Whitepaper

GDPR Herausforderungen mit Delphix meistern

Mit der neuen Datenschutz-Grundverordnung (GDPR) führt die EU strenge Kontrollen bezüglich der Verarbeitung personenbezogener Daten von EU-Bürgern sowie hohe Geldstrafen bei Nicht-Einhaltung eben dieser ein. Die Compliance der Grundverordnung erfordert kostenintensive Kontrollen, die sich mit den direkten geschäftlichen Vorteilen der Verarbeitung personenbezogener Daten rechtfertigen lassen. Die Nutzung von personenbezogenen Daten für Nicht- Produktions-Zwecke, wie Entwicklung und Testing, birgt jedoch die gleichen Risiken und erfordert die gleichen kostenintensiven Kontrollen. Unternehmen können diese Risiken und Kosten vermeiden, indem sie Data-Masking- Technologien verwenden, um personenbezogene Daten von jenen Daten zu trennen, die für Nicht-Produktions-Zwecke genutzt werden. Die Delphix Dynamic Data Platform kann Unternehmen dabei unterstützen, die Kosten und Risiken in Verbindung mit der Nutzung personenbezogener Daten zu verringern.

Mike Small

sm@kuppingercole.com

1 Zusammenfassung und Highlights

Die Datenschutz-Grundverordnung der EU (General Data Protection Regulation, GDPR), die am 25. Mai 2018 angewendet wird, wirkt sich auf Unternehmen, die personenbezogene Daten von in der Europäischen Union lebenden Personen speichern oder verarbeiten, weltweit aus. Die in der GDPR enthaltenen Definitionen der Begriffe „personenbezogene Daten“ und „Auftragsverarbeitung“ sind sehr weit gefasst. Die Verarbeitung ist nur dann zulässig, wenn eine Reihe sehr strenger Kriterien erfüllt wird. Darüber hinaus bekommen betroffene Personen durch die GDPR umfangreiche Rechte, um auf ihre gespeicherten Daten zuzugreifen, sie zu korrigieren oder löschen zu lassen. Außerdem können sie eine einmalig gegebene Einwilligung zur Nutzung der Daten widerrufen. Die Sanktionen für Verstöße gegen die Grundverordnung sind sehr drastisch und beinhalten Geldstrafen in Höhe von bis zu 4 Prozent des weltweiten Jahresumsatzes. Unternehmen, die personenbezogene Daten sammeln und auch als „Datenverantwortliche“ bezeichnet werden, sind für die Implementierung und für den Nachweis ihrer Compliance verantwortlich.

KuppingerCole hat die folgenden sechs Sofortmaßnahmen identifiziert, die Unternehmen, die mit personenbezogenen Daten arbeiten, ergreifen müssen, um eine Einhaltung der bis 25. Mai 2018 umzusetzenden Verordnung zu gewährleisten:

  1. Identifizierung aller gespeicherten personenbezogenen Daten im Unternehmen.
  2. Implementierung von Kontrollen bezüglich der Verarbeitung dieser Daten.
  3. Sicherstellung, dass die Rechte der betroffenen Personen eingehalten werden.
  4. Sicherstellung, dass ausgelagerte Prozesse GDPR-konform sind.
  5. Aktualisierung und Test der Reaktionsprozesse bei Datenschutzverletzungen in Hinblick auf die neuen Benachrichtigungsanforderungen.
  6. Implementierung der Datenschutzprinzipien „Privacy by Design” und „Privacy by Default”.

Während die meisten Unternehmen sich bewusst sind, inwiefern sie personenbezogene Daten im Rahmen ihrer normalen Geschäftsprozesse verwenden, nutzen viele Unternehmen solche Daten indirekt, beispielsweise im Rahmen ihrer Test- und Entwicklungsaktivitäten. Aufgrund der weit gefassten Definition des Begriffs „Auftragsverarbeitung“ in der GDPR, fällt auch diese Nutzung in den Anwendungsbereich der Verordnung. Datenverantwortliche müssen nachweisen, dass sie personenbezogene Daten auf faire und legitime Weise nutzen. Sofern möglich, müssen sie zudem nachweisen, dass die Verarbeitung auch alle weiteren Datenschutzbestimmungen erfüllt.

Unternehmen können diese Risiken und Kosten vermeiden, indem sie Data-Masking-Technologien verwenden, um personenbezogene Daten zu entfernen, wenn diese nicht für Geschäftsprozesse erforderlich sind. Die GDPR erlaubt den Einsatz von Anonymisierungsverfahren im Rahmen des Ansatzes „Privacy by Design” und „Privacy by Default”. Darüber hinaus können Datenverantwortliche auch angemessene Sicherheitsvorkehrungen nutzen, wie Verschlüsselungs- oder Anonymisierungsverfahren, wenn die Daten für andere Bereiche, als ursprünglich geplant, eingesetzt werden. Allerdings ist immer noch ein Restrisiko im Hinblick auf die Umkehrbarkeit dieser Art von Schutz vorhanden. Datenverantwortliche müssen dieses Risiko mithilfe angemessener Tools managen.

Die Delphix Dynamic Data Platform gibt Unternehmen die Möglichkeit, personenbezogene Daten für Nicht-Produktionsaufgaben GDPR-konform zu sammeln, zu verwalten und zu schützen. Der Data-Discovery-Service der Plattform identifiziert vertrauliche Daten, die in den Anwendungsbereich der GDPR fallen und die in vielen verschiedenen Datenquellen vorhanden sind. Sie bietet Governance und Kontrolle über die Verbreitung von Nicht-Produktionsdaten und ermöglichen die Verwaltung dieser. Sie kann personenbezogene Daten so anonymisieren, dass sie aus dem Anwendungsbereich der GDPR entfernt werden, während die für die Entwicklung und das Testing nützlichen Korrelationen erhalten bleiben.

Zusammengefasst kann die Delphix Dynamic Data Platform bei korrekter Nutzung Unternehmen dabei unterstützen, die Kosten und Risiken in Verbindung mit der Nutzung personenbezogener Daten für Nicht-Produktions-Zwecke zu verringern, wenn die GDPR umgesetzt werden muss.


Full article is available for registered users with free trial access or paid subscription.

Register and read on!

Sign up for the Professional or Specialist Subscription Packages to access the entire body of the KuppingerCole research library consisting of 700+ articles.

I have an account
Log in  
Register your account to start 30 days of free trial access
Register  
Subscribe to become a client
Choose a package