EU-DSGVO

Mehr als ein Jahr DSGVO: Ist der Sturm vorübergezogen?

Credit: Jana Krippel
Gerhard Raffling/ Commvault
Credit: Jana Krippel

Die Einführung der neuen DSGVO-Richtlinien vor etwas mehr als einem Jahr hat viele Unternehmen vor enorme Herausforderungen gestellt. Erst schleichend kam bei vielen die Erkenntnis: Die DSGVO ist kein einmaliges Projekt, sondern eine langfristige Aufgabe, die die Etablierung völlig neuer Prozesse sowie laufende Optimierung und Umsetzung erfordert. Mit ein paar einfachen Tricks gelingt der richtige Umgang mit Daten und lässt sich das Leben mit der DSGVO einfacher gestalten.

Schon lange vor dem Start der DSGVO im Mai 2018 warf die EU-Bestimmung ihre Schatten voraus. Viele sahen in der neuen Datenschutzrichtlinie den Heilsbringer nach jahrelangem Datenmissbrauch und Negativbeispielen im Datenschutz. Wenngleich „nur“ auf europäischer Ebene umgesetzt, wurde mit der DSGVO tatsächlich ein Gesetz internationaler Reichweite eingeführt, welches die Rechte des Einzelnen unterstützt und einen Best-Practice-Rahmen zum weiteren, nachhaltigen Wachstum der globalen digitalen Wirtschaft garantiert.

The Final Countdown?
DSGVO ab Mai 2018: Unternehmen, Mitarbeiter, die Presse und Beratungsunternehmen zerbrachen sich Anfang des Jahres die Köpfe um die allesentscheidende Frage: Was genau bedeutet die DSGVO eigentlich aus theoretischer und aus praktischer Sicht? Mehr als ein Jahr nach Einführung der DSGVO haben sich die schlimmsten Befürchtungen von Geldbußen und Forderungen in Millionenhöhe nicht bewahrheitet. Der Sturm an Regularien wurde mit dem Abhaken der „DSGVO-Box“ abgewendet und Unternehmen konzentrierten sich fortan mehr auf andere, (vermeintlich) aktuellere Themenschwerpunkte wie Cyber Crime oder Digitale Transformation. Das wiederum lässt unweigerlich die Frage aufkommen: Wie hoch ist das Bestreben von Unternehmen noch, die DSGVO-Regularien nach „Vorschrift“ zu erfüllen, jetzt, wo das öffentliche Interesse sich tendenziell zu anderen Thematiken verschoben hat?

Noch viel Luft nach oben
Laut einer aktuellen Studie des KSV1870 hat die Einführung der EU-Datenschutz-Grundverordnung das Sicherheitsniveau von 53 Prozent der befragten Unternehmen nicht angehoben. Rund ein Drittel aller Betriebe nimmt Verbesserungen in einzelnen Teilbereichen wahr, bei lediglich 14 Prozent der Unternehmen hingegen nehmen „Verbesserungen auf ganzer Linie“ wahr.
Dies deckt sich mit einer von Commvault beim Data Protection World Forum durchgeführten Studie, sechs Monate nach Inkrafttreten der DSGVO: Zwar begrüßt die überwiegende Mehrheit der Befragten die neue Datenschutzregulierung und stimmt damit überein, dass die „verordnete“ Datenhygiene eine transparentere Sicht auf Daten – und vor allem ihren Wert für Unternehmen – garantiert. Dennoch gaben vier von fünf IT- und Datenexperten an, dass ihre Arbeitgeber die von der DSGVO geforderten Maßnahmen nur unzureichend umsetzen. Die Gründe für die (bisherige) Versäumnis sind mannigfaltig und häufig in zweierlei Hinsicht auf den Faktor „Kosten“ zurückzuführen:

Das (vergebliche) Warten auf den Sturm
Erstens ist nach Inkrafttreten der DSGVO die große Abmahnwelle ausgeblieben. Weiterhin wird in der Praxis bisher eher verwarnt, als dass empfindliche Strafen ausgesprochen worden sind. Das Höchstmaß für Verstöße gegen die EU-Datenschutzrichtlinie beträgt bei Unternehmen vier Prozent des Jahresumsatzes und wenngleich nach Angaben der Europäischen Kommission in der EU mehrere Verfahren gegen Unternehmen laufen: Die wenigsten Urteile konnten Unternehmen bislang dahingehend erschrecken. Als Präzedenzfall für erfolgte Bestrafung im deutschsprachigen Raum kann die „Causa Knuddels“ genannt werden: Im September 2018 waren in Folge eines Hackerangriffes Hunderttausende, unverschlüsselte Passwörter von Nutzern des sozialen Netzwerks im Internet aufgetaucht. Bei dem Verstoß gegen die DSGVO hatte das Karlsruher Unternehmen gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, in dessen Folge es zu einem Bußgeld von 20.000 Euro verurteilt wurde. Was dem Unternehmen zugutegehalten wurde: Es wandte sich direkt nach dem Angriff an die User - und an den Datenschutzbeauftragten des Landes Baden-Württemberg, dem erst dadurch bekannt wurde, dass Knuddels Passwörter im Klartext vorgehalten hatte.

Die Utopie der Wirtschaftsbremse
Zweitens herrscht vielerorts nach wie vor der allgemeine Irrglaube vor, die Umsetzung der DSGVO koste Unternehmen ein Vermögen und würde die wirtschaftliche Entwicklung von Unternehmen negativ beeinflussen. Dass dem nicht so ist, belegt die Umfrage des KSV1870: Gerade einmal fünf Prozent der befragten Betriebe gaben an, dass die neue Regelung sich schlecht auf die Wirtschaftlichkeit ihres Unternehmens ausgewirkt hat. Bei ganzen 62 Prozent der Betriebe hat die DSGVO keinerlei Einfluss auf die Finanzen. Die anfängliche „Hysterie“ vor der EU-Verordnung drückt sich auch anhand einer vom Bundesverband Digitale Wirtschaft in Deutschland durchgeführten Studie aus und verdeutlicht die Angst, die Unternehmen gerade in der Vorbereitungs- und Anfangsphase der DSGVO hatten: Wenige Wochen nach Inkrafttreten der Richtlinie gab die Hälfte aller Befragten an, dass sich die DSGVO negativ auf den Umsatz des Unternehmens auswirken wird. Abmahnungen hatten zu diesem Zeitpunkt 91 Prozent der Befragten noch nicht bekommen, sehr wohl aber vielmals ihre digitalen Aktivitäten eingeschränkt (43 Prozent).

Einfache Tipps zur täglichen Anwendung
Dabei kann der richtige Umgang mit der DSGVO so einfach sein. Unternehmen, die mit personenbezogenen Daten in Berührung kommen, stehen heute vor zweierlei Herausforderung: Einerseits müssen sie sich selbst nach dem Gesetz richten und rechtlich einwandfreien Umgang mit sensiblen Daten garantieren. Andererseits müssen sie auch ihren Partnern vertrauen, dass auch diese gewissenhaft und rechtskonform mit ihren Daten umgehen. Für die Umsetzung der DSGVO sind neue Prozesse nötig, die laufend erledigt und optimiert werden müssen. Maßnahmen zur DSGVO sind daher niemals wirklich abgeschlossen – es lassen sich lediglich neue Routinen etablieren. Dazu müssen Unternehmen immer ihre Daten im Blick haben: Welche sensiblen Daten gibt es im Unternehmen? Wo sind sie? Wer hat Zugriff auf diese Daten?
Folgende sechs Tipps können dabei helfen:

  1. Weniger ist manchmal mehr Es sollten nur jene Daten erhoben werden, die wirklich für die Geschäftstätigkeit nötig sind. Die Menge bereits vorhandener, personenbezogener Daten sollte minimiert werden. Workflow unterstützte Lösungen in Verbindung mit Artificial Intelligence helfen dabei, Daten zu finden und sie rasch in „entsorgen“ und „behalten“ zu kategorisieren. Meist werden diese Vorgänge dann auch unmittelbar umgesetzt.
  2. Mitarbeiterdaten schützen, überwachen und verwalten Mitarbeiter, die Zugang zu personenbezogenen Daten haben, sollten identifiziert und ihre Daten aktiv verwaltet werden. Private Computer, externe File Shares und E-Mails sind ein großes Risiko und schwer unter Datenschutzperspektive zu verwalten. Darüber hinaus sind unstrukturierte On-Premise- und Cloud-Daten häufig Orte der Weitergabe personenbezogener Daten. Sichere Backup- und Recovery-Lösungen sind hier unersetzlich. Unternehmen sollten insgesamt auf Transparenz und Risikoprofilerstellung über diese Datenquellen setzen.
  3. Priorisieren Erst wenn Unternehmen wissen, wo sich Ihre personenbezogenen Daten befinden – auch jenseits der bekannten Speicherorte – können sie Ihre Bemühungen um Sicherheit und Compliance priorisieren.
  4. Datensilos reduzieren Durch Einführung vieler verschiedener Tools im Datenmanagement, die die Sichtbarkeit und Kontrolle über die oben erwähnten Quellen garantieren sollen, können zusätzliche Datensilos entstehen, die alle verwaltet, überwacht und gesichert werden müssen. Dies erhöht insgesamt das Risiko. Commvault bietet daher eine Lösung, die sämtliche Silos konsolidiert: von Backup über Archivierung bis hin zu Endpoints und Mails. Alles über die gleiche Oberfläche.
  5. Ermöglichung der Löschung personenbezogener Daten aus unstrukturierten Systemen und Backups Wenn ein Kunde fordert, dass seine personenbezogenen Daten gelöscht werden sollen, muss sichergestellt werden, dass diese nicht nur aus strukturierten Datenquellen, wie zum Beispiel dem CRM, sondern auch aus unstrukturierten Systemen, wie Enduser-Computer sowie aus den Backups gelöscht werden. Letzteres stellt sicher, dass personenbezogene Daten nicht versehentlich wiederhergestellt werden.
  6. Automatisieren Um den Datenschutz auf unstrukturierte Daten auszudehnen und die Richtlinien der DSGVO skalierbar umzusetzen, ist es notwendig, Prozesse zu automatisieren, wie beispielsweise das Auffinden personenbezogener Daten, Collaboration-Workflows, und die Anwendung inhaltsbezogener Datenrichtlinien auf Dateien und E-Mails mit sensiblen Informationen. Die Konsolidierung der oben genannten Vorgänge in einer einzigen Lösung, die eine API-Integration mit Tools von Drittanbietern ermöglicht, ist ein effizienter Weg, um viele Aufgaben zu automatisieren, die bisher meist manuell durchgeführt werden.

Bei Commvault wissen wir, welchen Aufgaben Unternehmen gewachsen sein müssen. Deshalb ermöglichen wir es Unternehmen durch ein weitgefächertes Lösungs-Portfolio, sich auf das Wesentliche zu konzentrieren und bieten sicheres Datenmanagement, Datenanalyse, Backup und Recovery sowie Cloud- und Infrastrukturmanagement aus einer Hand.

Weitere Artikel

Credit: SEPPmail-Deutschland

Land Oberösterreich setzt auf E-Mail-Verschlüsselung von SEPPmail

Die E-Mail ist im Verwaltungsalltag in Organisationen und…

Weiterlesen
Credit: Michael Dürr

„Es kann jedem passieren“

Markus Endres und Aleksandar Lacarak, Mitbegründer des…

Weiterlesen
Credit: Syngroup

Digitaler Schub

Die digitale Transformation benötigt in vielen Bereichen…

Weiterlesen
Grafik: Verlag Holzhausen GmbH

Integration der Zeitschrift "Monitor" in "Austria Innovativ"

Nach reiflicher Überlegung haben wir uns entschlossen, die…

Weiterlesen
Credit: Schulamt St. Pölten

Selfservice statt Zettelwirtschaft

Mit einer neuen Softwarelösung hat das Diözesan-Schulamt St.…

Weiterlesen
Credit: Fotalia

Die sichere Datenwolke

Die Cloud bietet viele Vorteile wie höhere Flexibilität zu…

Weiterlesen
Credit: A1 Digital

Über die technologische Seite hinaus denken

Die Digitalisierung nimmt in Österreich an Fahrt auf, weiß…

Weiterlesen
Foto: Universität Innsbruck

ERP Future Business 2019

Auf der Fachmesse stellen die teilnehmenden Anbieter von…

Weiterlesen
Bild: Eva Puella Photography

Markus Neumayr ab 2019 alleiniger Geschäftsführer

Zwanzig Jahre lang standen Firmengründer Univ.-Doz. Dr.…

Weiterlesen
Bild: UBIT

IKT Statusreport #4 zeigt akuten Handlungsbedarf

Konkrete Maßnahmen bei Informatikstudierenden und…

Weiterlesen
Bild: IGEL

Never change a winning team

Bei den Kursen des ICGEB in Triest kommen Studenten aus den…

Weiterlesen
Bild: NTT Security

5 Schritte für hohe Datensicherheit in der Cloud

Die Verlagerung von Geschäftsprozessen und Applikationen in…

Weiterlesen
Bild: CyberArk

DevOps-Risiken werden unterschätzt

Unternehmen nutzen verstärkt DevOps-Modelle für die…

Weiterlesen
Bild: presono/Anzhelika Kroiss

Ex-Microsoft Manager Keller wechselt zu presono

Lukas Keller geht als als neuer CEO zum 2015 in Linz…

Weiterlesen
Bild: Otago

Otago expandiert weiter

Bei der Wiener Online Consulting Agentur Otago stehen auch…

Weiterlesen
Bild: Grabher

Schneelast-Sensor kann Leben retten

Ein textiler Schneelast-Sensor ist weltweit erstmals in…

Weiterlesen
Bild: S&T AG

Thomas Schober-Köberl verstärkt S&T

Seit Dezember ist Thomas Schober-Köberl neuer Consultant…

Weiterlesen
Bild: Austrian Standards

Energiemanagement mit der neuen ISO 50001

Energiemanagementsysteme helfen Unternehmen, Verbrauch und…

Weiterlesen
Bild: CC0 - pixabay.com

ONTEC schafft Führungskräfte ab

Der IT-Dienstleister ONTEC AG verzichtet auf die klassische…

Weiterlesen
Bild: TGM - Hetzmannseder

TGM richtet Mini-Fabrik für Schüler ein

Am TGM in Wien nimmt eine Mini-Fabrik den Betrieb auf,…

Weiterlesen