Nach dem Ende der Übergangsfrist für die DSGVO atmeten die meisten Firmen erst einmal durch. Doch viele der in letzter Minute implementierten Lösungen und Prozesse sind unzureichend. Außerdem ist es eine Sache, die Anforderungen zu erfüllen, nur um den Anforderungen zu genügen. Im Interview mit ChannelPartner plädiert Mathias Wenig, Senior Manager Technology Sales und Digital Transformation Specialist bei Veritas, dafür, die von der DSGVO diktierten Hausaufgaben als Möglichkeit zu nutzen, das Datenmanagement in den Griff zu bekommen.
Foto: Veritas
ChannelPartner: Der Bitkom hat die DSGVO kürzlich scharf kritisiert. Es sei nach wie vor unklar, was viele Vorgaben im Detail bedeuten. Zudem sei der Mehraufwand gerade für kleine Firmen erheblich. Es kämen bislang zahlreiche unberücksichtigte und eher akademische Fragen auf. Sie würden Unsicherheit schaffen, etwa darüber, ob und wenn ja welche Informationspflichten bei der Entgegennahme einer Visitenkarte entstehen. Sehen Sie das ähnlich? Oder ist der Verband hier zu streng?
Mathias Wenig: Treffen große Regelwerke auf die Praxis, ergeben sich zwangsläufig neue Fragen und Probleme, die der Gesetzgeber vorab nicht bedacht hatte. Das schafft Unsicherheiten, weil niemand zum jetzigen Zeitpunkt verbindlich erklären kann und will, wie manche Streitpunkte in der Praxis zu lösen sind.
Ich halte es für richtig, aus der Erfahrung der ersten Monate zu lernen, und die Verordnung an manchen Stellen nachzubessern. Denn in gewissen Punkten belastet die DSVGO gerade kleinere Firmen zu stark. So wäre es klug, die Benennung eines Datenschutzbeauftragten erst bei 50 Mitarbeitern als verpflichtend zu erklären und Sonderregelungen für Vereine einzuführen.
Die Politik hat bereits angekündigt, dass sie die Verordnung praxistauglicher machen will und Gesetzesentwürfe vorgeschlagen. Auch im Bundesrat wurde in Ausschüssen für Wirtschaft und Inneres eine Reihe von Verbesserungen erarbeitet. Eine Empfehlung will gezielt die befürchtete Abmahnwelle eindämmen, indem per Gesetz klargestellt werden soll, dass Mitbewerbern und Abmahnvereinen keine Ansprüche gegen ihre Konkurrenten wegen mangelnder Umsetzung der DSGVO zustehen.
Damit sollen Aufwand und Auswüchse Schritt für Schritt eingedämmt werden, die ja schon einige skurrile Ergebnisse produziert haben. So hat jüngst in Wien eine Eigentümergesellschaft beschlossen, die Klingelschilder mit den Namen der Mieter abzumontieren, da kritisiert wurde, dass die nach außen hin sichtbare Verbindung aus Wohnort und Name gegen die Regeln verstoße. Zwar klärte etwa Stefan Brink, Landesbeauftragter für Datenschutz in Baden-Württemberg auf: "Es wäre sehr unvernünftig, so etwas zu tun, und es ist vom Datenschutz auch nicht so gefordert." Die Entscheidung zeigt aber, wie unsicher sich viele in Bezug auf die Auslegung der DSGVO sind.
Die Kritik des Bitkom spiegelt also den Wunsch wider, große Regelwerke nachzujustieren, um sie an die realen Bedingungen in der Praxis anzupassen und die Firmen nicht über Maß zu belasten. Dies ist ein wichtiger Schritt, damit die Verordnung flächendeckend umgesetzt wird.
Neue Regeln zum Umgang mit personenbezogenen Daten
ChannelPartner: Diverse Umfragen zeigen, dass viele Firmen die Vorgaben der DSGVO immer noch nicht erfüllen. Dabei hatte die EU bereits eine Übergangsfrist von zwei Jahren eingeräumt. Sind die Firmen schuld, die das auf die leichte Schulter genommen haben, oder die EU, die kurzfristig noch Vorgaben geändert hat?
Mathias Wenig: In der Tat hat der EU-Rat Anfang Mai den Gesetzestext verändert und so einige Regeln, beispielsweise für E-Mail-Newsletter, modifiziert. Hier dürfen nur zweckgebunden private Daten gesammelt werden. Das wäre in dem Fall nur noch die Mail-Adresse. Zusätze wie den Vor- oder Nachnamen bräuchte man nicht, so dass viele Kontaktformulare angepasst werden müssen. Das war Wasser auf die Mühlen der Kritiker, die vor dem großen Aufwand und der bürokratischen Mehrarbeit warnten, und hat sicher nicht geholfen, für mehr Akzeptanz zu sorgen.
Die Grundverordnung setzt neue Regeln, wie Firmen mit personenbezogen Daten umzugehen haben und berührt damit viele interne Prozesse bei Firmen tiefgreifend. Stark regulierte Branchen wie die Banken- oder Pharmaindustrie sind seit Jahren gewöhnt, sehr strenge Compliance-Vorgaben bei Personendaten zu erfüllen. Diese Branchen haben die neuen Regeln souveräner umgesetzt.
Je weniger reguliert eine Branche ist, desto unvorbereiteter trifft sie die neue Gesetzgebung, da es an Erfahrung fehlt, die andere Branchen in der Vergangenheit bei der Einführung anderer großer Vorgaben sammeln konnten. In solch einer Ausgangslage ist es sicher schwieriger, das wahre Ausmaß zu erkennen und zu bewerten.
Lesetipp: Unternehmen nehmen DSGVO auf die leichte Schulter
Unsere Studien haben gezeigt, dass die Verantwortlichen die Aufgaben unterschätzt und falsch eingeschätzt haben, wie gut sie auf die Verordnung vorbereitet waren. Denn die grundlegenden Pflichten beim Recht auf Vergessen werden und beim Melden von Datenvorfällen bedingen zwangsläufig, dass Unternehmen ein umfassendes Konzept für Datenmanagement etabliert haben, das den Inhalt der Daten auf internen und externen Datenquellen inklusive der Cloud klassifiziert. Dann kann ein Unternehmen gezielt personenbezogene Daten finden, löschen, ihren Verlust bemerken und innerhalb von 72 Stunden den Betroffenen und den Behörden melden.
ChannelPartner: Veritas bemüht sich darum, die Notwendigkeit der DSGVO-Compliance bewusst zu machen, und hat dazu einige Umfragen und Studien veröffentlicht. Rückblickend betrachtet: Wie waren die Reaktionen bei Kunden auf diese Ergebnisse?
Mathias Wenig: Die Ergebnisse der Studien wurden in den Gesprächen interessiert aufgenommen. Kunden wollten verstehen, wie ihre Kollegen aus anderen Branchen oder Ländern die Lage einschätzen. Die Ergebnisse haben Kunden gezeigt, wie andere Firmen das Thema angehen und welche Best Practices sich in der Praxis bewährt haben. Schließlich standen die meisten IT-Verantwortlichen vor derselben Frage, nämlich der, wie sie die DSGVO-Anforderungen umsetzen sollen. Orientierungshilfen wurden daher gern aufgegriffen.
ChannelPartner: Die DSGVO ist ja ein typisches Beispiel für ein Querschnittsthema: Festgelegt werden die Regeln von Juristen, umsetzen sollen sie die IT-Abteilung und im Alltag anwenden die Fachabteilungen - deren Tagesgeschäft dadurch erheblich beeinflusst wird. War da nicht von Anfang an absehbar, dass in der Praxis Beipässe gesucht und gefunden werden, um weiterhin wie gewohnt arbeiten zu können?
Mathias Wenig: Die Anforderungen aus der DSGVO sind so umfassend und tiefgreifend, dass Business-as-usual in den Bereichen, in denen personenbezogene Daten verarbeitet werden, in der Regel kaum machbar ist, ohne Risiken einzugehen. Das muss den Verantwortlichen klar sein, wenn sie entscheiden, in der Praxis Umwege zu suchen, die möglicherweise gegen Kernprinzipien der Verordnung verstoßen.
Lesetipp: Unterschätztes Risiko: Datenschutz und Ticketsysteme
Aber wie bereits zu Beginn gesagt, muss sich jede Verordnung in der Praxis beweisen und entsprechend angepasst werden, um zu großen Aufwand genauso einzudämmen wie mögliche Schlupflöcher zu schließen.
Das Problem mit "Dark Data"
ChannelPartner: Festgelegt wurde der Umgang mit Daten von Juristen. Mal ganz ehrlich: Sind denn die Vorgaben technisch aktuell überhaupt schon in allen Aspekten umsetzbar? Und wenn ja, mit welchem Aufwand?
Mathias Wenig: Die DSGVO zwingt Firmen dazu, personenbezogene Daten sorgfältiger zu behandeln. Dies ist bei strukturierten Datenquellen wie Datenbanken gut umsetzbar, da diese Datenquellen mit eigenen Werkzeugen Datensätze exzellent managen.
Anders sieht es bei unstrukturierten Daten aus, die sich aus E-Mails, Office-Dokumenten und vielen anderen Formaten wie Videos, Bildern oder Social Media Posts zusammensetzen. Hier fehlt jegliche Struktur, niemand kann auf den Inhalt der Daten schließen, ohne sie einmal zu öffnen und zu kategorisieren. Der Inhalt der Daten bleibt verborgen, im Fachjargon spricht man von Dark Data. Unsere Studien zeigen, dass Firmen nur knapp ein Drittel ihrer Daten tatsächlich kennen, der Rest ist Dark Data.
Dort können sich personenbezogene Daten verbergen, sei es in Excel-Teilnehmerlisten des Firmenjubiläums vor vier Jahren, oder in Bewerbungsmappen von Kandidaten, die sich vor Jahren auf eine Stelle beworben haben. Ebenso können dort persönliche Daten von Mitarbeitern liegen, die die Firma längst verlassen haben.
Lesetipp: Datenschutz-Grundverordnung - was Cloud-Nutzer wissen müssen
Diese Daten sind personenbezogen und daher m Kontext der DSGVO gesondert zu behandeln. Manche müssten unverzüglich gelöscht werden, da der Zweck, zu dem sie erhoben wurden, nicht mehr aktuell ist.
Firmen sollten daher ihre unstrukturierten Daten in den Blick nehmen und einen Prozess entwickeln, in dem sie alte und neue Daten automatisch einstufen und entsprechend ihres Inhalts behandeln.
Unternehmen brauchen eine Datenlandkarte
ChannelPartner: Soweit die Theorie. Wie lässt sich das in der Praxis umsetzen?
Mathias Wenig: Da brauchen Unternehmen Werkzeuge, die ihre unstrukturierten Daten effektiv verwalten, damit die verschiedenen Aufgaben aus der DSGVO abgedeckt werden können. Beispielsweise lassen sich die einzelnen Anforderungen in bestimmten Rollen oder Aufgaben innerhalb der Organisation aufteilen, um so sicherzustellen, dass das Unternehmen die DSGVO prozessgesteuert einhalten kann. In der Praxis haben sich vier Best-Practice-Schritte herausgebildet, um diese Aufgabe zu lösen:
Lokalisieren: Personenbezogene Daten sichtbar machen
Zunächst sollte eine Firma den Überblick darüber gewinnen, wo personenbezogene Daten überhaupt gelagert werden - sie brauchen sozusagen eine Datenlandkarte. Das gilt gerade auch für alle Daten, die in der Cloud lagern. Denn es ist für die DSGVO wichtig zu wissen, wo persönliche und sensible Informationen gespeichert sind, wer darauf Zugriff hat und wie lange diese Informationen bereits aufbewahrt werden.
Minimieren: Personenbezogene Daten kontrollieren
Eines der Ziele der DSGVO ist es zu regeln, dass Firmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern. Deshalb sollte jede Datei ein Verfallsdatum erhalten und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.
Schützen: Personenbezogene Daten vor Missbrauch und Verlust bewahren
Eigentlich selbstverständlich, aber wichtig: Personenbezogene Daten sind besonders schützenswert. Unternehmen müssen Maßnahmen ergreifen, um Angreifer von außen und innen abzuwehren. Dazu gehört, den aktuellen Status Quo in puncto Datensicherheit und die Prozesse auf den Prüfstand zu stellen.
Überwachen: Sicherstellen, dass GDPR-Vorgaben kontinuierlich eingehalten werden
Um ein Datenleck zu melden, muss man zuerst wissen, dass es existiert. Es ist wichtig, schnell und eindeutig zu klären, welche Daten verloren gegangen sind. Denn die DSGVO fordert, dass Betroffene und die Behörden innerhalb von 72 Stunden über den Vorfall informiert werden. Eine Software für ein umfassendes Datenmanagement, die die komplexe Speicherinfrastruktur ständig auf Unregelmäßigkeiten überprüft, ist hierfür bestens geeignet.
Der Aufwand, um diese Best Practices durchgängig einzuführen, wächst natürlich mit der Größe der Firma, der Datenmenge und den Datenquellen, die eingebunden werden müssen.
ChannelPartner: Während der Übergangsfrist der DSGVO wurde immer wieder darauf hingewiesen, dass eine saubere Umsetzung den Firmen auch Vorteile in ihren Arbeitsabläufen und bei ihrem Umgang mit Daten bringt. Dass sich der Aufwand für die DSGVO sozusagen selbst bezahlt macht, indem Datenmüll bereinigt und effizientere, nachvollziehbare Prozesse geschaffen werden. Hat das bei den Firmen geklappt, die es ernsthaft versucht haben?
Mathias Wenig: Wer ein strategisches Datenmanagement einsetzt, um die Vorgaben der DSGVO zu erfüllen, hat unmittelbar Vorteile. Das Risiko, gegen die Richtlinie zu verstoßen und im Nachhinein juristisch belangt zu werden, können Unternehmen gezielt eindämmen. Selbst wenn es zum Worst Case und einem Datenverlust kommt, können Firmen klar belegen, dass sie alle erforderlichen Maßnahmen im Alltag nutzen, um solche Fälle möglichst zu vermeiden.
Es ergeben sich zudem zahlreiche weitere Vorteile. Firmen können den Wert ihrer Daten besser verstehen und beispielsweise vertrauliche Informationen an stark geschützten Stellen konzentrieren und den Zugriff darauf genau überwachen. Dadurch sinkt das Risiko, das geistiges Eigentum auf leicht zugänglichen externen Speichern liegt.
Firmen werden besser verstehen, welche Daten veraltet sind und auf langsame, günstige Archive verschoben werden können. Und sie können damit beginnen, eindeutigen Datenmüll risikofrei zu löschen, um ihre Speicherressourcen zu entlasten. Solche Maßnahmen sind besonders sinnvoll, wenn Firmen entscheiden, ihre IT mittelfristig ganz in die Cloud zu migrieren. Wer die Daten säubert, bevor er sie in die Cloud schiebt, wird den ganzen Prozess beschleunigen - allein dadurch, dass die Datenmenge sich verkleinert.
Zu guter Letzt ist ein Unternehmen langfristig gut aufgestellt, um die explosionsartige Zunahme von Daten in den Griff zu bekommen. Unsere Untersuchungen zeigen, dass die Datenvolumen bei unseren Kunden von Jahr zu Jahr um 49 Prozent zunehmen. Trends wie IoT und Big Data werden dazu beitragen, dass sich das Wachstum eher noch beschleunigen wird. Wer aus diesen Daten den meisten Wert ziehen möchte, wird nicht darum herum kommen, den Inhalt unstrukturierter Daten besser zu verstehen. Er kann am Ende im Idealfall schneller und klüger entscheiden als die Konkurrenz.
ChannelPartner: Die Umsetzung der DSGVO-Vorgaben in die Praxis ist ein komplexes Thema. Waren klassische, technikfokussierte Firmen aus dem IT-Channel überhaupt in der Lage, ihren Kunden dabei zu helfen? Oder lernen wir aus den Problemen mit der DSGVO, dass auch IT-Systemhäuser künftig verstärkt Mitarbeiter mit betriebswirtschaftlichen, juristischen und prozesstechnischen Know-how beschäftigen müssen, um in Zukunft anstehende Projekte überhaupt bewältigen zu können?
Mathias Wenig: Veritas hat seine Partnerlandschaft bereits früh mit Experten auf juristischem Gebiet erweitert und seine Fachhändler motiviert, mit diesen Fachexperten zusammenzuarbeiten. Denn in der Tat lassen sich die DSGVO und die Prozesse mit starkem IT Know-how allein nicht umsetzen. Wir sehen auf dem Markt, dass sich große Partner dieses Wissen einkaufen oder mit anderen kooperieren, um solche Projekte zu realisieren.
ChannelPartner: Wenn Sie in der Zeit bis Frühjahr 2016, also den Beginn der Übergangsfrist für die DSGVO zurückreisen könnten. Was würden Sie anders machen?
Mathias Wenig: Die Geschichte ähnelt der von vielen anderen Richtlinien, die in der Vergangenheit eingeführt wurden. IT Verantwortliche sind heutzutage auf vielen Ebenen gefordert, um ihre IT schneller, effizienter zu machen und wichtige Digitalisierungsprojekte voranzutreiben. Aufgaben, die Ressourcen ganzer Teams voll ausreizen können. Es ist daher nur menschlich, die Übergangsfristen voll auszunutzen. Dies war bei der Einführung anderer Standards ähnlich. Daher bin ich überzeugt, dass die Kunden ähnlich vorgehen würden, unabhängig davon, was wir anders machen würden.