Ist Automation im öffentlichen Dienst pure Science Fiction?

Handlungsdruck zur Umsetzung der EU-DSGVO steigt

Die EU möchte mit der Datenschutzgrundverordnung (EU-DSGVO) den Verbrauchern die Hoheit über ihre persönlichen Daten zurückgeben, ein hohes und einheitliches Datenschutzniveau einführen sowie die EU für das digitale Zeitalter rüsten. Im Mai 2018 läuft die Übergangsfrist ab. Die EU-DSGVO tritt in Kraft und setzt die Unternehmen unter Handlungsdruck.

In wenigen Wochen ist es soweit: Die Übergangsfrist zur Einführung der europäischen Datenschutzgrundverordnung (EU-DSGVO) läuft am 25. Mai 2018 aus und die Verordnung tritt endgültig Kraft.

Der ausformulierte Titel der EU-DSGVO gibt eine Vorstellung davon, was mit ihr bezweckt werden soll. Ihre offizielle Bezeichnung lautet „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“.

Ziel und Zweck ist es also den Spagat zu schaffen, den Datenaustausch zwischen den Ländern der Europäischen Union zu vereinfachen und zugleich den Datenschutz zu verbessern und den Verbrauchern die Hoheit über ihre persönlichen Daten zurückzugeben. Zu Letzterem gehören unter anderem das

  • Recht auf Vergessen, also die Möglichkeit, persönliche Daten löschen zu lassen
  • die Auskunftspflicht gegenüber dem Verbraucher über die gespeicherten Daten
  • die Verpflichtung zur Übergabe der Daten im Falle eines Providerwechsels und
  • die Informationspflicht über Verstöße gegen die Verordnung.

Außerdem soll die Datensicherheit verbessert werden. Wie das in der Praxis aussieht, überlässt der Gesetzgeber den Unternehmen und empfiehlt lediglich, auf Verschlüsselung und Pseudonymisierung zu setzen.

"Warten Sie nicht länger und leiten Sie jetzt die ersten Schritte ein."
Ab Mai 2018 drohen hohe Strafen 

In wenigen Monaten läuft also die Schonfrist für die Unternehmen aus. Wer sich noch nicht mit der EU-DSGVO befasst hat, sollte das schleunigst tun. Denn es drohen saftige Strafen in Höhe von vier Prozent des weltweiten Konzernumsatzes, mindestens aber 20 Millionen Euro.

Dennoch sind sich die Verantwortlichen in den Unternehmen des Ernstes der Lage offenbar noch nicht bewusst. Laut einer im November 2017 im Auftrag von DXC in Deutschland durchgeführten Umfrage unter 100 Mitarbeitern in Banken und Finanzinstituten wissen 24 Prozent der Befragten noch nicht einmal, dass es die EU-DSGVO überhaupt gibt. Weitere 26 Prozent haben immerhin schon von der neuen Regulierung gehört, wissen aber nicht, um was es geht.

Diese Ergebnisse korrelieren mit Daten des Bitkom, nach denen ein Drittel der Unternehmen in Deutschland sich noch nicht mit der Datenschutzgrundverordnung befasst hat. Dabei gibt es kaum ein Unternehmen, das in der heutigen digitalisierten Welt nicht von der EU-DSGVO betroffen ist. Schließlich fallen unter die ‚personenbezogenen Daten‘ alle Informationen, die Personen identifizierbar machen; beispielsweise Namen, Standortdaten, Online-Kennungen und Merkmale, die Rückschlüsse auf die Identität der natürlichen Personen ermöglichen. 

Maßnahmen jetzt ergreifen

„Bis Mai 2018 bleibt nicht mehr viel Zeit. Warten Sie nicht länger und leiten Sie jetzt die ersten Schritte ein“, schreibt Ed Reynolds, bei DXC im Projektmanagement für Datensicherheit und Datenschutz tätig, in einem Blogeintrag.

Der erste Schritt sollte die Erfassung des Status quo sein. Wer nicht weiß, wo im Unternehmensnetzwerk sich die Daten befinden und wer sie nutzt, wird bei der EU-DSGVO ins Schleudern kommen. Hat ein Unternehmen den Überblick über die gespeicherten Daten, entscheidet es im nächsten Schritt, welche weiterverwendet und welche gelöscht werden. Grace Crossley von DXC Technology schätzt, dass gut 40 Prozent aller gespeicherten Daten obsolet sind. Wer sich ihrer entledigt, verringert den Aufwand, die Compliance mit der EU-DSGVO herzustellen. Sind die Daten kartiert und bereinigt, kann man die Prozesse definieren, die den Umgang mit den Daten festlegen.

Wie komplex die Umsetzung der EU-DSGVO-Vorgaben ist, lässt ein Blick auf die Cyber-Referenzarchitektur von DXC erahnen. Das Framework umfasst rund 350 verschiedene Punkte, über die man sicherstellen kann, dass die EU-DSGVO-Vorgaben erfüllt werden. Angesichts von nur noch fünf Monaten bis zum Inkrafttreten der EU-DSGVO sollte man keine Zeit mehr verlieren und das Compliance-Projekt schnellstens anpacken.