Europäische Data Protection Regulation (EDPR)

Die künftige Datenschutz-Regulierung der EU bringt rigide Auflagen für die firmeninterne Verarbeitung und Speicherung persönlicher Daten und ihre Übermittlung ins Ausland.

Die neue EU-Gesetzgebung zum Datenschutz wird gerade vorbereitet und tritt 2016 in Kraft. Schon heute zeigt das Urteil des EU-Gerichtshofs bezüglich „Safe Harbour“, dass es nicht erlaubt ist, personenbezogene Daten aus der EU in die USA zu übertragen und zu speichern.

Welche wesentlichen Veränderungen bringen die neuen EU-Bestimmungen zur Datensicherheit?

Die neue Europäische Data Protection Regulation (EDPR) ersetzt die gültige EU-Direktive zum Datenschutz. Diese Direktive war mehr eine Empfehlung, während die neue Regelung Gesetzescharakter hat und mit strikten finanziellen Strafen durchgesetzt wird. Unternehmen kommen dann nicht mehr mit einem blauen Auge davon, wenn sie dagegen verstoßen. Die Strafen können bis zu 100 Millionen Euro oder 5 Prozent des Jahresumsatzes eines Unternehmens betragen, je nachdem welche Summe höher ist. Zudem bündelt die neue Regelung die Datenschutzgesetze in allen 28 EU-Ländern und bildet das Rückgrat für Datenschutz und Persönlichkeitsrechte aller EU-Bürger.

Was heißt das konkret?

Kernbestandteil der neuen EU-Gesetzgebung ist das „Recht auf Vergessen“. Bürger sollen die Möglichkeit haben, ihre persönlichen Daten und auch Fotos zu löschen, wenn die Datenverarbeitungsprozesse den EU-Regeln nicht entsprechen, die Daten zum Zweck der Erhebung nicht mehr notwendig sind oder die Person das Einverständnis zur Erhebung ihrer Personendaten entzogen hat. Das heißt beispielsweise, dass Bürger auch von Suchmaschinen verlangen können, bei der Online-Suche Verweise zu Inhalten zu entfernen, die das Recht auf Privatsphäre und Datenschutz verletzen.

Warum stellt die neue Verordnung für Unternehmen eine so große Herausforderung dar?

Um sicherzustellen, dass neue Anwendungen und Online-Services fehlerfrei funktionieren, werden in der Entwicklungs- und Testphase echte Daten genutzt. Dabei kommen auch persönlich identifizierbare Informationen realer Kunden wie Name, Adresse oder Versicherungsnummer zum Einsatz. Diese werden auch Dienstleistern wie externen Entwicklungsteams übermittelt. Diese Praxis ist auch bisher schon ungesetzlich, aber mit der neuen EU-Regulierung wird das viel deutlicher werden.

Denn dann ist es eine Kernforderung, dass Unternehmen einen vollständigen und genauen Report aller Daten liefern, die innerhalb der gesamten Organisation gespeichert werden. Das kann Unternehmen lahmlegen. Es kann ein Alptraum sein, einen vollständigen und genauen Report aller Daten zu liefern, die innerhalb der gesamten Organisation vorhanden sind. Dazu zählen auch Daten in Backups und in allen Testsystemen. In vielen Fällen wird es auch Daten außerhalb der EU geben, die genutzt werden, beispielsweise bei einem Outsourcer, der Mainframe-Applikationen entwickelt. Das würde eine weitere ernsthafte Verletzung der EU-Richtlinien bedeuten.

Wie gehen Unternehmen mit der neuen Verordnung um?

Gespräche mit Organisationen der IT-Branche zeigen drei verschiedene Denkweisen. Es gibt Unternehmen, die die neuen Regulierungsvorschriften als Geschäftschance sehen. Sie wollen ihren Kunden nachweisen, dass ihre Daten den höchsten Sicherheitsanforderungen genügen, und sich so einen Wettbewerbsvorteil verschaffen. Bei der zweiten Kategorie führen Unternehmen grundlegende Schritte durch, um Kosten und Geldstrafen zu vermeiden. Deswegen werden elementare Schritte zur Einhaltung der Regelungen umgesetzt, wenn auch ohne höchste Priorität.

Die dritte Gruppe sieht die neue Gesetzgebung als Chance, um Kosten einzusparen. Durch die Rationalisierung und Kontrolle der Daten – also Datenoptimierung – können Unternehmen erhebliche Kosten einsparen, beispielsweise durch eine verbesserte Qualität Datenmengen, die für Anwendungstests erforderlich sind. Unabhängig davon, in welche Kategorie ein Unternehmen einzuordnen ist, es muss die Kontrolle über die Daten erlangen.

Wie können Unternehmen dies bewerkstelligen?

Zunächst einmal müssen IT-Organisationen ihre Testpraktiken hinterfragen. Wird irgendeine Art von echten Personendaten für Tests genutzt, ist es höchste Zeit, diese durch ein Projekt zur Test Data Privacy zu schützen. Unternehmen müssen die Auswirkungen der neuen Gesetzgebung verstehen und identifizieren, was das für ihre IT bedeutet. Es besteht die Notwendigkeit, genau zu analysieren, wo sensible sowie persönliche Daten abgelegt sind und wo ein Risiko für Datenverluste besteht. Das heißt, sie müssen wissen, wer Zugriff auf welche Daten hat und wo diese gespeichert sind. Steht das fest, sollten sich Organisationen Gedanken darüber machen, wie sie die sensiblen Daten anonymisieren können. Dazu kann es ausreichen, die Anonymisierung in bestehende Workflows und Prozesse einzubauen, es können aber auch neue Workflows notwendig sein, um der Gesetzgebung zu entsprechen.

Wie sieht eine Lösung für Test Data Privacy aus?

Eine Test-Data-Privacy-Lösung, wie wir sie anbieten, nutzt die Stärken von File-AID, einer Datei- und Datenmanagement-Lösung, die als einheitliche, vertraute und sichere Methode gilt, um den Datenzugang über alle Umgebungen hinweg zu analysieren, zu bearbeiten, zu vergleichen sowie zu transportieren und zu transformieren. Damit sind Unternehmen in der Lage, Testdaten anonym zur Verfügung zu stellen. So erfüllen sie die Anforderungen der neuen EU-Gesetzgebung, und Entwicklungsteams können Anwendungen testen.

(Quelle: www.datacenter-insider.de "EU-Regeln machen Testdaten problematisch" 05.11.15 | Autor / Redakteur: Ludger Schmitz / Ulrike Ostler)