Ausnahmsweise steht der Bitcoin mal nicht im Medienfokus, denn die neue Datenschutzgrundverordnung der Europäischen Union (DSGVO) ist in aller Munde. Sie wird ab dem 25. Mai 2018 in sämtlichen EU-Mitgliedsstaaten wirksam. Sie bringt grundlegende Veränderungen bei der Sicherung und bei der Handhabung personenbezogener Daten von EU-Bürgern mit sich. Da auch Schweizer Firmen im internationalen Handel präsent sind, ergeben sich schon jetzt viele datenschutzrechtliche Fragen.
EU-Grenzen sind keine Barriere für neue Gesetzesvorgaben
Es lassen sich gleich zwei Mythen aus der Welt schaffen: Erstens, die europäische Datenschutzverordnung betrifft nicht nur Unternehmen mit Sitz innerhalb der EU. Sobald Firmen internationale Geschäfte in Europa abwickeln oder mit personenbezogenen Daten von EU-Bürgern arbeiten, greift die DSGVO. Daher sind auch Schweizer Betriebe gefordert. Sie sollten ihre innerbetrieblichen Arbeitsprozesse und ihre Datenschutzstrategien überarbeiten und an die neuen Richtlinien anpassen. Zweitens, die EU-Datenschutzgrundverordnung geht nicht nur die IT-Abteilung etwas an. Alle Unternehmensbereiche bekommen die neuen Gesetzesvorgaben zu spüren. Arbeitsprozesse laufen nur so gut ab, wie das schwächste Glied in der Datenschutzkette es zulässt.
Vorrangiges Ziel der Datenschutzverordnung ist, Menschen die volle Kontrolle über ihre personenbezogenen Daten zu schenken. Gleichzeitig soll sie über die Speicherung und die Verwendung aller Informationen transparent Auskunft geben. Die EU meint es Ernst mit der Neuregelung. Das untermauern die drohenden Sanktionen bei Verstössen. In schwerwiegenden Fällen werden bis zu vier Prozent des globalen Jahresumsatzes oder bis zu 20 Millionen Euro an Strafzahlungen fällig. Das darf kein Unternehmen auf die leichte Schulter nehmen. Mitunter wirkt sich ein Verstoss existenzgefährdend aus. Wichtig ist daher, die konkreten Handlungsfelder der DSGVO zu erkennen und sie zielgerichtet umzusetzen.
Hohe Anforderungen und komplexe Handlungsfelder
Jeder EU-Bürger hat zukünftig das Recht, Auskunft über gespeicherte, personenbezogene Daten zu erhalten. Das bedeutet für Unternehmen in erster Linie, dass sie herausfinden, welche Daten sie überhaupt angesammelt haben. Was so simpel klingt, entpuppt sich schnell als Herkulesaufgabe. Oft liegt eine große Anzahl an Datensätzen vor, die viele unterschiedliche Mandanten enthalten und ohne erkennbare Struktur abgelegt wurden. Nach der ersten Sichtung stehen Unternehmen vor einer weiteren Herausforderung. Es gilt, alle Daten akribisch zu analysieren. Dabei kann ein vereinfachter Fragenkatalog helfen. Er verdeutlicht, dass die DSGVO vor allem auf die Optimierung von Unternehmensprozessen ausgerichtet ist.
• Wo sind Daten gespeichert?
• Wie sind Informationen im Detail zu klassifizieren?
• Aus welchem Grund wurden Daten gespeichert?
• Wer und welche Abteilungen nutzen Daten innerhalb der Firma?
• Wie lange dürfen einzelne Informationen aufbewahrt werden?
• Haben externe Unternehmen Einsicht in Daten?
• Welche Zugriffsrechte haben einzelne Nutzer?
Durch die DSGVO ergeben sich einheitliche und hohe Standards beim europaweiten Datenverkehr. Neben der Speicherung von Daten will die Verordnung die Übertragbarkeit von Informationen verbessern. Der Transfer von personenbezogenen Daten von einem Unternehmen zu einer externen Firma erleichtert sich. Doch der Fortentwicklung stehen andere Regelungen entgegen, die für Unternehmen enorme Herausforderungen darstellen. So zum Beispiel das Recht des Vergessenwerdens sowie neue Meldefristen bei Datenschutzverletzungen innerhalb von 72 Stunden. Sobald Arbeitsprozesse sowie betriebsinterne Strukturen analysiert und optimiert wurden, lassen sich die neuen Aufgaben jedoch durch eine innovative Softwarelösung meistern.
Software defined archiving (SDA): zukunftsorientiertes Datenmanagement
Die Zauberformel auf dem Weg zur datenschutzkonformen Speicherung von sensiblen Daten lautet „privacy by design“. Bei der Softwareentwicklung iCAS (iTernity Compliant Archive Software) des Freiburger Softwareunternehmens iTernity wird von vornherein der Schutz personenbezogener Informationen eingehalten. Das Thema Datenschutz berücksichtigt die IT-Lösung bereits im Kern aller Prozesse. Neue Produkte und Dienstleistungen werden entsprechend der geänderten Datenschutzbestimmungen verarbeitet. iCAS ist eine dynamische Softwarelösung zur Sicherung, zum Management und zum Optimieren unterschiedlicher Geschäftsdaten. Die Datenmanagementsoftware wurde von der Wirtschaftsprüfungsgesellschaft KPMG unter den Gesichtspunkten „privacy by design“ wie auch „securit by design“ geprüft und zertifiziert. Die nachstehenden Punkte zeigen auf, warum iCAS für Unternehmen so wertvoll ist.
Langfristige Datenmanagementstrategie
Unabhängig von der Speicherhardware bietet iCAS hohe Standards beim Datenschutz. Die Softwarelösung bindet sich problemlos in bestehende wie auch in zukünftige Programmstrukturen ein. Die Integration von 100+ ISV Applikationen trägt zur langfristigen Flexibilität bei. Sie erlauben das Skalieren der Datenmanagementsoftware zu jeder Zeit.
Zertifizierter Datenschutz mit iCAS
Die renommierte Wirtschaftsprüfungsgesellschaft KPMG hat iCAS auf Herz und Nieren geprüft. Die IT-Lösung wurde im Rahmen der Aspekte „privacy by design“ und „securit by design“ als rechtskonform zertifiziert. Beim Einsatz sind Unternehmen in datenschutzrechtlicher Hinsicht auf der sicheren Seite.
Integritätsschutz
Die Softwareentwicklung punktet durch einen hohen Integritätsschutz. Die patentierte CSC-Technologie (Content Storage Container) bündelt Archivdaten sowie die dazugehörigen Metadaten in speziellen Containern. Sie werden effizient vor unbefugten Zugriffen, Löschungen oder vor Manipulationsversuchen geschützt.
Wirksame Verschlüsselung aller Daten
Die IT-Lösung greift auf die derzeit sicherste Verschlüsselungstechnik zurück. AES 256 erfüllt hohe Industrie- und Datenschutzstandards. Abhängig von den verwendeten Schnittstellen, kann iCAS eine Verschlüsselung für jeden Container oder für jede Anwendung festlegen.
Mandantenfähigkeit
Durch iCAS wird die strikte Trennung zwischen archivierten Daten und Mandanten gewährleistet. Das gilt selbst bei extrem großen Datenmengen bis in den Petabyte-Bereich.
Volle Zugriffskontrolle
Alle Zugriffe auf archivierte Daten erfolgen kontrolliert und in Auditlogs protokolliert. Der Abruf von personenbezogenen Daten lässt sich genau nachverfolgen. Darüber hinaus haben Administratoren keinen Zugriff auf enthaltenen Content. Die rigorose Trennung in Nutzer- und Adminbereiche ist einer der Grundpfeiler von iCAS.
Special Delete Prozess
Mit diesem Feature steht dem Recht auf Vergessen nichts im Wege. SDP ermöglicht das nachhaltige und rückstandslose Löschen von Daten jeder Art, was auch die DSGVO fordert.
Retention-Management
Aufbewahrungsfristen werden durch die Vergabe von Zeitstempeln klar definiert. Die WORM-Technologie (Write Once Read Many) stellt sicher, dass in den CSCs gespeicherte Daten vor dem Ablauf der festgelegten Aufbewahrungsperioden nicht gelöscht oder verändert werden können.
Self-Healing
Das Ablegen von Daten auf mehreren Pfaden ermöglicht die intelligente Self-Healing-Funktion. Alle Daten werden kontinuierlich geprüft, wobei das Programm beschädigte Elemente identifiziert und umgehend austauscht.
Mit iCAS Kosten sparen
Die Umstellung auf DSGVO bedeutet zusätzliche Ausgaben, die sich mit iCAS deutlich senken lassen. Die Softwarelösung realisiert kosteneffiziente Datenmanagementstrategien. Sie baut auf bestehende Kapazitäten auf und lizenziert ausschliesslich das Nettovolumen von Datenarchiven.