Wie eine Organisation von der DSGVO profitieren kann

von Scott Register, Vice President of Product Management bei Ixia, a Keysight Business

Die Datenschutzgrundverordnung (DSGVO) wird am 25. Mai in der gesamten Europäischen Union mit dem Ziel in Kraft treten, die personenbezogenen Daten der EU-Bürger noch besser zu schützen.

Einer der Hauptbestandteile dieser neuen Verordnung ist die Pseudonymisierung. Dies bedeutet, dass eine Person mit Zugriff auf Daten, nicht in der Lage sein darf, diese mit einem bestimmten Benutzer zu verknüpfen. Um dies zu erreichen, verfügen Unternehmen über eine Reihe von Datenverarbeitungsmaßnahmen, um maximalen Schutz zu gewährleisten.

Die neuen, strengeren Datenschutzvorgaben können eine Herausforderung für Unternehmen darstellen. Andererseits wird mit der DSGVO vieles einfacher:  Erstens ersetzt die DSGVO einen Flickenteppich nationaler Regelungen durch eine einzige EU-weite Norm. Dies macht die Einhaltung der Vorschriften für multinationale Unternehmen wesentlich einfacher und kostengünstiger. Zweitens kann die DSGVO als Chance genutzt werden, um interne Prozesse zu rationalisieren und die Sicherheit zu verbessern. Dies ermöglicht den betroffenen Unternehmen regelkonform zu arbeiten und kurz- und langfristige Kostenvorteile zu erzielen.

Scott Register ist Vice President of Product Management bei Ixia, a Keysight Business

Pseudonymisierung, Verschlüsselung oder andere potenziell nutzbare Mittel zur Einhaltung sind keine technologischen Herausforderungen. In der Tat ist die entsprechende Technologie in gebrauchsfertigen Produkten weit verbreitet. Die echte Herausforderung liegt eher in der Verwaltung der Daten. Um den Schutz der personenbezogenen Daten in allen Phasen der Verarbeitung zu gewährleisten, sollten klare Verfahren für die Erfassung, Verarbeitung, Speicherung und Entsorgung dieser Daten innerhalb eines einzigen Workflows eingerichtet werden.

IT-Experten wissen, dass die Datenintegration (Kombination und Zusammenführung von Daten aus verschiedenen Quellen) eine der schwierigsten operativen Herausforderungen für viele Unternehmen ist. Oft ist dies ein manueller, arbeitsintensiver Prozess. Viele Unternehmen müssten zugeben, dass die Verwaltung und Verarbeitung von Schlüsseldaten manuell über eine einfache Tabellenkalkulation erfolgt, die weder automatisiert noch effizient oder sicher ist. Der verbindliche Charakter des DSGVO wird es IT-Abteilungen ermöglichen, Verbesserungen in den Datenmanagementprozessen voranzutreiben.

Ab Mai dieses Jahres müssen Unternehmen alle Benutzerdaten in einen sicheren Pool stellen und den Zugriff darauf sorgfältig überwachen (was jedoch schon immer das Ziel der mit Datensicherheit betrauten Teams in einem Unternehmen war). Aber es wird nicht mehr darum gehen, die Wahrscheinlichkeit oder die Kosten eines echten Verstoßes zu diskutieren. Ein unzureichender Schutz der Daten ist nun bußgeldbewehrt und kostspielig. Unternehmen, die die DSGVO nicht einhalten, werden mit hohen Bußgeldern von bis zu 4 % ihres Jahresumsatzes belegt.

Eine Organisation sollte die DSGVO nutzen, um sich Gedanken zu machen, wie sie Daten verarbeitet, wobei Sicherheit als Grundprinzip gilt. Letztendlich wird die DSGVO viele Vorteile mit sich bringen:

Datenerfassung
Bei der DSGVO werden die Benutzerdaten nicht länger als nötig an den Punkten an denen sie gelesen werden (z.B. POS-Terminals) belassen und so schnell wie möglich wieder verschlüsselt. Dies reduziert den Bedarf an verteiltem Speicher, verbessert die Sicherheit und beschleunigt den Datentransfer.

Datenübernahme
Heutzutage setzen die meisten Unternehmen VPN-Technologien ein. Aber in denjenigen Unternehmen, die noch warten, werden ihre IT-Abteilungen solide Argumente haben, um ein entsprechendes Upgrade zu erzwingen.

Datenverarbeitung und -speicherung
Die Pseudonymisierung setzt voraus, dass ein bestimmter Benutzer nicht mit einem Datensatz verknüpft werden kann. Mit anderen Worten bedeutet dies, dass die Daten darauf hinweisen können, dass 180 Kunden einmal in einer Bankfiliale waren, aber nicht, wer sie waren. Dies kann dazu führen, dass die Datenerhebung und -speicherung überdacht wird und wichtige nutzerbasierte Entscheidungen so schnell wie möglich getroffen werden. Dies würde wiederum zu deutlich positiven Geschäftsergebnissen führen. Und die Automatisierung einer solchen Verarbeitung würde den Datenschutz verbessern.

Datenspeicherung und -disposition
Die gespeicherten Benutzerdaten bergen ein gewisses Gefährdungsrisiko. Eine aggressivere Bereinigung von Benutzerdaten, insbesondere von detaillierten und nicht pseudonymisierten Daten, wird die Speicherkosten senken und eine strengere Kontrolle über deren Verwaltung (wie z.B. die Disposition von Benutzerdaten) erfordern.

Jeder dieser Schritte sollte klar dokumentiert und regelmäßig überprüft werden, was häufig in der Verantwortung des Datenschutzbeauftragten liegt. Der Audit-Trail wird besonders wichtig, wenn die Praxis eines Unternehmens vor Gericht angefochten wird, da ein klares und konsistentes Prüfprotokoll den Datenschutz innerhalb einer Organisation stärkt und die Einhaltung der DSGVO-Vorgaben verbessert.

Ein effektiver und produktiver Ansatz für diese neue Verordnung wäre es nicht, bestehende Prozesse in einzelne Schritte für den Einsatz von Sicherheitslösungen aufzuteilen. Der Datenschutz würde zwar verbessert, aber immer noch nicht koordiniert ablaufen.
Vielmehr geht es darum, die folgenden Fragen zu untersuchen:

•    Welche Daten sammeln wir über unsere Nutzer?
•    Wie sammelt man sie?
•    Wie schnell können wir sie von der ‚Sammelstelle‘ in das Rechenzentrum zur Bearbeitung überführen?
•    Wie verarbeiten wir diese Daten und wie lange müssen sie persönlich identifizierbar sein?
•    Wann können wir das, was wir gesammelt haben, ganz oder teilweise loswerden?
•    Wie können diese Daten ganzheitlich und nachvollziehbar geschützt und pseudonymisiert werden?

Ein Unternehmen, das die DSGVO als einen Weg betrachtet, seine Geschäftsprozesse neu zu erfinden und nicht als neuen Aufwand, wird feststellen, dass die langfristigen Vorteile weit über den Sicherheitsbereich hinausgehen.