Es ist nicht einmal mehr ein Jahr Zeit, bis die EU-Datenschutzgrundverordnung (DSGVO) in den 28 Mitgliedsländern der EU in Kraft tritt. Sieht man sich die Ergebnisse einer aktuellen Umfrage an, werden es fordernde Monate für IT- und Datenschutzverantwortliche. 48 Prozent der befragten deutschen Führungskräfte denken jedenfalls, dass ihr Unternehmen nicht rechtzeitig vorbereitet sein wird.
Warum ist das so? Laut den Aussagen der Studienteilnehmer mangelt es vor allem an der richtigen Technologie. Die Hälfte der Befragten gibt an, es ist aktuell kaum möglich zuverlässig zu entscheiden, ob Daten gespeichert oder gelöscht werden sollten. Weitere Probleme treten auf, wenn die Unternehmen personenbezogene Daten schnell finden oder überwachen wollen, wie auf diese zugegriffen werde.
Die gute Nachricht: All diese Probleme lassen sich mit Hilfe einer passenden Datenmanagement-Strategie nebst geeigneter Prozesse und Tools rechtzeitig lösen - auch und gerade in Unternehmen mit komplexen IT-Infrastrukturen und einem hohen Cloud-Anteil. Fünf Kernfunktionen sollten dabei auf jeden Fall abgedeckt sein:
Lokalisieren: Zunächst muss die Firma einen Überblick darüber gewinnen, wo personenbezogene Daten überhaupt gelagert werden - sie brauchen sozusagen eine Datenlandkarte. Das gilt gerade auch für all jene Daten, die in der Cloud lagern. In diesem Zusammenhang sollten Firmen auch darauf achten, dass das Rechenzentrum in der EU oder einem geeigneten Drittland beheimatet ist.
Suchen: EU-Bürger können Einblicke in die über sie gespeicherten Daten verlangen und müssen diese zeitnah erhalten. Ein Prozess nebst Software, die gemeinsam Daten schnell auffinden und bei Bedarf löschen, sind deshalb wichtig.
Minimieren: Eines der Ziele der DSGVO ist es zu regeln, dass Firmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern. Deshalb sollte jede Datei ein Verfallsdatum erhalten und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.
Schützen: Eigentlich selbstverständlich, aber wichtig - personenbezogene Daten sind besonders schützenswert. Unternehmen müssen Maßnahmen ergreifen, um Angreifer von außen und innen abzuwehren. Passiert doch etwas, muss das Datenleck innerhalb von 72 Stunden gemeldet werden. Womit wir beim letzten Punkt wären.
Überwachen: Um ein Datenleck zu melden, muss man zuerst wissen, dass es existiert. Im zweiten Schritt ist es wichtig, schnell und eindeutig zu klären, welche Daten verloren gingen. Denn die DSGVO fordert eindeutig, dass Betroffene und die Behörden innerhalb von 72 Stunden über den Vorfall informiert werden müssen. Eine Software für ein umfassendes Datenmanagement, welches die komplexe Speicherinfrastruktur ständig auf Unregelmäßigkeiten überprüft, ist an dieser Stelle Gold wert.
Die für jeden dieser Schritte notwendigen Werkzeuge sollten im Idealfall einer zentralen Policy gehorchen, aus der sich dann entsprechende Maßnahmen ableiten, die wiederum automatisch umgesetzt werden. Ein entsprechender Service, der die verschiedenen Tools auf die individuelle Umgebung anpasst und ein erstes Assessment zur generellen GDPR Reife durchführt, sollte die Implementierungsphase begleiten. Aus den Ergebnissen dieses Assessments kann ein Unternehmen schnell die individuellen Risiken herauslesen und die großen Probleme als erstes angehen.