1. GDPR Advent
Fakten-Check, was ist und bringt die EU-DSGVO

Auch in diesem Jahr möchte ich euch die Wartezeit auf Weihnachten etwas verkürzen. Aus aktuellem Anlass schauen wir uns dieses Jahr die EU-Datenschutzgrundverordnung an oder kurz die EU-DSGVO oder Englisch EU-GDPR (General Data Protection Regulation).

Das Thema möchte ich auf jeden Adventssonntag aufteilen und zwar folgendermaßen:

1. Wissens-Check, was ist und bringt die EU-DSGVO
2. GDPR by Design
3. Identifikation der Daten
4. Überwachen, handeln und Protokollieren

Da die Zeit drängt, bis das Gesetzt scharf geschaltet wird, ist mein Ziel, dass ihr euch am Ende dieser Reihe gut aufgestellt fühlt, um euer Unternehmen mit Microsoft’s Lösungen bestens vorzubereiten.

 

Security is Sexy:

Dieses Jahr feierten wir das 2. Jubiläum von Windows 10. Ungefähr 20 Jahre zuvor, feierten wir noch das 2. Jubiläum von Windows 95. Das war eine Zeit, in der Computer Spezialisten cool wurden, weil Microsoft’s Strategie, auf jeden Schreibtisch einen Computer zu stellen, richtig Fahrt aufgenommen hatte. Jedoch lag der Fokus auf Benutzerfreundlichkeit und nur wirkliche Nerds beschäftigten sich unter dem Radar mit IT Sicherheit.

Heute sind aus diesen Nerds Geeks geworden und sie sind Spezialisten im Bereich Sicherheit. Vielleicht tragen sie mittlerweile sogar einen Anzug, weil sie eventuell sogar in der Führungsetage großer Unternehmen sitzen. Dies ist eine wichtige Tatsache, denn IT Administratoren stehen nicht länger allein in der Verantwortung, wenn es um Compliance (Datenschutz) und IT Sicherheit geht. Die Verantwortung wurde auf die Geschäftsführung übertragen.

Dies bedeutet jedoch nicht, dass Sicherheit nur ein Management Thema ist. Generell müssen nun alle viel enger bei diesem Thema zusammen arbeiten. Aber man kann heutzutage wirklich mit jedem über IT Sicherheit sprechen, von Top-Managern bis hin zu Endbenutzern. In der Ära von BYOD (Bring your own Device) sind Unternehmen besorgt über Ihre Unternehmensdaten, während auch Endbenutzer besorgt sind über ihre persönlichen Daten. Folglich, wo auch immer du bist und mit wem du sprichst, du findest immer spannende Geschichten über IT Sicherheit. Oder einfach gesagt: Security is sexy!

 

EU-DSGVO (GDPR) – Faktencheck:

Diese Entwicklung der IT Kernthemen sowie die EU-DSGVO machen deutlich, was der zentrale Punkt der IT Sicherheit ist: DATEN! Firmen wie Soziale Netzwerke basieren auf Daten ihrer Nutzer. Auch in jeder anderen Firma sind Daten mittlerweile zum entscheidenden Wettbewerbsvorteil geworden.

Damit nun der „kleine Mann“ im Geflecht mit den großen Konzernen nicht die Kontrolle über seine wertvollen personenbezogenen Daten verliert, unterstützt ihn dabei die EU-DSGVO und reguliert die Aufbewahrung und Verarbeitung. Grundsätzlich ist dies ein Verbotsgesetzt mit Erlaubnisvorbehalt, das heißt, dass erst mal alles mit personenbezogenen Daten verboten ist, das Gesetz regelt jedoch, wann, wie und wo man doch diese Daten speichern und verarbeiten kann.

Ein kleiner Faktencheck zu dieser Verordnung:

• Am 4. Mai 2016 im EU-Amtsblatt veröffentlicht
• 20 Tage später in Kraft getreten
• Ab 25. Mai 2018 anwendbar für Unternehmen und Behörden, die mit personenbezogenen Daten von EU-Bürgern arbeiten, nicht mehr nur Firmen, die einen Sitz in der EU haben
• 99 Artikel und 173 Erwägungsgründe
• Stärkere Nutzerrechte
  • Leichterer Zugang zu persönlichen Daten
  • Klar und leicht verständlich: wer hat welche Daten zu welchem Zweck wie und wo verarbeitet (und ob sie gehackt wurden – dies hätte Uber aus aktuellem Anlass sehr teuer werden können
  • Stärkeres Recht auf Vergessen
• Einwilligung in Datenverarbeitung erst ab 16 (das wird interessant für Facebook…)
• Höhere Bußgelder möglich
  

Besonders die Regelungen zu den Nutzerrechten stellen uns vor ganz neue Herausforderungen – besonders bei historisch gewachsenen Altsystemen, wie FileShares, weil zur Einführung garantiert niemand daran gedacht hat zu notieren, wo welche Daten liegen und ob sie personenbezogen sind. Das Gesetz hat aber Passagen, die nicht so eindeutig sind und im Vergleich zum deutschen Bundesdatenschutzgesetz verwässern bzw. einen Rückschritt bedeuten.

Vor- und Nachteile:

So stark die Zweckgebundenheit auch klingt, es wird Firmen und Behörden leicht gemacht, diese in Anspruch zu nehmen und somit Daten anders zu verarbeiten, als ursprünglich geplant.

Auch der Datenschutzbeauftragte ist leider nur für wenige Unternehmen Pflicht. Glücklicherweise ist das Thema GDPR sehr präsent bei Industrie und Verbrauchern, sodass ein GDPR kompatibler Umgang mit personenbezogenen Daten wirklich ein Markenzeichen ist, wenn auch keine direkten finanziellen Vorteile mehr damit verbunden sind. Schon heute merken wir ja bereits Anfragen von Kunden, ob denn diese Software die Daten auch GDPR-konform verarbeitet. Die Firmen, welche diese Standards also vorweisen können, werden einen Wettbewerbsvorteil haben.

Um diese Standards nun einhalten zu können, kommen einige zusätzlichen Aufgaben auf uns zu.

Anforderungen:

In Bezug auf die Informationspflichten sowie das gestärkte Recht auf Vergessen, also das Löschen von Daten, sind Ausnahmen vorgesehen. So gibt es unter anderem keine Pflicht zur Auskunft bzw. Löschung, wenn:

• Geheimhaltungspflicht besteht
• die Speicherung für die Datensicherheit und der Datenschutzkontrolle notwendig ist
• die Auskunft einen unverhältnismäßigen Aufwand erfordern würde
• eine weitere Verarbeitung der Daten mit geeigneten technischen und organisatorischen Mitteln ausgeschlossen ist
• Daten aufgrund gesetzlicher oder satzungsgemäßer Aufbewahrungsvorschriften nicht gelöscht werden dürfen

Diese Ausnahmen betreffen unter anderem Backup-Systeme. Meiner Meinung nach ist es wichtig, dass man in diesen Punkten „die Kirche im Dorf lässt“. Stellen wir uns nur mal vor, was es bedeuten würde, einzelne Daten aus langjährigen Backups zu löschen…

Ausblick und Denkanstöße:

Dennoch keine Frage, dies sind die weitreichendste Datenschutzrichtlinien weltweit. Aus einer Umfrage zur EU-DSGVO möchte ich euch einen Auszug zeigen, der deutlich beschreibt, wie teilnehmende Firmen dieser Umfrage über die Zukunft mit dieser Regelung denken:

Welchen Einfluss hat die neue EU-DSGVO für Ihr Unternehmen?

• 52%: Unser Unternehmen wird vermutlich Strafen zahlen müssen.
• 2/3: Wir erwarten dadurch Änderungen in unserer Europa-Strategie.

Würden Sie mehr in Datenschutz investieren?

• 55%: Wir planen zusätzliche Mitarbeiter-Trainings.
• 53%: Wir werden uns mit zusätzlichen Technologien vorbereiten.

Ich persönlich habe das Gefühl, es herrscht eine Mischung aus Panik und Gelassenheit. Das Thema scheint irgendwie zu groß, als dass man es anpacken möchte. Besonders weil ein unglaublich hoher Aufwand damit zusammen hängt, nun endlich wissen zu müssen, was denn alles so für Daten in meinem Unternehmen liegen und ob sie GDPR relevant sind.

Um diese Anforderungen erfüllen zu können, müssen wir unsere Datenverarbeitungssysteme entscheidend umstellen. So gilt es z.B. neue Begriffe und Definitionen zu kennen und umzusetzen. Außerdem, was sind eigentlich alles personenbezogene Daten? Die Antworten auf diese Fragen und wie wir nun unser Unternehmen auf diese neuen Anforderungen optimal vorbereiten können, erfahrt ihr am 2. Advent.

Nicki Borell hat außerdem das Thema in einem sehr schönen White Paper von rechtlicher Seite beleuchtet. Wer damit weiter ins Detail gehen möchte, findet den Englischen und Deutschen Download Link hier:
http://www.sharepointtalk.net/2017/11/gdprdsgvo-field-guide-for-office-365.html

Den original Gesetzestext gibt es im Internet hier:
http://www.privacy-regulation.eu/en/index.htm (English)http://www.privacy-regulation.eu/de/index.htm (Deutsch)

Bis zum zweiten Advent möchte ich euch gern noch zwei Aussagen zur Diskussion im Kommentar überlassen:

1. „Das ist der Grund, warum ich mit On-Premises Lösungen für fast alles [in Europa] gehe. Ich versuche fast jedes Stückchen Daten aus der Cloud raus zu halten, einfach weil niemand weiß, wohin sich die Regulierung in den nächsten Jahren entwickeln wird.“
2. „Wir müssen vielleicht in Betracht ziehen, unsere dot-com Website wieder auf EU-Servern zu hosten, um komplett sicher zu stellen, dass wir compliant sind. Die Alternative ist, in eine Compliance Lösung zu investieren, aber diese wird auch signifikante Kosten haben.

Was meint ihr, sind diese Aussagen richtig, falsch, sinnvoll, abwägig … ?

Happy „SharePointing“!