GDPR Compliance – kein Weg führt an der Cloud vorbei!



Die EU-Datenschutz-Grundverordnung bietet sogar eine Chance für Unternehmen, ihre digitale Transformation erheblich zu beschleunigen. Von Ernst Lorenz, Business Development Manager, Oracle.

Unternehmen stehen derzeit vor der Herausforderung, die Bestimmungen der neuen EU-Datenschutz-Grundverordnung (GDPR) umzusetzen. Diese gilt ab Mai 2018 bindend für alle Mitgliedsstaaten und soll den Datenschutz in der Europäischen Union harmonisieren. Unternehmen müssen sich jetzt auf die neuen Regularien vorbereiten, sollten sie jedoch nicht als lästige Pflicht betrachten. Denn richtig angepackt, bietet die neue Verordnung die Chance, die digitale Transformation des eigenen Unternehmens durch langfristige Technologieinvestitionen aktiv voranzutreiben.

Zahlreiche Studien zeigen: Unternehmen sind zum Teil noch immer nicht adäquat auf die neue Datenschutz-Grundverordnung vorbereitet. Ein Grund hierfür ist sicherlich, dass die Gesetzgebung an einigen Stellen einen mehr oder weniger großen Interpretationsspielraum zulässt: So sind Unternehmen etwa verpflichtet, den „Stand der Technik” im Bereich Cyber-Sicherheit zu berücksichtigen. Doch spezifische Technologien, Kontrollen oder Prozesse werden nicht detailliert aufgeführt. Unternehmen müssen Risikobewertungen und die Entwicklung angemessener Sicherheitsmaßnahmen also selbst übernehmen.

Eine weitere Herausforderung ist für viele Verantwortliche, sich darüber klar zu werden, welche Daten im Unternehmen überhaupt vorliegen und ob diese als personenbezogen gelten. Denn die Verordnung selbst beschränkt sich zwar auf die Verarbeitung personenbezogener Daten – die Definition, welche Daten als personenbezogen gelten, ist jedoch vergleichsweise breit gefasst: Im Wesentlichen gehören dazu alle Daten, die sich auf einen identifizierbaren lebenden Menschen beziehen. Darin eingeschlossen sind aber beispielsweise auch Daten wie IP-Adressen, die über ein Endgerät Rückschlüsse auf eine Person zulassen.
Bei Nicht-Einhaltung der Vorgaben drohen hohe Strafzahlungen – und diese haben die neue Verordnung nicht nur in den Vorstandsetagen innerhalb der EU, sondern auch weltweit in den Blickpunkt gerückt: 4 Prozent des globalen Umsatzes eines Unternehmens oder 20 Millionen Euro – je nachdem, welcher Betrag höher ist. Hinzu kommt der potenzielle Rufschaden, der sich aus den neuen obligatorischen Meldepflichten für Verstöße ergeben kann.

GDPR als Katalysator für die digitale Transformation
Die neue Verordnung stellt ein gutes Datenmanagement in den Mittelpunkt. Eine der wichtigsten gesetzlichen Anforderungen besteht beispielsweise darin, jeder Person alle Daten und Aktivitätsprotokolle zur Verfügung zu stellen, die eine Organisation über sie speichert. Um dies zu gewährleisten, muss die IT in Unternehmen vereinfacht und standardisiert werden. Sie muss in der Lage sein, Daten zu ordnen und zusammenzufassen, um sie anschließend auf Knopfdruck bereitstellen. Das ist zwar anspruchsvoll, beschert Organisationen aber auch zahlreiche Vorteile wie mehr Sicherheit und Betriebseffizienz sowie kundenorientiertere Services und eine verbesserte Unternehmensreputation.

Unternehmen sollten die neue Grundverordnung also zum Anlass nehmen, ihre IT langfristig zu modernisieren und in eine kosteneffiziente Infrastruktur investieren. Damit könnte sich GDPR sogar als die Chance für Unternehmen entpuppen, ihre digitale Transformation erheblich zu beschleunigen.

Cloud – kein Weg führt daran vorbei
Welche Rolle spielt hierbei nun die Cloud? Gewiss ist zunächst, dass das allgemeine Verständnis für die Cloud – ob Public oder Privat, ob SaaS, IaaS oder PaaS – in vielen Branchen, insbesondere in Bezug auf Compliance und Sicherheit, noch unausgereift ist. Fest steht aber auch: Für Unternehmen führt über kurz oder lang kein Weg an der Cloud vorbei. Sie sollten ihn also sorgsam angehen und sich frühzeitig Gedanken über Datensicherheit und Regularien wie GDPR machen.

So geschehen bei der Leipziger Tafel: Um die Sicherheit ihrer Daten gemäß den neuen Richtlinien zu gewährleisten, setzt die Tafel seit Januar 2018 auf Exadata Express X20 und die Content und Experience Cloud von Oracle. Als erste der insgesamt 931 Tafeln in Deutschland verfügt die Organisation damit über eine moderne Cloud-Architektur, mit der sich alle anfallenden Daten wie die Informationen über Kunden, Sponsoren und Mitarbeiter sowie Logistikprozesse und Warenbewegungen verwalten lassen.

All denjenigen Unternehmen, die sich nicht rechtzeitig wappnen, drohen unnötige Risiken wie Schatten-IT oder eine für Hacker angreifbare Infrastruktur. Die Cloud bietet Unternehmen in dieser Hinsicht zahlreiche Vorteile. Beispielsweise erweiterte Sicherheitsfunktionen, die weit über das hinausgehen, was die eigene IT-Abteilung in einer On-Premises-Umgebung leisten könnte.
Anfang dieses Jahres hat das Marktforschungs- und Beratungsunternehmen IDC zudem CIOs und CSIOs von Unternehmen im Raum EMEA zu dieser Thematik befragt. Ziel war es, herauszufinden, wie Verantwortliche angesichts des individuellen Cloud-Stadiums in ihrem Unternehmen an GDPR herantreten. Der daraus resultierende Bericht „Does Cloud Help or Hinder GDPR Compliance?" fasst die Diskussionsschwerpunkte zusammen. Dabei zeigt die Studie nicht nur die Vorteile auf, von denen Unternehmen profitieren, wenn sie die neuen Regelungen einhalten. Sie stellt obendrein passende Technologien vor, die Organisationen dabei unterstützen.

Der vollständige Bericht steht hier zum Download bereit.



Der Autor Ernst Lorenz ist Business Development Manager bei Oracle.

Strategien für mehr IT-Nachwuchs
Durchdachtes Informationsmanagement als Wettbewerb...