1 Zusammenfassung und Highlights
Die Datenschutz-Grundverordnung der EU (General Data Protection Regulation, GDPR), die am 25. Mai 2018 angewendet wird, wirkt sich auf Unternehmen, die personenbezogene Daten von in der Europäischen Union lebenden Personen speichern oder verarbeiten, weltweit aus. Die in der GDPR enthaltenen Definitionen der Begriffe „personenbezogene Daten“ und „Auftragsverarbeitung“ sind sehr weit gefasst. Die Verarbeitung ist nur dann zulässig, wenn eine Reihe sehr strenger Kriterien erfüllt wird. Darüber hinaus bekommen betroffene Personen durch die GDPR umfangreiche Rechte, um auf ihre gespeicherten Daten zuzugreifen, sie zu korrigieren oder löschen zu lassen. Außerdem können sie eine einmalig gegebene Einwilligung zur Nutzung der Daten widerrufen. Die Sanktionen für Verstöße gegen die Grundverordnung sind sehr drastisch und beinhalten Geldstrafen in Höhe von bis zu 4 Prozent des weltweiten Jahresumsatzes. Unternehmen, die personenbezogene Daten sammeln und auch als „Datenverantwortliche“ bezeichnet werden, sind für die Implementierung und für den Nachweis ihrer Compliance verantwortlich.
KuppingerCole hat die folgenden sechs Sofortmaßnahmen identifiziert, die Unternehmen, die mit personenbezogenen Daten arbeiten, ergreifen müssen, um eine Einhaltung der bis 25. Mai 2018 umzusetzenden Verordnung zu gewährleisten:
- Identifizierung aller gespeicherten personenbezogenen Daten im Unternehmen.
- Implementierung von Kontrollen bezüglich der Verarbeitung dieser Daten.
- Sicherstellung, dass die Rechte der betroffenen Personen eingehalten werden.
- Sicherstellung, dass ausgelagerte Prozesse GDPR-konform sind.
- Aktualisierung und Test der Reaktionsprozesse bei Datenschutzverletzungen in Hinblick auf die neuen Benachrichtigungsanforderungen.
- Implementierung der Datenschutzprinzipien „Privacy by Design” und „Privacy by Default”.
Während die meisten Unternehmen sich bewusst sind, inwiefern sie personenbezogene Daten im Rahmen ihrer normalen Geschäftsprozesse verwenden, nutzen viele Unternehmen solche Daten indirekt, beispielsweise im Rahmen ihrer Test- und Entwicklungsaktivitäten. Aufgrund der weit gefassten Definition des Begriffs „Auftragsverarbeitung“ in der GDPR, fällt auch diese Nutzung in den Anwendungsbereich der Verordnung. Datenverantwortliche müssen nachweisen, dass sie personenbezogene Daten auf faire und legitime Weise nutzen. Sofern möglich, müssen sie zudem nachweisen, dass die Verarbeitung auch alle weiteren Datenschutzbestimmungen erfüllt.
Unternehmen können diese Risiken und Kosten vermeiden, indem sie Data-Masking-Technologien verwenden, um personenbezogene Daten zu entfernen, wenn diese nicht für Geschäftsprozesse erforderlich sind. Die GDPR erlaubt den Einsatz von Anonymisierungsverfahren im Rahmen des Ansatzes „Privacy by Design” und „Privacy by Default”. Darüber hinaus können Datenverantwortliche auch angemessene Sicherheitsvorkehrungen nutzen, wie Verschlüsselungs- oder Anonymisierungsverfahren, wenn die Daten für andere Bereiche, als ursprünglich geplant, eingesetzt werden. Allerdings ist immer noch ein Restrisiko im Hinblick auf die Umkehrbarkeit dieser Art von Schutz vorhanden. Datenverantwortliche müssen dieses Risiko mithilfe angemessener Tools managen.
Die Delphix Dynamic Data Platform gibt Unternehmen die Möglichkeit, personenbezogene Daten für Nicht-Produktionsaufgaben GDPR-konform zu sammeln, zu verwalten und zu schützen. Der Data-Discovery-Service der Plattform identifiziert vertrauliche Daten, die in den Anwendungsbereich der GDPR fallen und die in vielen verschiedenen Datenquellen vorhanden sind. Sie bietet Governance und Kontrolle über die Verbreitung von Nicht-Produktionsdaten und ermöglichen die Verwaltung dieser. Sie kann personenbezogene Daten so anonymisieren, dass sie aus dem Anwendungsbereich der GDPR entfernt werden, während die für die Entwicklung und das Testing nützlichen Korrelationen erhalten bleiben.
Zusammengefasst kann die Delphix Dynamic Data Platform bei korrekter Nutzung Unternehmen dabei unterstützen, die Kosten und Risiken in Verbindung mit der Nutzung personenbezogener Daten für Nicht-Produktions-Zwecke zu verringern, wenn die GDPR umgesetzt werden muss.