Was folgt auf den Privacy Shield?

Unternehmen sollten sich beim Thema Datenschutz nicht ausschließlich auf einzelne Regelungen oder internationale Abkommen konzentrieren – so lautet eine zentrale Lehre aus dem Aus für…

Werner Rieche  Profilbild
Werner Rieche

März 23, 20215 Minuten Lesezeit

Teile diesen Beitrag mit X. Auf LinkedIn teilen. Mail an

Unternehmen sollten sich beim Thema Datenschutz nicht ausschließlich auf einzelne Regelungen oder internationale Abkommen konzentrieren – so lautet eine zentrale Lehre aus dem Aus für den „Privacy Shield“ im Sommer 2020. Denn Datenschutz ist heute weltweit ein Thema und muss daher mit einer umfassenden und flexiblen Gesamtstrategie für Enterprise Information Management angegangen werden.

In dem berühmten Film „Und täglich grüßt das Murmeltier“ versucht der in einem Provinznest in einer Zeitschleife hängengebliebene TV-Wettermoderator verzweifelt, sein Schicksal zu ändern und einem sich regelmäßig wiederholenden Ritual zu entkommen. Datenschutzbeauftragten und Verantwortlichen in Unternehmen ging es in den vergangenen Jahren ähnlich. Ihr „Murmeltiertag“ war jeweils die Urteilsverkündung durch den Europäischen Gerichtshof (EuGH), als zunächst das „Safe Harbor“-Abkommen und dann dessen Nachfolger „Privacy Shield“ gekippt wurden. Selbst wenn zwischen EU und USA eine weitere Nachfolgeregelung ausgehandelt wird, ist schon jetzt wieder absehbar, dass sie erneut auf wackligen Beinen stehen wird.  Bisher ist sie jedoch nicht in Sicht. Firmen fehlt seit dem Urteil des EuGH vom 16. Juli 2020 („Schrems II“) schlichtweg die Rechtsgrundlage für den Datenaustausch mit den USA.

Im Film kann sich der Filmheld schließlich aus der Zeitschleife befreien, weil er durch eine gründliche und ehrliche Änderung seines Charakters die Zuneigung seiner Kollegin erringt. Auf ein ähnliches Happy-End durch Wohlverhalten gegenüber einzelnen Aufsichtsorganen dürfen Firmen beim Datenschutz nicht hoffen: Es gibt einfach zu viele davon. Die Europäische Datenschutz-Grundverordnung (EU-DSGVO; engl. GDPR) ist hierzulande die bekannteste und weltweit eine der strengsten. Inzwischen haben aber so gut wie alle wirtschaftlich wichtigen Länder eigene, vergleichbare Regelungen geschaffen oder stehen kurz davor.

Viele, wie der kalifornische Consumer Privacy Act (CCPA), orientieren sich an der EU-DSGVO. Allerdings bedeutet Einhaltung einer Regelung nicht, dass man automatisch auch den Anforderungen der anderen genügt. Da die Vorgaben meist schon greifen, wenn in einem Land Produkte und Dienste angeboten oder mit dessen Bürgern Geschäfte gemacht werden, ist nur schwer abzuschätzen, welche Regelungen wann eingehalten werden müssen.

Diese Entscheidung kann nicht im Einzelfall von den Mitarbeitern getroffen werden. Hierfür braucht es im Hintergrund ein zentrales, einheitliches und umfassendes Management der im Unternehmen verarbeiteten und genutzten Daten und Informationen. Ist das gegeben, muss Datenschutz in einer globalisierten, digitalen Wirtschaft kein Hindernis sein, sondern kann eine Chance auf dauerhafte Wettbewerbsvorteile sein.

Kein Datenschutz ohne Informationen über die Daten

Wer Daten schützen will, muss zunächst die Frage beantworten, warum und wozu Unternehmen personenbezogene Daten speichern. Die EU-DSGVO und die meisten anderen Regelungen geben eine Zweckbestimmung vor, damit Daten überhaupt gespeichert werden dürfen. Um zu klären, ob die eigenen Zwecke im rechtlichen und im geschäftlichen Sinne legitim sind, müssen sowohl das Management als auch die Rechtsabteilung eingebunden werden. Die Daten selbst geben darüber keine Auskunft: Eine Postadresse verrät nicht, ob sie für den Versand benötigt, in einem Vertrag festgehalten, von einer Visitenkarte übernommen oder aus dem Telefonbuch kopiert wurde.

Deshalb sind zusätzliche Informationen erforderlich. Die finden sich auf Dateiservern, in E-Mail-Archiven, in ERP- oder BPM-Systemen oder sogar in Aktenordnern. Finden, bündeln, lückenlos dokumentieren und verwalten lassen sich diese Informationen nur mit einer Plattform für prozessorientiertes Informationsmanagement. Damit können Firmen alle gespeicherten personenbezogenen Daten ermitteln und die Zwecke für deren Speicherung nachweisen. Außerdem lässt sich damit feststellen, ob Datensätze gelöscht oder um Informationen zu ihren Verwendungsmöglichkeiten ergänzt werden müssen. Schließlich lässt sich dann auch leicht festlegen, wie Datensätze in unterschiedlichen Rechtsräumen genutzt werden dürfen – und auf Nachfrage nachweisen, dass diese Regeln eingehalten wurden.

Ganzheitliches Enterprise Information Management gefordert

Ohne Technologie geht das nicht. Das sehen auch die Verfasser der EU-DSGVO so. Sie verlangen in allen relevanten Bereichen Technologien auf dem aktuellen Stand der Technik. Ausdrücklich genannt werden unter anderem Verschlüsselung, Data Leakage Prevention und Maßnahmen zur Abwehr von Schadsoftware. Aber auch Technologien, um Daten zu anonymisieren und um Zugangsberechtigungen durchzusetzen, gehören dazu.

Die Aufgabe fällt leichter, wenn sie ganzheitlich betrachtet und angegangen wird – also von der Erfassung von Daten und Informationen über die gemeinsame Nutzung und die Zusammenarbeit an Dokumenten, in denen sie enthalten sind, bis zur Archivierung.

Als langjährig etablierter Anbieter im Bereich Information Governance hat OpenText Funktionen und Content Services in alle seine Produkte und Prozesse eingebettet, die Fachanwender von manuellen Aufgaben entlasten. Sie sind selbstlernend und passen sich automatisch an neue Situationen oder Informationsarten an.

Im Zuge eines unternehmensweiten und ganzheitlichen Enterprise Information Management sorgen sie zudem automatisch für die Einhaltung von Sicherheits- und sonstigen Richtlinien inklusive Datenschutz und reduzieren das Risiko im Zusammenhang mit Informationsverarbeitung und -aufbewahrung. Als zentral bereitgestellte Plattform senken sie die Komplexität in der IT und helfen, sämtliche Aufgaben rund um den Datenschutz weltweit zu meistern.

Teilen post

Teile diesen Beitrag mit X. Auf LinkedIn teilen. Mail an
Werner Rieche Avatarbild

Werner Rieche

Werner Rieche has more than 25 years of experience in the IT industry and has been responsible for the future business development of OpenText in Germany, Austria and Switzerland as Vice President Sales Enterprise Content Services DACH since November 2020. He has worked for OpenText since 2001, most recently as Vice President Sales DACH. In between, he was President DACH and Managing Director Germany at SAG Deutschland GmbH, a 100 percent subsidiary of Software AG, where he was responsible for the business of Germany’s second-largest software company. His career also includes senior positions at IBM FileNet GmbH and SER Solutions.

Alle Beiträge anzeigen

Mehr vom Autor

Werden Sie Teil der OpenText World Europe 2024 in München

Werden Sie Teil der OpenText World Europe 2024 in München

Seien Sie bei der OpenText World Europe 2024 am 16. und 17. April in München dabei und nutzen Sie die Gelegenheit, mit KI durchzustarten. Die…

April 02, 2024 6 Minuten Lesezeit

Die OpenText World EMEA 2023 – Innovation Summits starten in München

Die OpenText World EMEA 2023 – Innovation Summits starten in München

Willkommen zum ersten von drei OpenText World EMEA 2023 – Innovation Summits: Treffen Sie sich mit führenden Köpfen der Branche und regionalen Experten zu einem…

April 18, 2023 5 Minuten Lesezeit

OpenText World EMEA – Innovation Summits 2023

OpenText World EMEA – Innovation Summits 2023

OpenText World EMEA – Innovation Summits 2023: Informationen neu gedacht │OpenText

März 30, 2023 10 Minuten Lesezeit