DSGVO, Lektion 1: Sie müssen Ihre Daten KENNEN

Im letzten Post haben wir erklärt, warum Veeam als Unternehmen mit Sitz in der Schweiz mit vielen Kunden aus der EU die DSGVO einhalten muss – ebenso wie viele andere Unternehmen auch, die Daten europäischer Bürger verwalten.

Wir haben Ihnen versprochen, unsere Erkenntnisse mit Ihnen zu teilen, um Sie bei Ihrem Compliance-Prozess zu unterstützen.Unsere Erfahrungen lassen sich in 5 Prinzipien unterteilen:

  1. Sie müssen Ihre Daten kennen
  2. Verwalten Sie die Daten
  3. Schützen Sie die Daten
  4. Dokumentation und Compliance
  5. Kontinuierliche Optimierung

Heute wollen wir das erste Prinzip näher unter die Lupe nehmen: Sie müssen Ihre Daten kennen.

Als erstes müssen Sie feststellen, ob Ihr Unternehmen im Besitz von personenbezogenen Daten von in der EU ansässigen Personen ist.Ich habe mit vielen Unternehmen gesprochen, die dachten, dass sie solche Daten gar nicht besäßen.Doch als wir ein bisschen intensiver nachsahen, stellten wir bald fest, dass sie durchaus im Besitz solcher Informationen und damit von der DSGVO direkt betroffen waren.

Personenbezogene Daten sind ein weites Feld.Gemeint sind damit ALLE Daten, die genutzt werden können, um eine Person zu identifizieren.Normalerweise fallen einem offensichtliche Informationen, wie Name, Adresse oder Fotos ein. Aber personenbezogene Daten können auch in ganz anderen Formen vorliegen.Ohne Anspruch auf Vollständigkeit gehören dazu zum Beispiel IP-Adressen, Standortdaten aus Apps, Feedbackformulare, Daten aus Bonusprogrammen und vieles mehr.Artikel 2(a) definiert personenbezogene Daten wie folgt:

Als personenbezogene Daten werden alle Informationen bezeichnet, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung einer Kennnummer oder durch ein oder mehrere besondere Merkmale identifiziert werden kann, die Ausdruck der physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Wichtig ist jedoch nicht nur, zu wissen, ob personenbezogene Daten vorhanden sind, denn die DSGVO enthält noch strengere Regelungen für sensible personenbezogene Daten.Sensible personenbezogene Daten beziehen sich auf die Rasse und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit sowie Informationen über Gesundheit und Sexualleben.Diese Daten sind Teil einer gesonderten Kategorie und unterliegen besonderem Schutz.

Achten Sie nicht nur auf Kunden- oder externe Daten!Auch die Mitarbeiterdaten Ihres Unternehmens (meist innerhalb der Personalabteilung gespeichert) sind personenbezogene Daten.Wenn Sie europäische Mitarbeiter beschäftigen, müssen Sie auf diese Daten Ihr Augenmerk legen.

Und Sie sollten wissen, wer Zugriff auf diese Daten hat, und wo sie sich befinden.

Das klingt einfacher als es ist.Einer der Ansätze verwendet eine technische Lösung, die Ihre Daten abbildet.Allerdings sind diese Lösungen nur so wirksam wie ihre Definitionsrichtlinien.Es gibt Lösungen, die lernen, während sie die Daten zusammentragen und auswerten und dabei zusätzliche Definitionen ergänzen, um das Ergebnis zu verbessern. Andere sind komplett von manuellen Einstellungen abhängig.In beiden Szenarien ist es wichtig, dass die Lösungen ALLE Daten lückenlos finden und abbilden.

Veeam hat zielgerichtete Umfragen (angepasst an die jeweilige Business Unit) erstellt und allen Business Units weltweit geschickt.Beispiele für einige dieser Umfragen finden Sie im nächsten Whitepaper. Sie können sie gemäß Ihren Anforderungen anpassen und intern zum gleichen Zweck nutzen.

Ein wichtiger Tipp: Vergessen Sie keine Business Unit, inkl. der regionalen Business Units oder Business Units außerhalb der EU.Ein Beispiel: Auch unser regionales Marketingteam in Nordamerika musste an der Umfrage teilnehmen.Es ist zuständig für wichtige Events in Nordamerika und deshalb im Besitz von Daten europäischer Bürger, die zu diesen Veranstaltungen kommen.

Ein weiterer wichtiger Punkt in diesem Zusammenhang ist die Erarbeitung von Flussdiagrammen. Damit lassen sich die Ströme personenbezogener Daten innerhalb Ihrer Organisation und zu Dritten nachverfolgen.Möglicherweise besitzen Sie interne Technologielösungen, die das automatisch für Sie übernehmen.Bei Veeam liefert die Veeam Availability Platform ein Gesamtbild der Backup-Umgebung und der Datenströme.

Fazit

Seine eigenen Daten zu kennen, ist der erste und wahrscheinlich einer der wichtigsten Schritte.Viele Unternehmen wissen über ihre eigenen Daten zu wenig, kennen ihren Umfang und Geltungsbereich nicht und wissen auch nicht, wo sie sich befinden.Wenn Sie gut über Ihre Daten Bescheid wissen, sind die nächsten Schritte viel einfacher.

Exit mobile version