Datenschutz
Vier Lehren aus Compliance-Projekten
Fortsetzung des Artikels von Teil 1
Fehlender Management-Support
Die Geschäftsführung eines Unternehmens muss verstehen, inwiefern die Einhaltung von Compliance-Regelungen ein wichtiger Faktor für den wirtschaftlichen Erfolg des Unternehmens ist. Kundendaten müssen verantwortungsvoll und sicher verarbeitet werden, ansonsten kann es zu hohen finanziellen und nachhaltigen Reputationsschäden kommen. Denn ein fahrlässiges Datenmanagement führt zu verlorenem Vertrauen und einem damit einhergehenden Umsatzverlust. Wenn die Verantwortung für Compliance allein bei der IT-Abteilung liegt, ist meistens zu wenig Budget, Zeit und Arbeitskraft vorhanden, um regelkonform zu agieren. Deshalb sollte das Unternehmensmanagement entsprechend Interesse, Zeit und Ressourcen für die Erfüllung der Compliance-Regelungen einräumen.
WORM ist nicht gleich Compliance
"Write once, read many" (WORM) beschreibt Speicher, auf denen Daten unveränderlich abgelegt werden. Unternehmen erlagen der falschen Annahme, dass sie mit dieser Insellösung eine Revisionssicherheit erreicht hätten. Der DSGVO-Fall gegen die Immobilienfirma Deutsche Wohnen hat jedoch gezeigt, dass die Lösung nicht ausreicht, da das Unternehmen nicht in der Lage war, personenbezogene Daten fristgerecht zu löschen. Deshalb sollten Unternehmen bei personenbezogenen Daten alle Verfahren, die mit den Daten hantieren, beschreiben und detailliert dokumentieren. Ebenso sollten die Zugriffsberechtigungen von Mitarbeiter nur auf das Nötigste beschränkt sein und die jeweiligen Zugriffe nachvollzogen werden können. Das Löschen der Daten, nachdem der dokumentierte Zweck abgelaufen ist, sollte automatisch passieren und zwar nicht nur in den Archiven, sondern auch in anderen Datenquellen. Ein umfassendes Datenmanagement sollte personenbezogene Daten automatisch in allen Speicherorten erkennen.
Das falsche Maß anlegen
Nach dem Inkrafttreten der DSGVO waren viele Unternehmen vom Ausmaß der Aufgaben überwältigt und verschoben die Umsetzung ihres Compliance-Projekts. Andere wiederum haben Maßnahmen umgesetzt, die das absolute Minimum der Vorgabe erfüllen sollten. Diese zeigten jedoch oftmals zu viele Lücken auf, weshalb die Konzepte überarbeitet werden mussten. Währenddessen konnten Unternehmen, die ihr Compliance-Projekt mit einem klaren Prozess und definierten Plan umgesetzt haben, bessere Ergebnisse erzielen. Es hat ihnen erlaubt, die internen Abläufe und Daten in einer Ist-Aufnahme zu erfassen und daraus einen Sollzustand mit entsprechendem Anforderungskatalog zu definieren.
Marc Ahlgrim erläutert: "Firmen allerdings, die Compliance nicht als reine Tick-the-box-Übung verstanden haben, konnten von positiven Nebeneffekten ihrer Datenmanagementprojekte profitieren. Sie waren in der Lage, den Inhalt und damit den Wert ihrer Daten besser zu verstehen und den Schutz ihrer sensibelsten Daten zu stärken. Sie haben ebenso unnütze Dokumente und Files als solche erkannt, von ihren Speichern gelöscht und so Kosten gesenkt."
- Vier Lehren aus Compliance-Projekten
- Fehlender Management-Support
Lesen Sie mehr zum Thema
