23.11.2017 In der gesamten Europäischen Union regelt die EU-Datenschutzgrundverordnung (EU-DSGVO) bald den Umgang mit persönlichen Daten. Sie tritt im Mai 2018 in Kraft - es ist also höchste Zeit, sich mit ihren Anforderungen auseinanderzusetzen. Marc Bastien ‘Marc Bastien’ in Expertenprofilen nachschlagen , Solution Architect bei Axians IT Solutions, gibt Antworten auf sechs Fragen aus der Praxis.

 (Bild: TBIT/pixabay)
Bild: TBIT/Pixabay
Ziel der neuen Verordnung ist der Schutz personenbezogener Daten. Um den Umgang mit ihnen regelkonform zu gestalten und keine Bußgelder zu riskieren, sollten sich die dafür Verantwortlichen im Unternehmen folgende sechs Fragen stellen.

1. Genügen meine Richtlinien, Prozesse, Dokumentationen etc. zum Gesetz?

Der erste Schritt ist offensichtlich, doch umfangreich zugleich, und kann bestenfalls durch IT-gestützte Methoden begleitet werden. Im Wesentlichen müssen die bisherigen Maßnahmen, die hoffentlich schon im Rahmen der bestehenden Regelungen (u.a. des Datenschutzgesetzes) umgesetzt worden sind, gegen die neuen abgeglichen werden, beziehungsweise neu implementiert werden. Dabei können Experten unterstützen, die sowohl alte als auch neue Gesetze kennen und in kurzer Zeit mit den Fachverantwortlichen im Unternehmen einen Schlachtplan entwickeln. Aus diesem werden die Handlungsanweisungen generiert, die die Arbeit an diesem Thema strukturieren.

2. Wie finde ich personenbezogene Daten?


Wichtig ist in diesem Zusammenhang, die Systeme zu identifizieren, die personenbezogene Daten verarbeiten, denn nur diese sind vom Gesetz betroffen. Heiße Kandidaten sind interne Datenbanken, CRM-, ERP- und HR-Systeme und Sie sollten sich weitere Fragen stellen:
  • Tauschen wir personenbezogene Daten mit anderen Unternehmen aus?
  • Wo liegen Bewerbungen ab, die wir elektronisch bekommen?
  • Enthalten unsere E-Mails personenbezogene Daten

Kleine und mittelständische Unternehmen finden so wahrscheinlich bereits 95 Prozent der personenbezogenen Daten. Bei der weiteren Suche hilft Software, die strukturiert abgelegte Daten in relationalen Datenbanken durchsuchen kann. Sie orientiert sich bei Tabellen an den Spaltenüberschriften, etwa "Namen". Für die Erkennung weiterer personenbezogener Daten innerhalb der Datenbanken können Bibliotheken mit Mustern, zum Beispiel Namen, Telefonnummern, IP-Adressen, genutzt werden. Findet die Software personenbezogene Daten, weist sie darauf hin und katalogisiert diese. In einem nächsten Schritt kann die Lösung die Datenbank überwachen und gefundene personenbezogene Daten blockieren.

Für Daten in EMail-Servern, Dateiablagen und im Enterprise Content Management führt dieser Ansatz allerdings nicht zum Ziel: zu unstrukturiert liegen die Daten vor. Stattdessen wird die Lösung StoredIQ, ebenfalls von IBM, eingesetzt: Sie durchsucht über diverse Adaptoren die unterschiedlichsten Quellen und öffnet verschiedene Dateiformate, um die Inhalte nach Mustern zu durchleuchten. So findet sie personenbezogene Daten etwa in Exchange-Servern, Lotus Notes oder Sharepoint, ebenso wie in Zip-Dateien, Textdateien und E-Mails inklusive Anhängen. Treffer protokolliert und katalogisiert das Programm. Ebenso können betroffene Dokumente in Quarantäne verschoben oder automatisiert gemeldet werden.

3. Wie separiere ich personenbezogene Daten für weitere Verarbeitung?


Nach diesem Schritt ist es notwendig, personenbezogene Daten zu separieren. Unternehmen müssen Informationen über ihre Kunden anonymisieren, wenn sie sie analysieren wollen ohne die Erlaubnis aller Betroffenen einzuholen. So ist es Online-Händlern beispielsweise möglich, Vorschläge wie "andere Kunden kauften auch" zu unterbreiten.

4. Wie lösche ich Daten EU-DSGVO-konform und protokolliere dies korrekt?


Es gibt verschiedene Gründe, personenbezogene Daten zu löschen. So können interne beziehungsweise gesetzliche Vorschriften die Löschung verlangen oder Personen fordern sie.

Für die durchgängige Einhaltung der Vorschriften und der Dokumentation der Einhaltung eignen sich Programme für Information Lifecycle Management (ILM). In diesen werden unter anderem Verfallsdaten und Prozesse definiert, mit denen automatisiert Daten mit einem gewissen Alter gelöscht werden und darüber ein Protokoll für etwaige Nachweise erstellt wird.

Fordert dagegen eine Person, dass seine Daten gelöscht werden, dann umfasst diese Anfrage oft mehr als eine einzige Tätigkeit. Zudem müssen dann alle involvierten Tätigkeiten dokumentiert werden. Solche Anfragen lassen sich automatisiert mit einer EDV-gestützten Fallbearbeitung bearbeiten. Er nimmt den Fall an, informiert die relevanten Personen und triggert die notwendigen Prozesse, bis der Kunde die gewünschte Auskunft erhält. Diese Vorgänge können soweit automatisiert werden, dass der Case Manager den Kundennamen automatisch an eine Softwarelösung weiterleitet. Diese sucht im Unternehmensdatenbestand nach Daten, Dateien, und Informationen über diesen Kunden.

5. Was passiert mit aufzubewahrenden Daten?

Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Zum Datenschutz gehört auch die Datensicherheit. Das heißt, Unternehmen müssen personenbezogene Daten mit technischen und organisatorischen Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung und Verlust schützen. Die EU-DSGVO fordert, dass sowohl der Verantwortliche, als auch der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzt. Dazu sind der Stand der Technik zu berücksichtigen, aber auch die Implementierungskosten, die Art, die Umstände und der Zweck der Datenverarbeitung. Ebenfalls relevant sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten. Aufzubewahrende Daten müssen also mithilfe der aktuell vorhandenen technischen Lösungen sicher sein gegen Bearbeitung, Veränderung, Zerstörung, Diebstahl und Verlust.

6. Wer ist für die korrekte Behandlung personenbezogener Daten verantwortlich?

Verantwortlich dafür, dass die Datenschutzgrundverordnung eingehalten wird und personenbezogene Daten richtig aufbewahrt, bearbeitet und gelöscht werden, ist die Geschäftsleitung des für die Datei verantwortlichen Unternehmens. Denn sie gibt auch Budget, Strategie und Zweck der Datenverarbeitung vor. Diese Verantwortung lässt sich nicht delegieren. Lediglich die Aufgaben, die zur Einhaltung der DSGVO dienen, können etwa an den IT-Leiter oder einen Datenschutzbeauftragten weitergegeben werden. Auch wenn ein Auftraggeber und ein Dienstleister an Daten arbeiten, bleibt die Verantwortung bei demjenigen, der Strategie und Zwecke der Verarbeitung vorgibt.

Für Unternehmen, die noch nicht auf die EU-DSGVO vorbereitet sind, ist es höchste Zeit, anzufangen. Die verantwortlichen Führungsebenen in Unternehmen müssen dafür dringend entsprechende Budgets bereitstellen und strategische Vorgaben für die Umsetzung der DSGVO machen. Jetzt gilt es, sich einen Überblick zu verschaffen, geeignete Maßnahmen zu erarbeiten und diese mithilfe der verfügbaren, technischen Lösungen umzusetzen.
Neuer Kommentar  Kommentare:
Schreiben Sie Ihre Meinung, Erfahrungen, Anregungen mit oder zu diesem Thema. Ihr Beitrag erscheint an dieser Stelle.