Data Privacy Act
Woran der Datenschutz im Unternehmen krankt
Wer diese Kosten scheut, auf den können aber erhebliche Konsequenzen zukommen. Zum Beispiel drohen der neuen EU-Direktive zufolge bei Nichtbeachtung der Gesetze Strafen von bis zu 100 Millionen Euro oder fünf Prozent des jährlichen Firmen-Umsatzes. Bislang wurden je nach Art der Datenschutzverletzung schon finanzielle Strafen von bis zu 300.000 Euro oder Haftstrafen von bis zu zwei Jahren verhängt.
Um die Datenschutzregeln einzuhalten, müssen Unternehmen eine umfassende Strategie entwickeln, die alle Formen der Datennutzung (primär oder sekundär) abdeckt - sozusagen eine "Blaupause für die Gesetzes-Beachtung". Für die Umsetzung ist dann ein effizientes und effektives Projektmanagement nötig, um die Investitionskosten zu minimieren sowie bestehende Anwendungen und Praktiken anzupassen.
5 Schritte zum Datenschutz
Die folgenden fünf Schritte sollten Unternehmen bei der Umsetzung der Datenschutzrichtlinien beachten:
- Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren. - Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant. - Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein. - Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon. - Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.
Was ist zu tun?
Auch wenn die Europäische Kommission noch an den neuen Datenschutzregeln arbeitet, sollten Unternehmen nicht die Ergebnisse abwarten, sondern schon jetzt die Anpassungen ihrer Systeme an die neuen Anforderungen planen. Selbst mit den erwarteten zwei Jahren Spielraum kann die Zeit sehr knapp werden, da vieles zu beachten ist. Dazu gehören die Bewältigung der teils sehr großen Datenmengen, die hohe Komplexität der oft nur rudimentär dokumentierten Beziehungen zwischen Objekten, die plattformübergreifende Datenintegrität, Möglichkeiten der Datenreduktion und die zu wählenden Ansätze für die Anonymisierung, um die Risiken einer Datenschutzverletzung zu minimieren.
Zur Unterstützung bei der Vorbereitung auf die neue Direktive sollten Unternehmen daher auch in Betracht ziehen, einen Beratungsdienstleiter einzubinden. Dieser hat umfangreiche Erfahrungen und hohes Wissen in Daten-Management und -Schutz sowie umfassende Services für den gesamten Prozess zu bieten. Dadurch können Unternehmen ihre IT-Abteilungen entlasten, die Kosten für die Umstellung und Einhaltung reduzieren sowie Risiken durch fehlende ComplianceCompliance vermeiden. Alles zu Compliance auf CIO.de