Was folgt auf den Privacy Shield?
Teil II: Der Nachfolger heißt unternehmensweites Informationsmanagement
Unternehmen sollten sich beim Thema Datenschutz nicht ausschließlich auf einzelne Regelungen oder internationale Abkommen konzentrieren – so lautet eine zentrale Lehre aus dem Aus für den „Privacy Shield“ im Sommer 2020. Denn Datenschutz ist heute weltweit ein Thema und muss daher mit einer umfassenden und flexiblen Gesamtstrategie für Enterprise Information Management angegangen werden.
In dem berühmten Film „Und täglich grüßt das Murmeltier“ versucht der in einem Provinznest in einer Zeitschleife hängengebliebene TV-Wettermoderator verzweifelt, sein Schicksal zu ändern und einem sich regelmäßig wiederholenden Ritual zu entkommen. Datenschutzbeauftragten und Verantwortlichen in Unternehmen ging es in den vergangenen Jahren ähnlich. Ihr „Murmeltiertag“ war jeweils die Urteilsverkündung durch den Europäischen Gerichtshof (EuGH), als zunächst das „Safe Harbor“-Abkommen und dann dessen Nachfolger „Privacy Shield“ gekippt wurden. Selbst wenn zwischen EU und USA eine weitere Nachfolgeregelung ausgehandelt wird, ist schon jetzt wieder absehbar, dass sie erneut auf wackligen Beinen stehen wird. Bisher ist sie jedoch nicht in Sicht. Firmen fehlt seit dem Urteil des EuGH vom 16. Juli 2020 („Schrems II“) schlichtweg die Rechtsgrundlage für den Datenaustausch mit den USA.
Im Film kann sich der Filmheld schließlich aus der Zeitschleife befreien, weil er durch eine gründliche und ehrliche Änderung seines Charakters die Zuneigung seiner Kollegin erringt. Auf ein ähnliches Happy-End durch Wohlverhalten gegenüber einzelnen Aufsichtsorganen dürfen Firmen beim Datenschutz nicht hoffen: Es gibt einfach zu viele davon. Die Europäische Datenschutz-Grundverordnung (EU-DSGVO; engl. GDPR) ist hierzulande die bekannteste und weltweit eine der strengsten. Inzwischen haben aber so gut wie alle wirtschaftlich wichtigen Länder eigene, vergleichbare Regelungen geschaffen oder stehen kurz davor.
Viele, wie der kalifornische Consumer Privacy Act (CCPA), orientieren sich an der EU-DSGVO. Allerdings bedeutet Einhaltung einer Regelung nicht, dass man automatisch auch den Anforderungen der anderen genügt. Da die Vorgaben meist schon greifen, wenn in einem Land Produkte und Dienste angeboten oder mit dessen Bürgern Geschäfte gemacht werden, ist nur schwer abzuschätzen, welche Regelungen wann eingehalten werden müssen.
Diese Entscheidung kann nicht im Einzelfall von den Mitarbeitern getroffen werden. Hierfür braucht es im Hintergrund ein zentrales, einheitliches und umfassendes Management der im Unternehmen verarbeiteten und genutzten Daten und Informationen. Ist das gegeben, muss Datenschutz in einer globalisierten, digitalen Wirtschaft kein Hindernis sein, sondern kann eine Chance auf dauerhafte Wettbewerbsvorteile sein.
Kein Datenschutz ohne Informationen über die Daten
Wer Daten schützen will, muss zunächst die Frage beantworten, warum und wozu Unternehmen personenbezogene Daten speichern. Die EU-DSGVO und die meisten anderen Regelungen geben eine Zweckbestimmung vor, damit Daten überhaupt gespeichert werden dürfen. Um zu klären, ob die eigenen Zwecke im rechtlichen und im geschäftlichen Sinne legitim sind, müssen sowohl das Management als auch die Rechtsabteilung eingebunden werden. Die Daten selbst geben darüber keine Auskunft: Eine Postadresse verrät nicht, ob sie für den Versand benötigt, in einem Vertrag festgehalten, von einer Visitenkarte übernommen oder aus dem Telefonbuch kopiert wurde.
Deshalb sind zusätzliche Informationen erforderlich. Die finden sich auf Dateiservern, in E-Mail-Archiven, in ERP- oder BPM-Systemen oder sogar in Aktenordnern. Finden, bündeln, lückenlos dokumentieren und verwalten lassen sich diese Informationen nur mit einer Plattform für prozessorientiertes Informationsmanagement. Damit können Firmen alle gespeicherten personenbezogenen Daten ermitteln und die Zwecke für deren Speicherung nachweisen. Außerdem lässt sich damit feststellen, ob Datensätze gelöscht oder um Informationen zu ihren Verwendungsmöglichkeiten ergänzt werden müssen. Schließlich lässt sich dann auch leicht festlegen, wie Datensätze in unterschiedlichen Rechtsräumen genutzt werden dürfen – und auf Nachfrage nachweisen, dass diese Regeln eingehalten wurden.
Ganzheitliches Enterprise Information Management gefordert
Ohne Technologie geht das nicht. Das sehen auch die Verfasser der EU-DSGVO so. Sie verlangen in allen relevanten Bereichen Technologien auf dem aktuellen Stand der Technik. Ausdrücklich genannt werden unter anderem Verschlüsselung, Data Leakage Prevention und Maßnahmen zur Abwehr von Schadsoftware. Aber auch Technologien, um Daten zu anonymisieren und um Zugangsberechtigungen durchzusetzen, gehören dazu.
Die Aufgabe fällt leichter, wenn sie ganzheitlich betrachtet und angegangen wird – also von der Erfassung von Daten und Informationen über die gemeinsame Nutzung und die Zusammenarbeit an Dokumenten, in denen sie enthalten sind, bis zur Archivierung.
Als langjährig etablierter Anbieter im Bereich Information Governance hat OpenText Funktionen und Content Services in alle seine Produkte und Prozesse eingebettet, die Fachanwender von manuellen Aufgaben entlasten. Sie sind selbstlernend und passen sich automatisch an neue Situationen oder Informationsarten an.
Im Zuge eines unternehmensweiten und ganzheitlichen Enterprise Information Management sorgen sie zudem automatisch für die Einhaltung von Sicherheits- und sonstigen Richtlinien inklusive Datenschutz und reduzieren das Risiko im Zusammenhang mit Informationsverarbeitung und -aufbewahrung. Als zentral bereitgestellte Plattform senken sie die Komplexität in der IT und helfen, sämtliche Aufgaben rund um den Datenschutz weltweit zu meistern.
