Keine Angst vor der Bürokratie
Sollten wir uns also vor der EU-Bürokratie fürchten oder die Trommel für einen wasserfesten Datenschutz rühren? Unserer Ansicht nach stellen die neuen Bestimmungen einen hervorragenden Kompromiss zwischen den realen Datenschutzanforderungen der Bürger und den praktischen Herausforderungen des Datenmanagements im modernen Unternehmensumfeld dar.
Viele IT-Sicherheitsexperten haben Bedenken über die technischen Probleme geäußert, die bei der Verwaltung, Einschränkung und Überwachung des Zugriffs auf ihre wachsenden Datenspeicher auftreten könnten. Diese Bedenken sind zwar verständlich, doch mit der richtigen Technologie lassen sich diese Schwierigkeiten in der Praxis ganz einfach beheben.
Dank dem Safe-Harbor-Modell zwischen den USA und der EU sind auch US-amerikanische Organisationen in der Lage, die EU-Datenschutzrichtlinien zu erfüllen. Dieses Programm ermöglicht es Unternehmen, die nach den Safe Harbor Principles zertifiziert wurden, personenbezogene Daten aus der EU in die USA zu übermitteln, obwohl die gesetzlichen Datenschutzregelungen der USA nicht dem europäischen Standard entsprechen. Die Safe Harbor Principles enthalten die sieben grundlegenden Prinzipien der EU-Datenschutzrichtlinien: 1) Informationspflicht 2) Wahlmöglichkeit 3) Weitergabe 4) Zugangsrecht 5) Sicherheit 6) Datenintegrität 7) Durchsetzung.
Viele Organisationen standen bisher vor dem Problem, dass ihre Datenspeicher über keine oder nur sehr eingeschränkte Berechtigungsmanagement-, Klassifizierungs- und Auditing-Funktionen verfügen. Neue Metadaten-Framework-Technologien ermöglichen nun jedoch ein intelligentes, automatisiertes und kontrolliertes Datenmanagement über mehrere Plattformen hinweg, das C-Level-Führungskräfte endlich ruhig schlafen lässt.
Natürlich würden wir die gesetzlichen Vorschriften auch ohne die Androhung von Strafen erfüllen - oder? Vertrauliche Informationen sollten nur für diejenigen Nutzer zugänglich sein, die diese unbedingt benötigen. Doch wie viele Unternehmen verfügen tatsächlich über die erforderlichen Sicherheitsprozesse, um dies zu gewährleisten? Die Wahrheit ist: nicht viele. In der Praxis ist es für viele IT-Abteilungen äußerst schwierig, die Berechtigungen auf dem aktuellen Stand zu halten - also sicherzustellen, dass sich die richtigen Nutzer in den richtigen Gruppen befinden und die richtigen Gruppen den richtigen Datenressourcen wie Ordnern, Sites und Postfächern zugeordnet sind. Dies ist äußerst wichtig, denn Nutzer verändern häufig ihre Position innerhalb der Organisation und benötigen Zugriff auf immer mehr Daten. Die Prozesse zum Erteilen, Überprüfen, Analysieren und Aufheben von Zugriffsrechten sowie die Identifizierung sensibler Daten müssen jedoch automatisch erfolgen, und die Zugriffe sollten überwacht und analysiert werden. Denn nur dann ist eine Organisation in der Lage, ihr Berechtigungsmanagement auf dem aktuellen Stand zu halten, Zugriffsaktivitäten zu beobachten und mögliche Bedrohungen aufzuspüren.