Home » News » Allgemein » Kommentar: DSGVO-Compliance braucht Automatisierung

Kommentar: DSGVO-Compliance braucht Automatisierung

Wenn es um die Einhaltung der DSGVO-Vorgaben vor und nach einem Datenschutzvorfall geht, sind manuelle Prozesse kaum geeignet.

3 Min. Lesezeit
©AdobeStock/WrightStudio

Wenn es um die Einhaltung der DSGVO-Vorgaben vor und nach einem Datenschutzvorfall geht, sind manuelle Prozesse kaum geeignet. Sie sind zeitraubend und fehleranfällig und gelangen spätestens dann an ihre Grenzen, wenn mehrere Anfragen auf einmal bearbeitet werden sollen. Für Datenschutzverletzungen, die eine Meldung bei der zuständigen Behörde binnen 72 Stunden und eine Benachrichtigung der Betroffenen erfordern, sind sie völlig ungeeignet.

Durch die DSGVO hat das Bewusstsein für Datenschutz in Bevölkerung und in Wirtschaft deutlich zugenommen. Selbst die großen Internet-Konzerne aus den USA können das Thema nicht mehr ignorieren – dafür sorgen schon die empfindlichen Geldbußen, die die Datenschutzbehörden in den EU-Staaten inzwischen verhängen. Amazon brummten sie bereits eine Rekordstrafe von 746 Millionen Euro auf, WhatsApp soll 225 Millionen Euro zahlen und Facebook immerhin 60 Millionen. Google wiederum kommt auf gleich mehrere hohe Geldbußen über 10, 50, 60 und 90 Millionen Euro.

Wie viele Strafen die Behörden insgesamt verhängt haben, lässt sich nicht genau beziffern, da die Daten nicht zentral erfasst werden und die Behörden auch nicht immer zuverlässig Auskunft erteilen. In Deutschland waren es 2021 mindestens 373 Bußgelder über alles in allem mindestens 2,11 Millionen Euro. Diese Zahlen verdeutlichen vor allem zwei Dinge: Erstens, dass es nicht nur internationale Konzerne und große Unternehmen, sondern durchaus auch kleine und mittelständische Firmen trifft. Und zweitens, dass sich viele Unternehmen mit der DSGVO weiterhin schwertun, was allerdings auch daran liegt, dass die Herausforderungen bei der Umsetzung der strengen Vorgaben zum Umgang mit personenbezogenen Daten in den vergangenen Jahren keineswegs kleiner geworden sind.

Da wären die durch die Digitalisierung schnell wachsenden Datenmengen, die mehr denn je im Fokus von Cyberkriminellen stehen. Da wäre aber auch die zunehmende Verarbeitung dieser Daten durch Mitarbeiter im Homeoffice und in Cloud-Services, die viele rechtliche Fragen aufwirft. Aufgrund ihrer komplexen Infrastrukturen und Prozesse können Unternehmen oft gar nicht mehr nachvollziehen, wo welche Daten gespeichert sind, wer auf sie zugreift und welchen Rechtsvorschriften sie unterliegen. Trifft eine Auskunfts- oder Löschanfrage ein, müssen Mitarbeiter erst mühsam die Identität des Anfragenden klären und dann manuell in riesigen, verteilten Datenbeständen recherchieren. Sie arbeiten mit umfangreichen Listen und Tabellen und brauchen unzählige Rückfragen bei Kollegen, um alle benötigten Informationen zusammenzutragen.

Ohne Software-Lösungen, die Abläufe standardisieren und automatisieren, ist DSGVO-Compliance kaum zu erreichen. Allerdings verzetteln sich Unternehmen bisweilen mit äußerst komplexen Plattformen und Anwendungen, die zwar jeden erdenklichen Anwendungsfall weit über die DSGVO-Anforderungen hinaus abdecken, deren Einführung jedoch Monate dauert und ohne externe Berater nicht zu schaffen ist. Im täglichen Einsatz stellen sich diese Lösungen dann gerne als nicht besonders praxistauglich heraus. Dabei gibt es durchaus intelligente Tools, mit denen sowohl kleine als auch große Unternehmen die Anforderungen der DSGVO und anderer Datenschutzvorgaben einhalten können – mit überschaubarem Ressourceneinsatz und mit klar abgestecktem Zeitrahmen.

Die Voraussetzung für DSGVO-Compliance ist eine Inventarisierung des Datenbestandes. Gute Lösungen ermitteln nicht nur über alle Standorte und Datenquellen wie Fileserver, Cloud-Services und Mail-Systeme hinweg, wo Daten abgelegt sind und ob es sich um personenbezogene Daten handelt. Sie bestimmen überdies, in welche Prozesse diese Daten eingebunden sind, welchen Aufbewahrungsfristen sie unterliegen und unterstützen bei der Definition von Löschprozessen. Da Daten immer wieder bearbeitet oder kopiert werden oder neue Daten hinzukommen, reicht die initiale Datenbestandserfassung natürlich nicht – das Inventar bedarf einer regelmäßigen Aktualisierung. Damit diese schnell vonstattengeht und nicht zu viele IT-Ressourcen beansprucht, nutzen smarte Tools unter anderem statistische Verfahren, um Veränderungen an Daten und Zugriffen aufzuspüren. Darüber hinaus bewerten sie Risiken automatisiert und lösen Warnmeldungen aus, wenn Handlungsbedarf besteht.

Andere Tools helfen dann bei der standardisierten und weitgehend automatisierten Beantwortung von Auskunfts- und Löschanfragen und bei der Reaktion auf Datenpannen und Cyberangriffe. Sie dokumentieren alle Vorgänge rechtssicher, sodass Unternehmen ihre Aktivitäten bei Prüfungen der Datenschutzbehörden oder für bestimmte Zertifizierungen nachweisen können. Letztlich erleichtern smarte Tools dem Datenschutzbeauftragen die Arbeit enorm und schützen das Unternehmen sowohl vor Strafzahlungen als auch einem Reputationsverlust durch Datenschutzverletzungen. Darauf zu verzichten, wäre geradezu fahrlässig, betrachtet man die umfangreichen Regularien und die wachsenden Datenrisiken, von denen die immer wiederkehrenden Medienberichte zu Cyberangriffen und Datenlecks zeugen.

Jens Reumschüssel, Exterro
Foto: Exterro

Jens Reumschüssel, Director of Sales DACH – Public Sector bei Exterro

Andere interessante News

Fußball-WM Streaming-Seiten zocken Fans ab

Bereits wenige Tage nach Start der FIFA Fußball Weltmeisterschaft 2022 konnten die Sicherheitsforscher des Zscaler ThreatLabz eine Häufung von gefälschten Streaming-Seiten verzeichnen. Ziel sind Fußballfans, die mit angeblichen kostenlosen Streaming-Angeboten und Lotterie-Spielen auf Malware-infizierte Webseiten gelockt werden sollen.

Dein Freund, dein Handy-Spion Nummer 1

Laut einer aktuellen Bitkom-Studie haben 4 von 10 (41 Prozent) der Befragten schon einmal heimlich das Smartphone einer ihnen bekannten Person genommen, um darin herumzuschnüffeln. 14 Prozent sagen, sie hätten das bislang nur einmal gemacht, 17 Prozent tun dies nach eigenem Bekunden selten, 5 Prozent häufiger und ebenfalls 5 Prozent sogar regelmäßig.

Was die IT-Sicherheit 2022 bewegt hat

Fünf Entwicklungen haben die IT-Welt 2022 besonders in Atem gehalten. So sieht es Joseph Carson, Chief Security Scientist & Advisory CISO bei Delinea, in seinem Rückblick auf Trends und Entwicklungen, welche die IT-Branche im Jahr 2022 nachhaltig beeinflusst haben.