Praxishilfen zur Bewältigung der DSGVO

Problemfall Datensilos

von - 20.05.2019
Aber überall dort, wo Menschen Daten sammeln, verwalten und ablegen, entstehen fast zwangsläufig Datensilos. Dabei handelt es sich um redundante Daten und Informationen in unterschiedlicher Ausprägung, die an unterschiedlichen Orten lagern. Das sind zum Beispiel Daten, auf die nur eine kleine Nutzergruppe oder eine Abteilung im Unternehmen Zugriff hat. Diese Datensilos sind nicht per se negativ - so gibt es auch erwünschte Datensilos, etwa wenn einige Daten bewusst vom Rest des Unternehmens abgeschottet werden sollen oder müssen. Die Datenschutz-Grundverordnung gilt aber selbstverständlich für alle Daten und auch für alle gewollten oder ungewollten Datensilos.
„Es ist in der Tat schwierig, gerade bei digital sehr aufgeschlossenen Firmen, den Überblick zu behalten, weil viele Software-Anbieter zusätzlich auf Drittanbieter setzen“, berichtet Datenschutz-Expertin Carina Thomas. Um DSGVO-konform zu arbeiten sei deshalb eine Analyse der Lieferanten notwendig - „im schlimmsten Fall muss ein Audit vor Ort durchgeführt werden.“ Jedes Unternehmen sollte daher über eine aktuelle Aufstellung der Software aller Unternehmensbereiche verfügen. Ausgediente oder ungenutzte IT-Systeme sollten für den nachträglichen Informationsbedarf mit einem Lesezugriff ausgestattet werden und neue Programme erst nach Erstellung eines Anforderungsprofils unter Hinzuziehung des Datenschutzbeauftragten implementiert werden.
Ein effektiver Datenschutz sei zwar auch angesichts der steigenden Zahl an Datensilos durchaus möglich, doch erfordere das einen deutlich höheren Aufwand bei der Planung und Umsetzung, so die Erfahrung von Florian Fiessmann von Consol. Und er weist darauf hin, dass man in Zeiten der Cloud prüfen solle, wo ein Anbieter seinen Sitz hat und wo die Daten gespeichert werden. „So lässt sich feststellen, nach welchen regionalen Datenschutzvorgaben sich der Anbieter richten muss. Darüber hinaus sollte geklärt werden, welche Maßnahmen zum aktiven Datenschutz ergriffen werden: Was wird dem Kunden vertraglich zugesichert? Je sorgfältiger die Auswahl erfolgt, desto weniger Aufwand hat man im operativen Betrieb.“
Elke Bastian sieht hier vor allem den Datenschutzbeauftragten in der Pflicht. Es sei in seinem Interesse, einen guten Gesamtüberblick zu haben. Er definiere Vorgaben und Richtlinien, wie das Unternehmen seine DSGVO-Verpflichtung handhabe. Wenn er in vielen Datensilos prüfen müsse, ob die Vorgaben eingehalten würden, erschwere das seine Arbeit. Dennoch sollte es möglich sein, den Datenschutz einzuhalten. Kurzum: „Der Gesetzgeber nimmt keine Rücksicht auf strukturelle Defizite in Unternehmen.“

Fazit

Auch ein Jahr nach Inkrafttreten der DSGVO hakt es bei vielen Unternehmen, vor allem weil viele zu spät mit der Umsetzung begonnen haben, weil sie den Umfang der Umsetzung unterschätzt haben oder einfach nicht wussten, wie sie das Thema angehen sollten. „Manche wollten auch bewusst erst mal abwarten“, erklärt Elke Bastian. Doch spätestens seit die ersten Strafen verhängt wurden, sollte auch den Letzten klar sein, dass Handlungsbedarf besteht.
Carina Thomas zufolge fehlt den meisten Firmen schlicht der Überblick über ihre Software und Lizenzen. Zum Teil existierten keine Anweisungen im Unternehmen, wie Software zu implementieren, zu testen und datenschutzkonform zu konfigurieren sei - „der Datenschutzbeauftragte wird oft nicht in den Prozess eingebunden.“
Florian Fiessmann begegnen zwei Probleme immer wieder: Das eine ist ein Over-Engineering von Datenschutzprozessen und damit verbundenen Anforderungen an eine Software. Hier plädiert er für mehr Pragmatismus. Das andere ist die mangelnde Ernsthaftigkeit, mit der das Thema angegangen wird. Der Datenschutz und die Ausbildung von Datenschutzbeauftragten komme aus wirtschaftlichen Gründen oft schlicht zu kurz. „Stattdessen suchen die Verantwortlichen häufig nach einer Software-Lösung, die fehlendes Know-how ersetzt. Dieser Weg ist im Grunde von vornherein zum Scheitern verurteilt.“
In puncto DSGVO-Tools ein eher ernüchterndes Fazit zieht die Datenschutz-Expertin Carina Thomas: „Es gibt keine Software, die ich für alle Aspekte des Datenschutzes empfehlen kann.“
Anbieter von DSGVO-Software (Auswahl)

Anbieter

Produkt

Besonderheiten

Avedos

Risk2value DPMS

Fokussiert vor allem auf die technische Durchführung des Datenmanagements

Baramundi

Baramundi Management Suite

Unified Endpoint Management (UEM) als Baustein für DSGVO-Compliance

Consense

Consense DSGVO

Nutzt Synergien zwischen Qualitätsmanagement und Datenschutz

Consol

CM/Compliance

Gliedert und systematisiert Datenschutzmanagement abteilungsübergreifend

Informatica

Secure@Source

Enterprise-Übersicht über sensible Daten und Risiken

Intervalid

Intervalid

Mehrsprachig und für alle Unternehmensgrößen geeignet

Infrafind

DSGVO-Monitor

Identifikation personenbezogener Daten in Dateisystemen

Loy & Hutz

Privacy Suite

Spezialisiert auf den Bereich CAFM (Computer-
Aided Facility Management)

Netwrix

Netwrix Auditor

Erkennung von DSGVO-regulierten Daten im
Netzwerk

PricewaterhouseCoopers

PwC Data Protection Manager

Standardisiert Arbeitsabläufe in Unternehmen

Privacysoft

Privacysoft

Datenschutzmanagement für Betriebe, Praxen, Behörden, Kammern, Verbände und Organisationen

Software AG

Aris

DSGVO-Erweiterung für das gleichnamige Prozessoptimierungs-Tool

Varonis

GDPR Patterns

Automatische Entdeckung und Klassifizierung von Daten, die unter die DSGVO fallen

Zencomply

Zencomply

Datenschutzassistent führt durch die notwendigen Schritte
Seite
  1. Teil: Praxishilfen zur Bewältigung der DSGVO
  2. Teil: Wer die Wahl hat, hat die Qual
  3. Teil: Problemfall Datensilos
Verwandte Themen

Mehr zum Thema