Viel Aufwand, drohende Strafen - die EU-Datenschutznovelle steht oft negativ in der Diskussion. Ein Webcast der Computerwoche stellt nun die Vorteile des Regelwerks heraus, das ab dem 25. Mai 2018 umgesetzt werden muss.
Die Stichworte sind intelligentes Datenmanagement und bessere Datenqualität. Richtig angewendet, schaffen sie Wettbewerbsvorteile. Welche Maßnahmen Entscheider jetzt priorisieren sollten und welche Lösungen schon kurzfristig Ergebnisse zeigen, diskutieren Karin Maurer, die bei IBM DACH die DSGVO-Initiative leitet, und Uwe Nadler, Senior Managing Consultant Information Governance Solutions IBM. Fachjournalist Arne Arnold moderiert den Webcast.
Zunächst fasst Karin Maurer den Stand der Dinge zusammen: "Die zweijährige Übergangsfrist, bis die DSGVO endgültig in Kraft tritt, läuft Ende nächsten Jahres ab", sagt sie, "es liegt nun an den Unternehmen und ihren Beratern, daraus Vorteil zu ziehen." Als Beispiel nennt sie eine große international tätige Bank, die sich eine einheitliche Sicht auf Kundendaten erarbeiten konnte. Das Geldinstitut verspricht sich davon den Kunden schneller individuelle Angebote machen zu können. "Ein weiteres Beispiel ist ein Telekommunikationsunternehmen, das besseren Einblick in seine unstrukturierten Daten gewinnt", erklärt sie.
Die Managerin betont, dass auch der Begriff der "personenbezogenen Daten" zu klären ist. Neben offensichtlichem wie Name oder Adresse sind das etwa Locationbasierte Daten und IP-Adressen.
Strafen von bis zu vier Prozent des weltweiten Umsatzes
Doch wo stehen die Firmen heute? Maurer zitiert eine Umfrage aus dem vorigen Jahr. Mehr als jedes zweite deutsche Unternehmen ging 2016 laut dem Marktforscher Ovum davon aus, dass es der neuen Datenschutzgrundverordnung nicht entspricht. "Gut, das war voriges Jahr", so Maurer, "laut einer IDC-Survey aus diesem Juni haben zwei Drittel der Europäischen Unternehmen einen Beauftragten für die GDPR eingesetzt." Das scheint nicht übertrieben: Verstöße gegen die DSGVO werden mit Kosten von bis zu vier Prozent das globalen Umsatzes eines Unternehmens geahndet.
Ein Punkt in den Umfragen hat Maurer überrascht: "Als größte Herausforderung nannten die Unternehmen Encryption und Anonymisierung", berichtet sie, "das sind ja technische Themen, die man lösen kann." Wie ihr Kollege Nadler beobachtet, sind viele Unternehmen momentan mit einer IST-Aufnahme ihrer Prozesse beschäftigt. "Sie sehen sich ihre verschiedenen Datentöpfe an", sagt er.
IBM rät zu einem Vorgehen in fünf Phasen. Das Modell startet mit einem Assessment, woran sich das Entwickeln von Maßnahmen anschließt. Im dritten Schritt geht es in die Transformation, die dann in den Betrieb übernommen wird. In der fünften und letzten Phase arbeitet der Betrieb konform.
Die meisten Unternehmen stehen erst am Anfang
Während eines Kundentermins konnten sich Unternehmen nach diesem Modell selbst einschätzen. Fazit: "Die meisten Firmen sehen sich in den ersten zwei Phasen", berichtet Maurer. Nadler weiß von vielen Entscheidern, die das größte Problem darin sehen, das Thema als Projekt aufzusetzen. Sie müssen erst einmal Gehör dafür finden und ein Team zusammenstellen.
An dieser Stelle wendet sich Moderator Arnold an die Webcast-Nutzer. Ihn interessiert, wo sie sich sehen. Eine spontane Umfrage zeigt: eine relative Mehrheit von 43 Prozent steht ebenfalls noch am Anfang, hat also die Umsetzung der EU-Datenschutznovelle erst als Projekt definiert. Weniger als fünf Prozent der Befragten sind bereits konform.
Nadler strukturiert eine Information Management Architektur in folgende vier Punkte: Erstens Governance, konkret sind das Risiko Management und Richtlinien, Regeln sowie Metadaten. Zweitens geht es um die Prozesse und drittens um Daten und Analytics mit den Bereichen Discovery, Pseudonymisierung/Anonymisierung sowie die Sicht auf Kunden und Content. Viertens schließlich geht es um Security, im Einzelnen um Monitoring und Datenzugriff, das Reporting Data Breaches und Verschlüsselung.
Klingt komplex. Moderator Arnold will noch einmal die Webcast-Nutzer zu Wort kommen lassen. Wo sehen sie Investitionsbedarf, um die Anforderungen der DSGVO umzusetzen? Die Zuschauer nennen gleich mehrere Punkte: Rund jeder Zweite nennt sowohl Data Discovery als auch Governance und den Überblick über Personendaten und Content. Rund vier von zehn werden zusätzlich in Prozess Unterstützung und Pseudonymisierung/Anonymisierung investieren. Knapp jeder Fünfte sieht auch Bedarf an Security-Lösungen.
Die Frage der Cloud
Einer der Zuschauer will wissen, inwieweit die Nutzung von Cloud Computing und die Zusammenarbeit mit US-Firmen vor dem Hintergrund der DSGVO aussieht. "Um eine Rechtsberatung wird man nicht herumkommen", erklärt Maurer. Ihr erster Ratschlag wäre auf jeden Fall, sich für einen europäischen Cloud-Anbieter zu entscheiden. Dann bleiben die Daten in Europa.
Fazit: Die DSGVO ist ein vielschichtiges Thema. Kein Unternehmen kann das alleine einem Datenschutzbeauftragten überlassen. Entscheider sollten ein Team zusammenstellen, in dem Rollen und Verantwortlichkeiten klar festzulegen sind. Karin Maurer lächelt: "Wir als IBM stehen vor derselben Herausforderung wie unsere Kunden!" Auch ein Aspekt der Novelle: vor der EU-Flagge sind alle Unternehmen gleich…