Neue Datenschutzverordnung GDPR: Was das Recht auf Löschen für Unternehmen bedeutet

Submitted by Storage Consortium on 24 July, 2015 - 11:31

München, Starnberg, 24. Juli 2015 - Ein Gastbeitrag der Firma Veritas zu Zielen, Inhalten, Anforderungen und Auswirkungen der neuen europäischen Datenschutzverordnung...

"Neue Datenschutzverordnung GDPR: Was das Recht auf Löschen für Unternehmen bedeutetMit der neuen Datenschutzverordnung (GDPR) dürfen Bürger der EU bald einfordern, dass persönliche Daten auf Wunsch gelöscht werden. Die EU will damit den Schutz personenbezogener Daten im Zeitalter von Cloud und Big Data sicherstellen. Auf Firmen und Behörden kommen damit neue Pflichten zu, die sie massiv fordern werden. Die aktuelle EU-Verordnung zum Datenschutz stammt noch aus dem Jahr 1995, weshalb eine Novellierung überfällig ist. Gab es damals im jungen Internet nur 23.500 Webseiten, bestimmen heute Begriffe wie Cloud Computing, Social Media und Big Data die digitale Welt mit unzähligen Diensten. All diese Dienste speichern und verarbeiten extreme Datenmengen im Hintergrund. Eine digitale Revolution ist im Gang, die jeden Aspekt des Lebens durchdringt. Wir kommunizieren, wir konsumieren und transferieren Daten – und werden dabei kontinuierlich getrackt.

Die neue Datenschutzverordnung unter dem sperrigen Namen „EU General Data Protection Regulation (GDPR)” soll jetzt den Datenschutz als fundamentales Grundrecht sichern. Damit wird der Umgang mit Daten ab Mitte 2017 europaweit einheitlich und lückenlos geregelt sein. Für Firmen, die Kunden in der EU bedienen und deren Daten speichern, soll so ein ebenso verlässlicher wie rechtssicherer Rahmen entstehen.

Welche Inhalte hat die neue Verordnung?

Seit dem vergangenen Jahr wird über die notwendige Reform verhandelt. In diesem Sommer wollen sich Mitgliedsstaaten, EU-Kommission und EU-Parlament nun auf einen konkreten Entwurf der Richtlinie einigen. „Ziel ist es, die Verordnung noch in diesem Jahr zu verabschieden“, so Bundesjustizminister Heiko Maas Anfang Mai in Berlin. Bis Ende 2017 soll diese dann in Kraft treten.

  • „Privacy by Design“ heißt der Grundsatz, nach dem in Zukunft die Privatsphäre der Bürger in der EU geschützt wird. Demnach muss ein Bürger gegenüber einem Unternehmen seine explizite Einwilligung (Opt In) geben, damit dieses die personenbezogenen Daten zweckgebunden sammeln und speichern darf.

Auch für Outsourcing-Partner oder Dritte, die im Firmenauftrag die Daten bearbeiten, gelten diese Regeln. So sollen die Firmen dazu angehalten werden, ihren Datenhunger zu zügeln und nur wirklich benötigte Daten zu sammeln. An diesem Punkt wird noch gefeilt, denn eine zu enge Fassung würde moderne Big-Data-Analysen erschweren. Bei Modellen mit Deep-Learning-Algorithmen ist der Zweck der Datennutzung nämlich per se ungeklärt. Ein Vorschlag der ENISA (European Union Agency for Network and Information Security) enthält den Ansatz, Big-Data-Analysen mit Hilfe kryptografischer Verfahren und dem Einbinden so genannter Rauschdaten datenschutzfreundlich umzusetzen.

Davon unabhängig ergibt sich aus den Grundsätzen eine Reihe von Pflichten für alle Firmen, die mit den personenbezogenen Daten von EU-Bürgern arbeiten:

  • Das Recht auf Vergessen oder Löschen: Sollte ein Bürger es wünschen, so muss ein Unternehmen seine personenbezogenen Daten in einer gewissen Frist löschen, und zwar komplett.

  • Das Recht, beim Vorfall benachrichtigt zu werden: Trifft der Ernstfall ein und personenbezogene Daten geraten in falsche Hände, so muss die betroffene Person fristgerecht darüber informiert werden.

  • Das Recht auf Zugang und Portabilität: Jeder Bürger hat das Recht zu erfahren, welche Daten von ihm gespeichert sind und Zugang einfordern. Außerdem soll eine einfache Portierung der Daten von einer zur anderen Firma möglich sein.

Diese zum Teil neuen Pflichten, die Firmen bis spätestens 2017 zu erfüllen haben, kosten die deutsche Wirtschaft nach Berechnungen des statistischen Bundesamtes allein im ersten Jahr 1,5 Milliarden Euro. Dabei wird von den nationalen Aufsichtsbehörden genau überwacht, ob die Pflichten eingehalten werden. In Deutschland richtet sich die Zuständigkeit nach dem jeweiligen Hauptsitz des Unternehmens und wird von den Landesaufsichtsbehörden ausgeübt. Verstöße gegen die neue Datenschutzverordnung könnten teuer für die Firmen werden. Dann drohen Geldbußen von bis zu fünf Prozent des globalen Umsatzes bis maximal 100 Millionen Euro.

Abb. 1: Bildquelle EU (see embedded link to Video) - "The reform of the EU Data Protection Framework - Building trust in a digital and global world": opening speech by Martin SCHULZ, EP President

http://www.europarl.europa.eu/portal/en

„Dunkle Daten“ werden problematisch für Unternehmen

IT-Abteilungen sind also verpflichtet, ihre bestehenden Prozesse und Richtlinien beim Datenschutz an die neuen Rahmenbedingungen anzupassen. Schließlich liegt das Löschen und das Dokumentieren der Daten sowie das Gewähren eines Zugangs für den Bürger bei ihnen. Dies könnte jedoch bei den unstrukturierten „dunklen Daten“ problematisch werden. Bei einem Audit liegen hier erhebliche Risiken verborgen, weil niemand genau weiß, was sich in diesem Wildwuchs angesammelt hat. Zusätzlich steigt dieser Datenteil laut IDC jedes Jahr um satte 62 Prozent. Parallel steigt damit der Druck auf die IT.

Ein entsprechendes Informationsmanagement bringt Licht ins Dunkel dieser Daten, ohne massiv in die Infrastruktur oder IT-Prozesse eingreifen zu müssen. Veritas hat daher begonnen, Metadaten zu allen Arten von Daten zusammenzutragen und auszuwerten, die von den Archivierungs-, Backup- und Storage-Management-Lösungen ohnehin generiert werden. 86 Prozent der Fortune 500 Unternehmen setzen eine dieser Veritas-Lösungen bereits ein. Aus diesen Informationen lässt sich genau ablesen, auf welche Lokationen und Speicherorte die Daten verteilt sind. Mit dieser Grundlage lassen sich entscheidende Fragen beantworten, welche personenbezogenen Daten das Unternehmen besitzt und wo diese Daten wie lange abgespeichert sind, wer Zugriff darauf hat und welche Sicherheitsmechanismen sie vor Missbrauch schützen. Zudem kann geklärt werden, ob die Firma die Daten zweckgebunden nutzt und ob personenbezogene Daten fristgerecht gelöscht werden.

Fazit: Professionelles Datenmanagement liefert Mehrwert - Mit diesem Wissen können die Unternehmen nicht nur die EU-Datenschutzverordnung einfacher umsetzen. Sie werden zugleich deutlich effizienter als zuvor an wertvolle Informationen kommen. Unternehmen, die heute bereits entsprechend aufgestellt sind, werden also nicht nur für die Novellierung der Datenschutzrichtlinie im Jahr 2017 gerüstet sein, sondern sie werden auch schneller an gehaltvolle Daten kommen und so einen Wissensvorsprung zu ihren Mitbewerbern erhalten." 

Autor: Mario Hoffmann, E-Discovery Sales Specialist, Veritas

Automatisiertes Storage- und Information-Management, SRM
Backup-Restore
Big Data, Data Analytics, KI, Machine Learning, Deep Learning
Cloud Computing, Cloud Storage, Hybrid Cloud, Multi Cloud
Compliance, DSGVO
Data Protection, Disaster Recovery, Backup
Daten-DeDuplizierung, Kapazitätsoptimierung, Encryption
Datenklassifizierung, Information-Lifecycle-Management
RZ-Hosting, Storage as a Service, SaaS, IaaS, PaaS
Speichernahe Archivierung, Compliance, Tape