Datenschutz in der EU
Die große Datenschutz-Unordnung?
Fortsetzung des Artikels von Teil 1
Herausforderung für Unternehmen
Auch wenn die befürchtete massenhafte Abmahnwelle ausgeblieben ist und Verbraucher ihre Rechte (noch) nicht unablässig einfordern, stellt das für Unternehmen nach wie vor keinen Grund dar, die DSGVO auf die leichte Schulter zu nehmen. Sie stellt schließlich geltendes Recht dar, das befolgt werden muss. Im Zweifelsfall ist das aber gar nicht so einfach.
Zum Beispiel: Um Daten löschen zu können, muss man zunächst wissen, wo diese gespeichert sind – so trivial es klingt. In Zeiten von Big Data und Multi Cloud ist das allerdings keine leichte Aufgabe. Tools legen Datensätze und Kopien davon oft an verschiedenen Orten ab. Unternehmen sollten sich deshalb in einer Art internem Daten-Audit Klarheit darüber verschaffen, wo welche Daten gespeichert werden, ob sie personenbezogen sind und welche Personen und Systeme auf sie zugreifen. Diese Prozesse sollten nachvollziehbar aufgezeichnet werden, sodass die IT diese Informationen im Zweifelsfall an die Rechtsabteilung weitergeben kann. Die größte Herausforderung ist aber vermutlich der Schutz der Daten vor unberechtigtem Zugriff von Dritten. Zugriffskontrollen und ein sicheres Storage-Konzept sind also Pflicht.
Aber es wird auch Zeit, über einen neuen Umgang mit Daten nachzudenken. Vielen ist oft nicht klar, welche Konsequenzen es haben kann, schnell ein paar Dokumente auf einen USB-Stick zu ziehen, oder über unsichere Kanäle zu verschicken. Das gilt im Übrigen für alle Unternehmensdaten, personenbezogen oder nicht. Welche Konsequenzen das haben kann, musste im letzten Jahr ein Mitarbeiter der JVA Euskirchen erfahren, der einen Stick mit vertraulichen Daten über Kollegen mit nach Hause nehmen wollte, den Datenträger aber verlor.
Cloud-Lösungen gelten oft als Lösung für das Speicherproblem: Terrabytes sind günstig, Anbieter versprechen Flexibilität und Sicherheit und die Nutzer können dennoch von überall auf die Daten zugreifen. Doch wie sicher und DSGVO-konform sind Clouds?
DSGVO und Cloud
Die Cloud ist ein abstraktes, von physischen Infrastrukturen entkoppeltes Konzept. Kunden, die große Kapazitäten an Cloudspeicher kaufen, wissen nicht, wie sich dieser zusammensetzt. Letztendlich kann der Anbieter die Daten auf diverse Rechenzentren verteilen. Das sorgt einerseits für die Flexibilität und die günstigen Preise der Dienstleister, andererseits aber ergeben sich im Zuge der DSGVO, vorsichtig ausgedrückt, gewisse Grauzonen.
So schreibt die Richtlinie vor, dass Daten europäischer Bürger auch innerhalb der Europäischen Union gespeichert werden müssen. Damit soll sichergestellt werden, dass Drittstaaten keinen Zugriff auf die Daten haben beziehungsweise erst nach einem erfolgreichen Rechtshilfeersuchen. Allerdings gibt es mit dieser Regelung zwei Probleme:
Zum einen muss der Kunde seinem Anbieter vertrauen, dass dieser seine Daten tatsächlich in der EU speichert und auch sonst alle nötigen Sicherheitsvorkehrungen trifft. Gelangen personenbezogene Daten aus einer Cloud in die falschen Hände, ist dafür nicht nur der Cloud Provider (Auftragsverarbeiter), sondern auch das Unternehmen, dem die Daten gehören (Verantwortlicher), haftbar.
Zum anderen steht die DSGVO in Kontrast zum Cloud Act der Vereinigten Staaten. Dieser schreibt vor, dass amerikanische Unternehmen Daten auch dann herausgeben müssen, wenn diese nicht in den USA gespeichert sind, also etwa in der EU.
Unternehmen sollten sich also gut überlegen, welche Daten sie in der Cloud speichern möchten. Bei unkritischen Informationen spricht im Prinzip nichts gegen die Cloud. Für personenbezogene und andere sensible Daten sollte man jedoch andere Maßstäbe ansetzen. Mit Software-defined Storage (SDS) steht Unternehmen eine ebenso preisgünstige Alternative zur Cloud zur Verfügung. Mit dem Unterschied, dass sie die volle Kontrolle über ihre Daten behalten. SDS erlaubt es, eine flexible skalierbare Speicherinfrastruktur mit Standard-Hardware aufzubauen, ohne sich an einen bestimmten Anbieter zu binden.
Eine vertrauensbildende Datenkultur etablieren
Natürlich läuft nach einem Jahr DSGVO nicht alles perfekt. Man kann aber sicherlich festhalten, dass sich – auch vor dem Hintergrund der breiten Berichterstattung – das Verbraucherbewusstsein für den Datenschutz geschärft hat. Es ist wichtig, dass vom Gesetzgeber klare Vorgaben für Unternehmen und Rechtssicherheit für Verbraucher geschaffen wurden – auch wenn sicherlich noch nicht alle Details perfekt sind. Unternehmen sollten in diesem Zuge auch in größerem Zusammenhang über ihren Umgang mit Daten nachdenken und die Richtlinie nicht nur als lästige Pflicht sehen. Daten sind ein wertvolles Asset und so sollten sie auch behandelt und gespeichert werden. Es gilt eine Datenkultur zu etablieren, die bei Verbrauchern Vertrauen schafft, auch über die Datenschutz-Grundverordnung hinaus.
Achim Gebhardt ist EMEA Director Storage bei Suse
- Die große Datenschutz-Unordnung?
- Herausforderung für Unternehmen
- Ergebnisse der Suse-Umfrage
Lesen Sie mehr zum Thema
