Die EU-Datenschutzgrundverordnung (kurz EU-DSGVO, engl. GDPR) wurde verabschiedet, Unternehmen müssen die Anforderungen bis zum 25. Mai 2018 erfüllen. Damit beseitigt die DSGVO die Komplexität verschiedener lokaler Datenschutzverordnungen in Europa. Der europäische Datenschutz wird fit für ein neues Zeitalter, das von Cloud, Mobile, Social, Big Data und einem verstärkten Austausch über Ländergrenzen hinweg bestimmt wird. Auf was Unternehmen achten müssen, erläutert IDC.
Die DSGVO betrifft alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dabei erstreckt sie sich auch auf Firmen, die Daten von EU-Bürgern verarbeiten, ohne dabei eine physische Präsenz in der EU zu haben. Alle Unternehmen unterliegen künftig einer Meldepflicht innerhalb von 72 Stunden für Verstöße. Die schnelle Erkennung einer Verletzung der DSGVO ist daher eine zentrale Herausforderung. Pläne für Datenschutzverletzungsszenarien müssen erstellt und ein strukturierter Vorgang für die technische Behebung sowie für den Umgang mit Aufsichtsbehörden, Kunden und Medien eingesetzt werden. Firmen, die personenbezogene Daten regelmäßig und umfangreich verarbeiten, müssen darüber hinaus einen Datenschutzbeauftragten beschäftigen.
Personenbezogene Daten sind in jedem Unternehmen vorhanden
Jedes Unternehmen verfügt über personenbezogene Daten. Dies umfasst Kundendaten, Mitarbeiterdaten, Bürgerdaten, Gesundheitsdaten oder Daten, die beispielsweise im Rahmen von IoT-Anwendungen wie Fitness Tracker oder Connected Cars gesammelt werden. Die Organisationen müssen zunächst einmal herausfinden, über welche personenbezogenen Daten sie verfügen, wo sich diese Daten befinden und wer darauf Zugriff hat. Selbst das Speichern von den Daten, ohne dass diese weiterverarbeitet werden, fällt bereits unter die DSGVO.
Konsequenzen bei Verstößen gegen die Bestimmungen sind schwerwiegend
Bei Verstößen gegen die Bestimmungen der DSGVO drohen hohe Bußgelder, wobei bis zu 20 Mio. Euro oder 4 Prozent des Umsatzes angesetzt werden können. Die Bußgelder werden erhoben, wenn Unternehmen die Richtlinien nicht einhalten – selbst wenn kein konkreter Sicherheitsvorfall vorliegt.
Hinzu kommt der Reputationsverlust, etwa Ausgleichszahlungen für Kunden, damit diese dem Unternehmen nicht den Rücken kehren sowie entgangener Umsatz bei einem etwaigen Verlust von Kunden. In Extremfällen – wenn Organisationen bei der Verarbeitung von personenbezogenen Daten große Sicherheitslücken im Hinblick auf Art, Schwere und Dauer aufweisen und keine objektive Nachbesserung ihrer Datenschutzkonformität vorweisen können – kann ein endgültiges Verbot der Datenverarbeitung ausgesprochen werden.
„Dies würde zwangsläufig die Einstellung jeglicher Geschäfte in der EU bedeuten, denn Unternehmen, die keine personenbezogenen Daten mehr nutzen dürfen, können beispielsweise nicht einmal mehr ihre Mitarbeiter auszahlen“, gibt Laura Hopp, Consultant bei IDC zu bedenken. „Wir beobachten, dass Organisationen alarmiert und bereit sind, hohe Investitionen in Datenschutz und Datensicherheit zu tätigen.“
Neue Konzepte: „Data Protection by Design and by Default“
Unternehmen müssen Datenschutz und Datensicherheit künftig noch stärker in den Fokus stellen. Bei „Protection by Design“ geht es darum, dass Unternehmen ihre IT-Systeme von Anfang an so gestalten, dass die Datenschutzgrundsätze umgesetzt werden. Beispielsweise sollten nur gerade so viele Daten erhoben werden, wie zur Erfüllung des Verarbeitungszwecks erforderlich sind.
„Privacy by Default“ bezieht sich auf eine datenschutzfreundliche Voreinstellung. Das bedeutet, dass nur für den jeweiligen Zweck erforderliche Daten verarbeitet werden, Daten nach der abgelaufenen Speicherfrist gelöscht werden sowie Zugriffsbeschränkungen gelten. Eine Organisation muss zudem in der Lage sein zu zeigen, dass sie über ausreichende Sicherheit verfügt und dass die Einhaltung dieser überwacht wird. Der Datenschutz wird ein integraler Bestandteil sowohl der technologischen Entwicklung als auch der Organisationsstruktur eines neuen Produkts oder einer Dienstleistung.
Großes Potenzial für Anbieter
Unternehmen stehen vor der Herausforderung, bestehende Datenschutzmaßnahmen vollständig zu überarbeiten. Das Information Management muss sich dahingehend ändern, dass eindeutig geregelt ist, über welche Daten das Unternehmen verfügt, wer dafür verantwortlich ist, wo diese gespeichert und wie sie genutzt werden.
Neue Herausforderungen betreffen auch die IT-Sicherheit, die in jedem Schritt innerhalb des Business-Prozesses eingebettet sein muss. Risikomanagementverfahren müssen künftig durchgeführt werden, d.h. mögliche Bedrohungen und Schwachstellen müssen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens identifiziert werden.
Auch bezogen auf die Verarbeitung von Dokumenten mit personenbezogenen Daten ergeben sich neue Fragestellungen: Drucken, Kopieren, Scannen und Faxen muss künftig ebenfalls GDPR-konform abgewickelt werden. Die Nutzung von Cloud Services wird durch die DSGVO ebenfalls auf die Probe gestellt, denn die Unternehmen, die personenbezogene Daten in der Cloud halten, sind für eine eventuelle Nichteinhaltung datenschutzrechtlicher Bestimmungen von Seiten der Cloud-Provider verantwortlich.
Es zeigt sich insgesamt, dass die DSGVO vielfältige Technologiebereiche wie Cloud, Mobility, Big Data/Analytics, IoT-Applikationen, Testing, Information Life-Cycle Management, Storage, ECM, Print, IT Security sowie Identity und Access Management betrifft und neue Lösungsansätze gefragt sind.
Die meisten Unternehmen benötigen bei der Umsetzung Unterstützung in Form von Dienstleistungen und Technologie, wodurch sich für Anbieter laut IDC sehr gute neue Möglichkeiten ergeben. Darüber hinaus werden Unternehmen vor allem die IT-Anbieter wählen, die ihrerseits DSGVO-Konformität nachweisen können. IT-Anbieter sollten hier also entsprechende Expertise demonstrieren.
„Der Informations- und Beratungsbedarf rund um GDPR ist nach unserer Einschätzung immens hoch. Für spezialisierte Lösungsanbieter sowie IT-Dienstleister bieten sich nach unserer Einschätzung gute Wachstumschancen“, sagt Hopp. Voraussetzung dafür sei allerdings, dass sie sich jetzt entsprechend positionieren. Der Schlüssel zur richtigen Ausrichtung der Marketing- und Vertriebsaktivitäten sei dabei die Kenntnis über die Anforderungen und Erwartungen von Anwenderunternehmen.