Der Countdown für die Datenschutz-Grundverordnung (DSGVO, engl. GDPR) der EU läuft. In weniger als einem Jahr, nämlich ab dem 25. Mai 2018, müssen auch Unternehmen in der Schweiz personenbezogene Daten von-Bürgern der europäischen Union nach neuen, strengeren Regeln behandeln.

Viele Firmen erwarten eine Reihe von Schwierigkeiten, denn diese Daten sind aktuell oft an verschiedenen Stellen gespeichert, sei es on premise oder in der Cloud. Personenbezogene Daten gilt es künftig besonders sorgsam zu pflegen, schliesslich erhalten EU-Bürger eine ganze Reihe von wichtigen Privilegien. Beim Recht auf Vergessenwerden, um nur ein zentrales Privileg herauszugreifen, dürfen Bürger beispielsweise fordern, dass ein Unternehmen alle Daten zu der Person löschen muss, sofern die Daten nicht aus bestimmten gewichtigen Gründen vorgehalten werden müssen.

Laut einer weltweit durchgeführten Veritas-Studie zweifeln allerdings 47 Prozent der Unternehmen daran, die neuen Regelungen rechtzeitig umsetzen zu können. Das könnte sie teuer zu stehen kommen. Im Fall eines Datenlecks, dies ist ein zweites wichtiges Recht der Verordnung, müssen Betroffene und Aufsichtsbehörden innerhalb von 72 Stunden informiert werden. Wer dem nicht nachkommt, dem drohen Strafen von bis zu 20 Millionen Euro oder vier Prozent des Gesamtumsatzes. Der Studie zufolge fürchten 19 Prozent der Befragten dieses Worst-Case-Szenario und die damit verbundenen Folgen wie Vertrauens- oder Kundenverlust.

Wichtig ist daher die richtige Strategie zur Vorbereitung auf die Datenschutzverordnung. Fünf Kernfunktionen müssen auf dem Weg zur DSGVO-Compliance abgehakt werden:

Lokalisieren: Zunächst müssen Unternehmen in einer Art Datenlandkarte einen Überblick darüber gewinnen, wo personenbezogene Daten überhaupt gelagert sind. Das gilt insbesondere bei Infrastrukturen, in denen die Daten auf jede Menge Standorte und in der Cloud verteilt sind. Suchen: EU-Bürger können einen Einblick in und/oder die Herausgabe von über sie gespeicherte Daten verlangen. Unternehmen müssen das zeitnah gewährleisten können. Ein Prozess und Software, mit denen sich Daten schnell auffinden und bei Bedarf löschen lassen, helfen dabei. Minimieren: Die DSGVO regelt, dass Firmen personenbezogene Daten nur zweckgebunden, also nur für eine bestimmte Frist speichern dürfen. Deshalb sollte jede Datei mit einem Verfallsdatum versehen und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden. Schützen: Es sollte selbstverständlich sein, personenbezogene Daten sorgsam zu sichern. Unternehmen müssen Massnahmen ergreifen, um Angreifer von aussen und innen abzuwehren. Passiert doch etwas, sind Firmen verpflichtet, das Datenleck innerhalb von 72 Stunden zu melden. Eine direkte Überleitung für den letzten Punkt. Überwachen: Bevor ein Datenleck gemeldet werden kann, muss man wissen, dass es existiert. Es ist wichtig, verlorene Daten schnell und eindeutig zu identifizieren. Eine Software für ein umfassendes Datenmanagement, das die komplexe Speicherinfrastruktur ständig auf Unregelmässigkeiten überprüft, kann hier sehr helfen.

Viele Unternehmen stellt die Datenschutzverordnung vor grosse Aufgaben, daher sollte ein Projekt mit speziellen Beratungsdiensten gekoppelt sein, um möglichst effizient Tools und Prozesse aufeinander abzustimmen. Ein GDPR Assessment sollte dabei der erste Schritt sein, um den Reifegrad und damit einen faktisch ermittelten Ausgangspunkt zu bestimmen.

Damit können Unternehmen die Risiken schnell identifizieren und die grossen Themen priorisiert angehen. Denn ab jetzt zählt jeder Tag, das Inkrafttreten der Datenschutzverordnung ist nun weniger als 365 Tage entfernt. Und übrigens: Auch wenn ein Unternehmen keine Daten von EU-Bürgern verarbeitet – mit der geplanten Änderung des Schweizer Datenschutzrechts werden ähnliche Änderungen auf alle Unternehmen zukommen.