GDPR und Data Governance
Sie erfahren in diesem Artikel, um was es sich bei der DSGVO handelt und welchen Zweck die Verordnung erfüllen soll. Desweiteren lesen Sie, wie die Vorschriften umgesetzt werden können.
Katarina Kramaric, 02.05.2018
Seit Langem zieht sich das Thema über die Sicherheit von personenbezogenen Daten durch unsere Gesellschaft. Doch bisher hat niemand etwas Konkretes gegen die Thematik unternommen. Sie wurde nur zur Kenntnis genommen.Viele Unternehmen speichern und verarbeiten große Mengen an Informationen aus verschiedensten Quellen. Darunter sind auch sensible, private Angaben von Verbrauchern und Kunden. Bisher hatten Personen so gut wie keine Selbstbestimmung über die Verwendung ihrer personenspezifischen Angaben und auch keinen Überblick, was genau öffentlich von Ihnen preisgegeben wird. Wie wenig Einfluss Verbraucher darüber haben, wird nochmal extrem deutlich durch den Informationsverlust bei Facebook. Zwischen 2007 und 2014 genehmigte Facebook dem Neurowissenschaftler Aleksandr Kogan für wissenschaftliche Zwecke die Sammlung von Daten ihrer Anwender. Dafür hat er einen Psychotest mit dem Namen „thisisyourdigitallife“ in Form einer App entwickelt, die innerhalb von Facebook platziert wurde. Jeder Facebook-Nutzer musste vor der Verwendung dem sozialen Netzwerk erlauben, private Daten, wie den Wohnort und die eigenen „Gefällt-mir-Angaben“ der App zur Verfügung zu stellen. Dies mussten die Nutzer in einem Bestätigungsfenster zustimmen. Allerdings wurden nicht nur Informationen der Nutzer selbst, sondern auch von deren Freunden übermittelt, was zu diesem Zeitpunkt schwer ersichtlich war. Die Einstellung, dass Apps von Freunden nicht die eigenen Angaben erfassen dürfen, hätte in einer Unterkategorie separat bestätigt sein müssen. Diese Einstellung hat Facebook nach dem Vorfall schließlich vollständig entfernt, sodass es dem Nutzer leichter zu bestimmen ist, welche Angaben er wem übermittelt. Darüber hinaus hat Aleksandr Kogan seine gesammelten Erkenntnisse unrechtmäßig an die Firma Cambridge Analytica weitergeleitet. Dadurch kam es schließlich zum Vertragsbruch mit Facebook. Solch ein unkontrolliertes Handeln mit personenspezifische Angaben darf in jeglicher Hinsicht bei keiner Organisation passieren.
Das Problem: Den Konsumenten fehlte es bisher an einer ausschlaggebenden Transparenz. Das heißt, sie wissen nicht genau, welche Angaben gespeichert und wie mit diesen im Unternehmen umgegangen wird. Somit kam das Thema immer weiter in Kritik. Längst werden Informationen als Handelsgut betrachtet, mit denen Unternehmen massive Gewinne erzielen. Diese sind von großer Bedeutung zur Justierung und Ausrichtung von Produkten und Dienstleistungen - allerdings meist zu Lasten des Datenschutzes.
Datenschutzgrundverordnung
Um diesem Datenchaos in Zukunft entgegen zu wirken und den Unternehmen nicht allzu viel Freiraum über die Verarbeitung von Informationsquellen zu überlassen, wurde nun eine Verordnung durch die Europäische Union festgelegt. Sie schreibt vor, was Firmen konkret in Zukunft beachten müssen, um die geforderte Sicherheit von persönlichen Informationen im Rahmen der EU-Verordnung einzuhalten.
Diese wird am 25. Mai 2018 unter dem Namen GDPR (General Data Protection Regulation) in Kraft gesetzt. Im deutschsprachigen Raum ist sie als "DSGVO" (Datenschutzgrundverordnung) bekannt. Sie reformiert und erweitert die momentane Situation des Datenschutzes. Dabei sind Regelungen festgelegt, welche Rechte Privatpersonen auf ihre Daten zukünftig erhalten. Daneben sind auch die Pflichten der Datenschutzbeauftragten eines Unternehmens beschrieben. Damit soll sichergestellt werden, dass Verbraucher mehr Kontrolle über ihre eigenen Angaben bekommen und dass Unternehmen nicht mehr massenhaft Spielraum über den Umgang mit ihnen erlangen.
Durch die DSGVO werden sowohl Unternehmen in der EU gezwungen, sich an die Regelungen zu halten als auch Unternehmen, die nicht der EU angehören und durch Geschäfte innerhalb dieser haftbar gemacht werden können.
Wird die DSGVO ab dem 25. Mai 2018 missachtet, drohen hohe Geldbußen, die bis in den zweistelligen Millionenbereich gehen können. Auch Strafen von 4 % auf den jährlichen Unternehmensumsatz sind möglich. Zusätzlich zu den staatlich verordneten Geldbußen sind die Geschädigten selbst in der Lage, rechtliche Schritte gegen das Unternehmen in die Wege zu leiten. Folglich erleidet das Unternehmen nicht nur materielle Strafen, sondern auch große Imageschäden, wie im aktuellen Fall von Facebook zu beobachten ist. Aber auch in der Vergangenheit gab es bereits riesen Furore über nicht eingehaltenen Datenschutz. So hatte die Telekom Deutschland GmbH zum Beispiel Fehltritte zu beklagen. Anfang 2006 wurden dem Telekommunikationskonzern über 17 Millionen Datensätze von Mobilkunden gestohlen, woraufhin vom Konzern selbst Anzeige erstattet wurde. Als diese Affäre publik wurde, steckte die Telekom bereits in einem anderen Vorfall. 2008 wurde bekannt, dass die Organisation ihre eigenen Mitarbeiter überwacht hat - darunter Manager, Aufsichtsräte und Journalisten. Die Konsequenz für den damaligen Sicherheits-Chef war 2010 eine dreieinhalbjährige Gefängnisstrafe. Zudem wurde ein Vorstandsposten für Datenschutz eingeführt. Thomas Kremer, der diesem seitdem angehörte war nun verantwortlich, alle Prozesse und Arbeitsfelder des Unternehmens zu durchleuchten. Das sollte für eine Maßnahme dienen, weitere Ärgernisse mit Daten zu vermeiden. Leider gab Kremer fünf Jahre später einen weiteren Skandal bekannt, bei dem ein kleiner Personenkreis bei der Telekom seit 2002 Zugang zu Personaldaten von fast 120.000 Beschäftigten in Deutschland hatte und in einer internen Datenbank sämtliche privaten Angaben einsehen konnte. Durch diese in kurzer Zeit hintereinander folgenden Angelegenheiten konnte die Telekom ihr Image nicht bereinigen. Viele Betroffene fühlten sich in ihrem Vertrauen betrogen. Damit solche verheerenden Pannen in Zukunft vermieden werden, ist es unabdingbar, deutlichere Vorschriften für den Schutz von Informationen zur erstellen. Mit anderen Worten, die DSGVO war unvermeidlich und es war vorherzusehen, dass Regelungen für dieses Thema in Kraft treten werden. Es gab in den vergangenen Jahren zu viel Aufruhr von Betroffenen aus den verschiedensten Positionen.
Data Governance als Lösung
Für Unternehmen ändert sich der Umgang und die Verarbeitung mit personenbezogenen Daten. Der Vorgang wird klarer strukturiert und nachvollziehbarer im Ablauf. Das heißt, jeder Mitarbeiter bekommt zu seinem Aufgabenbereich nur so viel Einsicht auf Informationen, wie er zur Erfüllung seiner Tätigkeitsfelder benötigt. Dies wird durch den Einsatz einer geeigneten Technik ermöglicht. Dabei ist zu beachten, dass die Voreinstellungen, die vom Datenschutzbeauftragten angelegt werden, auch korrekt angelegt sind. Die geeignete technische und organisatorische Maßnahme wird hierfür von dem Verantwortlichen für die Sicherheit getroffen.
Dabei müssen Datenschutzbeauftragte sicherstellen, dass alle Aktivitäten mit Daten, die in der Firma erfolgen, gemäß der Verordnung bearbeitet werden. Dazu gehört zum einen, dass alle Informationen, die in der Firma behandelt werden, zu verschlüsseln sind. Dabei müssen die Systeme im Unternehmen immer in einem Zustand sein, dass die Sicherheit hierfür immer gewährleistet werden kann. Dies schaffen Unternehmen durch regelmäßige Überprüfung, Bewertung und gegebenenfalls einer Aufrüstung der Systeme.
Damit ein Unternehmen die geforderte Transformation bewerkstelligen kann, braucht es die Implementierung einer Data Governance, welche für den Umgang mit Datensammlungen zuständig ist. Sie ist ein Reglement, für das es keine Musterlösung gibt. Jede Firma ist mit ihren internen Strukturen und den dazugehörigen Prozessen individuell. Daher muss sie ebenfalls spezifisch angepasst werden, da diese in der Umsetzung zu berücksichtigen sind. Nur so wird eine, für die Firma gut abgestimmte Data Governance implementiert.
Unter Data Governance werden Themenbereiche wie Datenqualität, Aktualität und Datenschutz fokussiert behandelt. Dabei werden sie über den gesamten Lebenszyklus der Datensätze hin weg betrachtet und verwaltet. Das heißt, von der Ermittlung und Speicherung, bis zur Löschung werden sie durch die Data Governance begleitet.
Durch eine lückenlose Integration von Data Governance Richtlinien, die beschreiben, wie im Unternehmen Angaben von Informationen bearbeitet werden, ist eine nachhaltige Datenqualität gewährleistet. Die Einbindung der Regeln erfolgt innerhalb der Prozessstrukturen oder auch weiterer Planungs- und Steuerungselemente. Außerdem werden durch das Reglement unmissverständlich Aufgaben, angesichts der Richtlinien, an die Abteilungen oder Positionen verteilt. So weiß jeder Mitarbeiter, für was er genau zuständig ist, um die Datenintegrität und auch die Qualität zu jeder Zeit gewährleisten zu können.
Durch die Integration der Stammdatenpflege lassen sich gezielt Prozesse steuern, in denen exakt festgehalten wird, welche Mitarbeiter, unabhängig aus welcher Abteilung, für welche Aufgaben zuständig sind. Das heißt, es gibt durch die Einführung eine geordnete Struktur im Prozessmanagement, da eine feste Verteilung der Verantwortung vorliegt. Dadurch wird vermieden, dass Aufgaben liegen bleiben, da alle ihre To-dos im Blick haben. Zudem wird auch klar definiert, wie mit den Daten umgegangen werden soll und dies wird auch einheitlich im Prozessmanagement hinterlegt. Des Weiteren hat der Data Steward eines Unternehmens im Anschluss dafür zu sorgen, dass die Richtlinien in der gesamten Organisation eingehalten werden. So bleibt die Kontrolle der Einhaltung immer bestehen. Durch die Überwachung der bestimmten Abfolge des Prozessmanagements wird auch der von der DSGVO vorgeschriebene Datenschutz erfüllt.
Fazit
Ab Ende Mai führt nichts mehr an der DSGVO vorbei. Alle betroffenen Firmen jeglicher Branchen müssen sich den Anforderungen stellen und diese pflichtbewusst sowie sorgfältig umsetzen. Man kann die Umsetzung der Vorschiften durch eine Implementierung einer Data Governance ermöglichen. Das erwin Data Governance Tool zum Beispiel bringt alle Eigenschaften mit sich, die zur Erstellung und Einhaltung hierfür nötig sind.