Ordnung ins Chaos bringen – Datenmanagement in der Cloud gemäß DSGVO

bei

 / 14. December. 2017

Immer mehr Unternehmen verlagern Daten in die Cloud. Dabei ist es wichtig, den Überblick zu behalten, wo personenbezogene Daten gespeichert sind und wer darauf Zugriff hat – sonst kann es teuer werden.

Das Unternehmen steht am Anfang der Digitalisierung? Dann geht der erste Blick Richtung Cloud. Ist es schon mittendrin in der digitalen Transformation? Dann steht die Cloud meistens im Mittelpunkt. Gleich um welche Firmengröße oder Branche es sich handelt, die Akzeptanz der öffentlichen Cloud steigt. Intern müssen immer weniger Zweifler von deren Vorzügen überzeugt werden, etwa von einfachem File-Sharing und von besseren Möglichkeiten der Zusammenarbeit. Begeisterung und Eigeninitiative können mitunter sogar Überhand nehmen.
Einzelne Abteilungen oder Nutzer wenden sich Cloud-Tools und -Diensten zu, die ihnen vertraut, einfach zu bedienen, mit den passenden Features vorkonfiguriert oder schnell verfügbar sind. Unabhängigkeit, Kosteneffizienz und Flexibilität auf der einen Seite stehen dann einem IT-Sicherheitsrisiko und ab Mai nächsten Jahres sogar rechtlichen Herausforderungen auf der anderen Seite gegenüber. Ein Beispiel aus der Praxis: Nutzen Mitarbeiter eines Unternehmens aus Gründen der Bequemlichkeit unbemerkt ein Cloud-Tool wie Dropbox, verlassen Daten die internen, abgesicherten IT-Strukturen des Unternehmens. Das kann interne Compliance-Verstöße zur Folge haben, aber auch einen Verstoß gegen die Regeln der europäischen Datenschutzgrundverordnung (EU-DSGVO, engl. GDPR) nach sich ziehen.

Ab dem 25. Mai 2018 gilt eben diese umfassende Verordnung: Wer ihr nicht nachkommt, hat empfindliche finanzielle Schäden zu erwarten – bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes einer Firmengruppe – und muss mit Reputations- und Vertrauensverlust rechnen. Zu den gestärkten Verbraucherrechten zählen unter anderem das Auskunftsrecht (Art. 15) und das Recht auf Löschen („Recht auf Vergessen werden“) (Art. 17). So können Verbraucher nicht nur die gesamten über sie gespeicherten Informationen anfordern, sondern auch deren Löschung beantragen. Deswegen müssen Zweck, Dauer und Verarbeitung derartiger Informationen transparenter werden, Voreinstellungen verbraucher- und datenschutzfreundlich sein.

Im Mai hatten 57 Prozent der deutschen Unternehmen noch nicht mit der Umsetzung der EU-DSGVO begonnen, ermittelte Commvault in einer repräsentativen Umfrage. Zwei Drittel der Verbraucher gedachten hingegen, ihre Rechte zeitnah nach Inkrafttreten der DSGVO einzufordern. Das Problem dabei: Zum Zeitpunkt der Befragung kannten 53 Prozent der IT-Abteilungen nicht alle Speicherorte von relevanten, personenbezogenen Daten im Unternehmen oder konnten nicht darauf zugreifen.

Ohne eine Cloud-Strategie und gute Data-Governance ist das Auffinden von personenbezogenen Daten nicht zu bewältigen; es muss klar sein, welche Daten es gibt, und wo sie liegen. Wie aber stellt man fest, ob Daten beispielsweise in unbekannten Cloud-Anwendungen liegen? Die effektivste Lösung mutet recht analog an: Die Mitarbeiter werden gefragt. Sollte es nicht genehmigte Anwendungen geben, ist ein bedingungsloses Verbot der Verwendung nicht zielführend. Vielmehr sollten Vorgesetzte und IT-Verantwortliche herausfinden, warum diese Systeme bevorzugt werden und Lösungen zusammen mit den Beteiligten erarbeiten.

Gerade vor dem Hintergrund der EU-DSGVO sollte die Datenintegrität höchste Priorität haben, um Compliance-Verstöße zu vermeiden. Hilfreich hierbei ist der Einsatz von professionellen Management- und File-Sharing-Systemen wie etwa von Commvault, um die stetig wachsenden Datenmengen einfacher zu verwalten. Ein Ziel sollte beispielsweise sein, bei einer Verbraucher-Anfrage innerhalb kürzester Zeit relevante Daten auf Knopfdruck bereitstellen zu können.

Zur Studie: (Deutsche) Unternehmen nicht bereit für neue EU-Datenschutz-Grundverordnung

Der Autor: Jörg Kranepuhl ist Syndikusrechtsanwalt und „Senior Legal Counsel“ bei Commvault, einem weltweit führenden Anbieter von Backup, Recovery und Archivierung im Rechenzentrum, on-premises und in der Cloud. Als Datenschutzbeauftragter, Mitglied im Deutschen Anwaltverein (DAV) und in der Arbeitsgruppe IT-Recht des DAV kennt er sich bestens aus mit den Herausforderungen, die die Datenschutzgrundverordnung (DSGVO) mit sich bringt. Bevor er zu Commvault stieß, war er lange Zeit Rechtsanwalt und Wirtschaftsmediator für nationale und internationale Unternehmen mit Schwerpunkt auf Informationstechnologierecht und Arbeitsrecht.

Vorheriger ArtikelInstrumente der Zukunft: Software-Robotergesteuerte Prozessautomatisierung (RPA) und Künstliche Intelligenz (KI) als wichtige Wettbewerbsfaktoren
Nächster ArtikelVon Schnittstellen zu geplanten Schwachstellen