Startseite > Office & Kommunikation > "Die Vorbereitung auf die EU-DSGVO ist keine einmalige Aufgabe"

Speicherung von Kundendaten

"Die Vorbereitung auf die EU-DSGVO ist keine einmalige Aufgabe"

3. August 2017, 16:13 Uhr | Autor: Axel Pomper

Die Vorbereitung auf die nahende EU-DSGVO beschäftigt Unternehmen aller Art und Größe. Stefan Henke, Regional Vice President, Western Europe bei Veritas, erklärt im Interview, worauf es bei der richtigen Strategie ankommt und wie die neue Lösung von Veritas dabei helfen kann.

funkschau: Wo genau liegen die Herausforderungen mit der kommenden EU-DSGVO?

Stefan Henke: Mit der Datenschutzgrundverordnung (DSGVO) werden ab dem 25. Mai 2018 neue Rechte für EU-Bürger eingeführt. Sie stärken den privaten Datenschutz der Bürger in Europa und harmonisieren die entsprechenden Regeln in den 28 Mitgliedsländern. Der Bürger darf im Prinzip mehrere Dinge einfordern, die sich direkt auf zahlreiche IT-Prozesse im Unternehmen auswirken. Auf diese müssen sich die Firmen zeitnah vorbereiten.

Generell dürfen Bürger erfragen, welche Daten ein Unternehmen über sie gespeichert hat. Sie können fordern, dass diese Informationen komplett gelöscht werden. Dieses Privileg wird als das Recht zu vergessen oder „Right to be forgotten“ bezeichnet. Unternehmen müssen also in der Lage sein, Datensätze zu bestimmten Personen gezielt zu finden und umfassend zu löschen. Das gelingt nur, wenn sie genau wissen, über welche Informationen einer Person sie verfügen. Ein Großteil der Unternehmen kennt den vollständigen Inhalt ihrer gespeicherten Daten aber nicht. Laut der Databerg Studie von Veritas räumt die Mehrheit der befragten IT-Verantwortlichen ein, Daten-Messies zu sein. Sie werden Schwierigkeiten haben, die DSGVO umzusetzen. Schließlich kann man keine Daten löschen, von denen man nicht weiß, dass sie überhaupt existieren.

Das Speichern und Verarbeiten der Daten darf zudem nur zweckgebunden erfolgen, also nur in dem Rahmen, den die Vereinbarung bei der Erfassung der Daten vorgibt. Firmen sind durch die Richtlinie nicht nur verpflichtet, diese Vereinbarungen oder kurz AGBs verständlich auszuformulieren. Sie müssen auch klar dokumentieren, welche Bedingungen nun für diese Daten und die entsprechenden Datenverarbeitungsprozesse gelten.

Drittens ist es wichtig, dass sie diese Bedingungen im gesamten Lebenszyklus der privaten Personendaten in ihrem Unternehmen durchsetzen und überwachen, ob sie im Alltag eingehalten werden. Dazu gehört, per interner Governance beispielsweise Zugriffe auf die Daten zu regeln, ihren Schutz sicherzustellen oder ihren Speicherort genau zu kennen. Sollte der Zweck der Datenhaltung seine Gültigkeit verlieren, so muss das Unternehmen automatisch die richtigen Aufbewahrungsfristen für diese Daten durchsetzen und sie notfalls löschen. EU-Bürger sollen zudem schnell darüber informiert werden, wenn eine Firma ihren Datenschutz verletzt hat, weil die Daten verloren gingen oder gestohlen wurden. Diese „Dataleakage“-Klausel schreibt vor, dass Firmen alle Betroffenen und die Aufsichtsbehörden bei einem Datenleck innerhalb von 72 Stunden informieren müssen. Spätestens jetzt wird klar, wie wichig es sein wird, personenbezogene Daten sehr sorgsam während ihres gesamten Lebenszyklus im Unternehmen zu pflegen.

funkschau: Mit welchen Sanktionen ist bei einem Verstoß zu rechnen?

Henke: Ein Verstoß gegen die neuen Regelungen kann für ein Unternehmen im Ernstfall weitreichende Folgen haben. Es drohen hohe Strafzahlungen: Die Rede ist von bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist. Dem juristischen Schaden können noch eine Reihe weiterer unangenehmer Konsequenzen folgen: Einer aktuellen Veritas-Erhebung zufolge sorgen sich viele Unternehmen um die Außenwirkung und mögliche Einflüsse auf das Image der Firma oder ihren Börsenwert. Denn Datenverluste müssen den Betroffenen gemeldet werden und je größer der Vorfall ist, desto wahrscheinlicher gelangt er an die Öffentlichkeit. Die mögliche negative Berichterstattung könnte dann Kunden veranlassen, zur Konkurrenz zu wechseln.