Automatisierungspotenziale im Datenmanagement

Gastbeitrag von Marc Ahlgrim

Compliance-Konformität: Mensch und Maschine im Zusammenspiel

Die Corona-Pandemie hat das Digitalisierungstempo in vielen Organisationen und Betrieben stark beschleunigt. Andernfalls wäre es beispielsweise nicht möglich gewesen, Mitarbeitern kurzfristig den Zugriff auf Unternehmensdaten vom Home-Office aus zu gewähren. Allerdings entsteht als Folge oftmals ein Sammelsurium an neu eingesetzten Lösungen und dies kann zu Problemen führen. Wird eine bereits bestehende On-premises-Installation um Cloud-Dienste und -Services erweitert, gestaltet sich der Überblick über alle Anwendungen zunehmend schwieriger. Doch auch in Pandemie-Zeiten ist ein funktionierendes Datenmanagement äußerst wichtig, das sämtliche Mitarbeiter in die Pflicht nimmt – gerade im Hinblick auf Compliance-Konformität. Nur so lässt sich ein datenschutzkonformer Digitalisierungsprozess im gesamten Unternehmen umsetzen.

Das strenge Auge der Datenschutzbehörden kehrt zurück

Zu Beginn der Pandemie waren zwar einige Behörden etwas milder gestimmt, was die Sanktionierung von Compliance-Verstößen betrifft. Denn viele Unternehmen mussten plötzlich und unerwartet mit einem gestiegenen Datenaufkommen zurande kommen. Doch diese Ausnahmesituation ist vorbei. Was bis vor kurzem aus Kulanzgründen toleriert wurde, bewerten Aufsichtsämter wieder nach Maßstäben, wie sie vor Corona gegolten haben. Daher sollten Unternehmen Compliance-Konformität nicht mehr auf die leichte Schulter nehmen.

„Mitarbeiter glauben oft fälschlicherweise, dass sie richtig handeln, wenn sie sämtliche Informationen grundsätzlich speichern.“

Marc Ahlgrim

Vielfältige Ursachen für Compliance-Verstöße

Beim Datenschutz gibt es zahlreiche Gefahrenstellen für Unternehmen. Eine davon ist das simple Löschen einer Information, obwohl sie eigentlich aufbewahrt werden muss. Aber auch eine achtlose Archivierung kann Folgen haben. Denn wenn Informationen versehentlich zu lange aufbewahrt wurden, handeln sich Unternehmen schnell Sanktionen ein.

Ein anderer häufig zu beobachtender Grund für Datenschutzverletzungen sind Dark Data. Dabei handelt es sich um Daten, deren Wert für das Unternehmen unbekannt ist und von denen Mitarbeiter oft nicht einmal wissen, dass sie existieren. Sie liegen auf irgendeinem Server im Unternehmen, und IT-Verantwortliche wissen oftmals gar nicht, ob die Informationen Compliance-konform abgelegt sind. Laut einer Studie von Veritas beläuft sich der Prozentsatz dieser Dark Data in Unternehmen auf 52 Prozent.

Schließlich sind im Zusammenhang mit Datenschutzverletzungen auch Cyberattacken zu nennen, bei denen Kriminelle etwa von einem ungesicherten und manchmal auch vergessenen Server persönliche Daten stehlen. Eine solche Datenpanne, die durch unzureichende Schutzmaßnahmen entstanden ist, kann schwerwiegende Folgen haben und hohe finanzielle Strafen nach sich ziehen.

Über den Autor

Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR bei Veritas Technologies
Marc Ahlgrim ist Wirtschaftsinformatiker und als Spezialist für die Themen Risk Mitigation und Compliance im Presales bei der Firma Veritas Software angestellt. Seit über 20 Jahren ist er als technischer Berater in den Bereichen Informationsmanagement und Informationsanalyse tätig. Er hat im Laufe seiner Tätigkeit für namhafte Firmen aller Größen zahlreiche Projekte geplant und durchgeführt.

Durchblick im Datendschungel

Die Datenmengen in Unternehmen steigen kontinuierlich an. Das liegt an einer Kombination aus historisch gewachsenen Best Practices, zögerlichem Löschen von Daten und auch der Möglichkeit, Daten in immer größerem Umfang kostengünstig zu speichern. Mitarbeiter glauben oft fälschlicherweise, dass sie richtig handeln, wenn sie sämtliche Informationen grundsätzlich speichern. Doch ohne ein fundiertes Verständnis für die Daten und deren datenschutzrechtlichen Anforderungen ist dieses Vorgehen früher oder später zum Scheitern verurteilt. Die falsche Handhabung der Datenmassen kann fatale Konsequenzen haben, wenn diese Strategien mit neuen gesetzlichen Verpflichtungen in Konflikt geraten.

Neue Anforderungen beim Datenschutz immer im Blick behalten

Viele Branchen wie der Bankensektor haben spezielle Richtlinien bei der Aufbewahrung von Daten für bestimmte Zeiträume. Zahlreiche davon sind bereits seit geraumer Zeit in Kraft und bei vielen Mitarbeitern bereits in Fleisch und Blut übergegangen. Doch spätestens seitdem die Datenschutzgrundverordnung (DSGVO) anwendbares Recht geworden ist, sind eine Menge neuer Anforderungen entstanden. Bei einer handelt es sich um das Recht auf Datenlöschung von Privatinformationen. Es ist daher nicht verwunderlich, dass in vielen Organisationen Unklarheit darüber herrscht, welche Daten wie verwahrt werden müssen.

Da die Datensätze branchenübergreifend immer komplexer werden, gestalten sich auch Datenverwaltung und -sicherung zusehends schwieriger. Das Risiko von Datenschutzverletzungen steigt. Gleichzeitig erfreuen sich aber hybride Multi-Cloud-Umgebungen einer immer größeren Beliebtheit. In diesen Umgebungen sind Daten sowohl in privaten On-Premises-Netzwerken als auch in einer Reihe von Cloud-Umgebungen gespeichert. Oft befinden sie sich über Jahre hinweg an unterschiedlichen Orten im Unternehmen. Das Risiko ist somit hoch, dass diese Informationen zu Dark Data werden.

Um Strafen zu entgehen, müssen Unternehmen daher grundsätzlich wissen, welche Daten an welchem Ort gespeichert sind und wie sie sich regelkonform verwalten lassen. Auch das Management-Board ist hierbei mit eingebunden. Es muss mit entsprechenden Rahmenbedingungen dafür Sorge tragen, dass sämtliche Verarbeitungsprozesse Compliance-konform ablaufen.

Compliance: ein Thema über alle Unternehmensbereiche hinweg

Um diesen Anforderungen Herr zu werden, ist oft ein neuer Ansatz beim Datenmanagement angezeigt. Er sollte nicht nur auf rein technische Lösungen abzielen, sondern sämtliche Mitarbeiter mit einbeziehen. Denn soll das Compliance-Risiko spürbar gemindert werden, sind Eigenverantwortung und Rechenschaftspflicht maßgebliche Erfolgsfaktoren. Ob Mitglied der Geschäftsleitung oder Abteilungsleiter, jeder muss seinen Teil dazu beitragen und für seine Geschäftseinheiten verantwortlich zeichnen. Die Aufgaben für einen datenschutzkonformen Umgang mit Informationen sind umfassend. Sie reichen von der Formulierung der Compliance-Strategie auf Führungsebene bis zur Schulung der Mitarbeiter in den einzelnen Teams.

Insights und Automatisierung für mehr Datentransparenz

Werden Daten im Unternehmen abgespeichert, ist es grundsätzlich von hoher Bedeutung, sie durch entsprechende Software-Lösungen automatisiert mit Metadaten zu versehen. Diese geben Auskunft über die Compliance-Anforderungen dieser Informationen. Zusammen mit Funktionen zur schnellen Identifikation von Aufbewahrungsort und Inhalt der Daten, haben Unternehmen damit die maßgeblichen Tools zur Verhinderung von Compliance-Verstößen an der Hand.

https://www.veritas.com/de/de

Aufmacherbild / Quelle / Lizenz
Photo by Patrick Lindenberg on Unsplash