Ein Jahr Datenschutz-Grundverordnung

Vor einem Jahr wurde die DSGVO eingeführt. Was hat sich seitdem verändert und konnte sie tatsächlich den Datenschutz in der EU verbessern? Hier finden Sie nicht nur die Antworten auf diese Fragen, sondern auch zehn Tipps für eine bessere Compliance.

Sie wurde mit dem Millennium-Bug verglichen, als neue Möglichkeit für Abmahn-Erpressungen bezeichnet und hat IT-Abteilungen in den vergangenen zwölf Monaten wie kaum ein anderes Thema beschäftigt. In der Woche vor dem Inkrafttreten im vergangenen Mai wurde sie als Suchbegriff bei Google häufiger aufgerufen als Beyonce. Es handelt sich natürlich um die DSGVO (Datenschutz-Grundverordnung), das von der EU ins Leben gerufene Rahmenwerk für Datensicherheit und -schutz. Ein Jahr nach ihrer Einführung ist es Zeit für eine Bestandsaufnahme.

Da Datendiebstahl und -missbrauch inzwischen zum Alltag gehören und Sicherheitsverstöße, Phishing-Betrug und Cyberangriffe die Regel sind, kam die DSGVO zum richtigen Zeitpunkt: Unternehmen benötigten eine Anleitung und Verbraucher einen besseren Schutz.

Tatsächlich hatten viele IT-Abteilungen bis vor einem Jahr wenig oder gar keinen Einblick in den Umgang mit Daten. Durch die Einführung der DSGVO mussten sie jedoch prüfen, wer tatsächlich Zugriff auf welche Dateien hat, welche Schwachstellen sie haben und wie sie sich im Falle eines Angriffs verhalten. Sie begannen auch damit, schwierige Fragen zur Compliance-Bereitschaft zu stellen und Software von Drittanbietern zu bewerten.

Mehr Aufwand für besseren Datenschutz

Für viele Unternehmen beinhaltete der Weg zur Einhaltung der DSGVO die Schaffung einer neuen Rolle oder eines neuen Teams, das sich auf die Risikominderung und Einhaltung der Vorgaben konzentriert. Je nach Branche, Unternehmensgröße und Umfang der datenbezogenen Prozesse kann dies von einer Person bis zu einem Team von zwölf oder mehr Personen reichen.

Ein Ergebnis der DSGVO ist, dass die Meldung von Verstößen gegen personenbezogene Daten seit Mai 2018 weltweit deutlich zugenommen hat. Laut einer Studie von DLA Piper wurden in den ersten acht Monaten nach ihrem Inkrafttreten europaweit fast 60.000 Verstöße gemeldet. Dies wiederum führte dazu, dass Verstöße bei personenbezogenen Daten stärker zu einem öffentlichen Thema geworden sind. Dies ist eine sehr gute Sache und unterstützt das Ziel der DSGVO: die Stärkung des Datenschutzes für EU-Bürger.

Einige Marktbeobachter sagen zwar, dass nicht genügend Bußgelder verhängt wurden, aber immerhin gab es seit Mai 2018 etwa 90 Geldbußen. Die größte und bedeutendste Strafe wurde in Frankreich gegen Google ausgesprochen – in einer Höhe von 57 Millionen US-Dollar.

Das Problem: Mass-Data-Fragmentation

Eine große Herausforderung bei der DSGVO-Compliance entsteht durch die so genannte Mass-Data-Fragmentation. Darunter versteht man die zunehmende Verbreitung von Daten über eine Vielzahl von verschiedenen Standorten, Infrastruktursilos und Managementsystemen. Das hindert Unternehmen nicht nur daran, den Wert dieser Daten voll auszuschöpfen. Im Kontext der DSGVO bedeutet dies auch Komplikationen bei der Lokalisierung, Verarbeitung, Zugriffskontrolle und Gewährleistung der Sicherheit ihrer Daten.

Untersuchungen von Vanson Bourne im Auftrag von Cohesity zeigen eine Reihe von Faktoren, die dieses Problem verstärken.

• Es gibt eine Fragmentierung der Daten sowohl in mehrere als auch innerhalb von Silos. Dieses Problem wird noch verschärft durch die Vielzahl an Einzelprodukten, die zur Verwaltung von nicht geschäftskritischen Workloads wie Backups, Fileshares, Object-Stores, Test und Entwicklung sowie Analysen verwendet werden.
• Einzelprodukte erhöhen die Komplexität. 35 Prozent der Befragten nutzen sechs oder mehr verschiedene Lösungen zur Verwaltung aller nicht geschäftskritischen Prozesse. Über zehn Prozent der Unternehmen verwenden sogar elf oder mehr Lösungen.
• Es gibt überall Kopien der gleichen Daten, da Einzelprodukte den Austausch oder die Wiederverwendung nicht zulassen. 63 Prozent der Unternehmen besitzen vier bis 15 Kopien der gleichen Daten.
• Die Daten sind über mehrere Standorte verteilt. 85 Prozent der Befragten speichern Daten in zwei bis fünf Public-Clouds. Davon erstellen 74 Prozent eine alternative oder redundante Kopie und speichern sie entweder in derselben oder einer anderen Public-Cloud. Eine einheitliche Verwaltung dieser Daten oder eine Entfernung personenbezogener Daten aus all diesen Kopien lassen sich kaum sicherstellen.

Genug getan?

Die meisten Unternehmen haben trotzdem das Gefühl, dass sie „genug“ für die DSGVO getan haben. Allerdings sind sich einige nicht sicher, was „genug“ wirklich bedeutet. Dies liegt zum Teil daran, dass sich die Bestimmungen der DSGVO in gewisser Hinsicht offen auslegen lassen. Das beunruhigt Unternehmen, die es vorgezogen hätten, wenn die Vorgaben detaillierter festgelegt worden wären. Dies hätte aber wiederum eine gewisse Besorgnis darüber ausgelöst, ob ein Unternehmen trotz aller Bemühungen tatsächlich vollständig konform wäre oder nicht.

Insgesamt gilt: Wer Schritte unternommen hat, um den Schutz personenbezogener Daten wirklich sicherzustellen, befindet sich auf einem guten Weg. Aber das ist noch nicht alles. Unternehmen müssen weiterhin gewährleisten, dass sie die DSGVO-Anforderungen einhalten und regelmäßig Datenberichte und Reaktionszeiten bewerten, hinterfragen und verbessern. Es gibt zwar Lösungen und Anwendungen, welche die Compliance optimieren können, doch auch in Zukunft müssen Menschen sicherstellen, dass die richtigen Prozesse genutzt und die richtigen Fragen gestellt werden.