Wie Unternehmen die Bestimmungen der neuen EU-DSGVO erfolgreich umsetzen – und von dem Regelwerk letztlich profitieren.
Ein Beitrag von Michael Bednar-Brandt, Director Business Innovation, Oracle NEXT at Oracle (@mic_br)
„Wissen ist Macht“ ist eine altbekannte Weisheit – und hat für Unternehmen heute mehr Gültigkeit denn je. Denn je mehr sie über den eigenen Betrieb und ihre Kunden wissen, desto besser können sie ihre Geschäftsprozesse optimieren sowie Produkte und Services auf die Kundenbedürfnisse abstimmen – und damit die Konkurrenz möglichst weit hinter sich lassen.
Zum begehrten Wissen unserer Tage gehören vor allem Daten, und Unternehmen, die den größtmöglichen Nutzen aus ihren Daten ziehen, haben die besten Erfolgsaussichten. Auf dem Weg dahin gibt es jedoch noch einige Hürden zu nehmen, vor allem hinsichtlich Compliance und Sicherheit:
Weltweit und über alle Branchen hinweg haben spektakuläre Fälle von Datenraub und Datenschutzverletzungen bereits Schlagzeilen gemacht. Bußgelder, Schadensersatzansprüche, Versicherungsausfälle und Imageschäden waren die Folge für viele der betroffenen Unternehmen. Neben der Angst vor Strafen und finanziellen Einbußen gibt es jedoch noch einen weiteren Grund, den Schutz von Unternehmensdaten sicherzustellen: Sie liefern wertvolle Informationen, ohne die Organisationen in Zukunft nicht mehr auf dem Markt bestehen können. Statt also den Umgang mit Daten als lästige Pflicht anzusehen, sollten Unternehmen ihr Augenmerk auf deren Nutzen richten und ihre Unternehmenskultur und Prozesse entsprechend darauf ausrichten. Außerdem gilt es, neue Rollen wie die eines Datenschutzbeauftragten und eines Information Security Officer (CISO) zu schaffen.
Druck auf die Schaffung geeigneter Datenschutzstandards üben jedoch nicht nur Markt und Wettbewerb aus: Zunehmend legen auch nationale Regierungen und die EU bindende Richtlinien fest. So tritt im Mai 2018 die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft, die Unternehmen – und keineswegs nur solchen innerhalb der EU – klare Vorgaben zum Umgang mit Daten macht und insbesondere auch die Rechte des Individuums an seinen Daten stärkt.
Verletzen Unternehmen die neue Verordnung, drohen Bußgelder in Höhe von bis zu vier Prozent des weltweiten Vorjahresumsatzes. Angesichts dieser extremen Strafmaßnahmen möchte man annehmen, dass sich die Firmen schon vorab auf die neuen Vorschriften vorbereitet haben – doch dem ist nicht so: Laut Gartner werden 50 Prozent der Unternehmen die EU-DSGVO-Frist deutlich verfehlen. Natürlich kann es für Unternehmen sehr mühsam sein, spezifische Bestimmungen umzusetzen. An der kontinuierlichen Überprüfung und Optimierung bestehender Compliance- und Sicherheitsmaßnahmen führt nun jedoch kein Weg mehr vorbei – und das hat, wie wir noch sehen werden, durchaus auch Vorteile. Und so ist es beispielsweise der Bank Berenberg gelungen, mit Hilfe von Oracle Technologie die Sicherheit ihrer großen Datenmengen langfristig zu garantieren.
Drei Schritte zur EU-GSGVO: Analyse, Prävention und Kontrolle
Doch was ist nun zu tun, um den Bestimmungen der EU-DSGVO gerecht zu werden? Drei Schritte sind es im Wesentlichen, die Unternehmen ans Ziel bringen:
· Ausgangslage bewerten: Viele Unternehmen sind historisch gewachsen. Ihre Geschäftszweige arbeiten oft isoliert voneinander und haben eigene Anwendungen und Prozesse etabliert. Im Laufe der Zeit wurden vielleicht auch standardisierte Regeln und Richtlinien umgangen – was nun natürlich Datenschutz und Compliance gefährdet. Um den Richtlinien der EU-DSGVO zu entsprechen, müssen sich Organisationen also zunächst ein umfassendes Bild über die ihre Daten, deren Verteilung und die entsprechenden Prozesse verschaffen.
· Präventionsmaßnahmen ergreifen: Auf Basis der vorangegangenen Analyse müssen die Verantwortlichen in der Organisation Regeln festlegen und durchsetzen sowie Abwehrmechanismen implementieren. In erster Linie geht es darum, unautorisierte Zugriffe und Handlungen – sowohl innerhalb als auch außerhalb des Unternehmens – zu unterbinden. Um Zugriffe auf sensible Daten durch Unbefugte zu verhindern, sollten Unternehmen auf Verschlüsselung, Tokenisierung, Datenmaskierung und –anonymisierung sowie strenge Zugriffskontrollen setzen. Um herauszufinden, welche Schutzmaßnahmen für welche Art von Daten geeignet sind, sollten Verantwortliche stets auch den Verwendungskontext im Blick haben: Werden beispielsweise Kundendaten anonymisiert, lassen sie sich genauso effektiv für die Trendanalysen nutzen – sind aber gleichzeitig weit weniger sensibel, da sie keinen Rückschluss auf einzelne Personen mehr zulassen.
· Echtzeitüberwachung einführen: Kontinuierliche Kontrolle ist ein wesentlicher Bestandteil von Compliance und Sicherheit. Automatisierung kann wesentlich dazu beitragen, ungewöhnliche Vorgänge in Echtzeit zu identifizieren und sofort geeignete Abwehrmaßnahmen zu ergreifen – immer auf Grundlage vordefinierter Kriterien. Im Optimalfall entscheiden Systeme dann selbsttätig, wer wann und warum auf Informationen zugreifen darf. So kann beispielsweise ein User automatisch gesperrt werden, noch bevor er sich Zugang zu sensiblen Daten verschafft.
Verordnungen wie die neue EU-DSGVO sind hilfreich, auch wenn die Vorschriften anfangs lästig erscheinen mögen. Denn sie erinnern Unternehmen an den Wert ihrer Daten – und an die Risiken durch Manipulation und Verlust. Daten liefern entscheidende Erkenntnisse, die Unternehmen für die Weiterentwicklung ihrer Geschäftsmodelle und für Innovationen nutzen können. Datenschutzmaßnahmen gehören daher definitiv ins Handbuch für Zukunftssicherung – und das wird mit dem Kapitel EU-DSGVO gerade wieder neu aufgelegt.