Personenbezogene Daten 11.01.2018, 11:01 Uhr

Diese 6 Fragen zur DSGVO sind für Unternehmen wichtig

Die Zeit drängt: In wenigen Monaten tritt die DSGVO in Kraft. Die Verantwortlichen in Unternehmen sollten sich dazu vor allem diese sechs spezifischen Fragen stellen.
(Quelle: shutterstock.com/Jarm )
Von Marc Bastien, Solution Architect bei der Ulmer Axians IT Solutions GmbH
In der gesamten Europäischen Union regelt die EU-Datenschutz-Grundverordnung (EU-DSGVO) bald den Umgang mit persönlichen Daten. Sie tritt im Mai in Kraft - es ist also höchste Zeit, sich mit ihren Anforderungen auseinanderzusetzen.
Ziel der neuen Verordnung ist der Schutz personenbezogener Daten. Für Unternehmen, die noch nicht auf die EU-DSGVO vorbereitet sind, ist es aber noch nicht zu spät, anzufangen. Die verantwortlichen Führungsebenen in Unternehmen müssen dafür dringend Budgets bereitstellen und strategische Vorgaben für die Umsetzung der DSGVO machen.
Die Frage "Setzen wir Datenschutz um oder riskieren wir ein Bußgeld?" stellt sich nicht mehr. Jetzt gilt es, sich einen Überblick zu verschaffen, geeignete Maßnahmen zu erarbeiten und diese mit Hilfe der verfügbaren technischen Lösungen umzusetzen.
Um den Umgang mit ihnen regelkonform zu gestalten und keine Bußgelder zu riskieren, sollten sich die dafür Verantwortlichen im Unternehmen folgende sechs Fragen stellen.

1. Wie stehen meine aktuellen Maßnahmen (Richtlinien, Prozesse, Dokumentationen) zum neuen Gesetz?

Der erste Schritt ist offensichtlich, doch umfangreich zugleich, und kann bestenfalls durch IT-gestützte Methoden begleitet werden. Im Wesentlichen müssen die bisherigen Maßnahmen, die hoffentlich schon im Rahmen der bestehenden Regelungen (unter anderem des Datenschutzgesetzes) umgesetzt worden sind, gegen die neuen abgeglichen werden beziehungsweise neu implementiert werden.
Dabei können Experten unterstützen, die sowohl alte als auch neue Gesetze kennen und in kurzer Zeit mit den Fachverantwortlichen im Unternehmen einen Schlachtplan entwickeln. Aus diesem werden die Handlungsanweisungen generiert, die die Arbeit an diesem Thema strukturieren.

2. Wie finde ich personenbezogene Daten?

Wichtig ist in diesem Zusammenhang, die Systeme zu identifizieren, die personenbezogene Daten verarbeiten, denn nur diese sind vom Gesetz betroffen. So einfach es auch klingen mag, bei der Suche nach personenbezogenen Daten hilft Verantwortlichen zu Beginn: nachdenken. Dabei werden ihnen interne Datenbanken, CRM-, ERP- und HR-Systeme einfallen und sie werden sich weitere Fragen stellen: "Tauschen wir personenbezogene Daten mit anderen Unternehmen aus?", "Wo liegen Bewerbungen, die wir elektronisch bekommen?" und "Enthalten unsere E-Mails personenbezogene Daten?".
Kleine und mittelständische Unternehmen finden so wahrscheinlich bereits 95 Prozent der personenbezogenen Daten. Bei der weiteren Suche hilft Software, beispielsweise Guardium aus der Security-Linie von IBM. Die Lösung durchsucht strukturiert abgelegte Daten in relationalen Datenbanken. Sie orientiert sich bei Tabellen an den Spaltenüberschriften, etwa "Namen".
Für die Erkennung weiterer personenbezogener Daten innerhalb der Datenbanken nutzt Guardium zudem eine Bi­bliothek mit zahlreichen Mustern, zum Beispiel Namen, Telefonnummern, IP-Adressen und vieles mehr. Findet sie in einer Datenbank personenbezogene Daten, weist sie darauf hin und katalogisiert diese. IBM Guardium zeigt also zunächst den Istzustand an. In einem nächsten Schritt kann die Lösung die Datenbank überwachen und zum Beispiel gefundene personenbezogene Daten blockieren.
Für Daten in E-Mail-Servern, Dateiablagen und im Enterprise Content Management führt dieser Ansatz nicht zum Ziel: Zu unstrukturiert liegen die Daten vor. Stattdessen wird die Lösung StoredIQ, ebenfalls von IBM, eingesetzt: Sie durchsucht über diverse Adaptoren die unterschiedlichsten Quellen und öffnet verschiedene Dateiformate, um die Inhalte nach Mustern zu durchleuchten. So findet sie personenbezogene Daten etwa in Exchange-Servern, Lotus Notes oder SharePoint, ebenso in ZIP-Dateien, Textdateien und E-Mails inklusive Anhängen. Treffer protokolliert und katalogisiert das Programm. Auch können betroffene Dokumente in Quarantäne verschoben oder automatisiert gemeldet werden.



Das könnte Sie auch interessieren