4 Minuten Lesezeit 26 April 2018
man checking tablet dark server room

DSGVO-Compliance dank Datenanalysen

Andrew Gordon
Von Andrew Gordon

EY Global Forensic & Integrity Services Leader

Global Forensics Leader focusing on helping organizations build their integrity agenda so they better anticipate and mitigate risk.

4 Minuten Lesezeit 26 April 2018
Verwandte Themen Vertrauen Risikomanagement Big Data und Analytics
Gefällt mir

Weitere Materialien

Können moderne Verfahren der Datenanalyse Unternehmen helfen, den Sprung ins Zeitalter von Datenschutz und Datensicherheit zu schaffen?

Die neue EU-Datenschutzgrundverordnung (DSGVO) vom 25. Mai 2018 hat uns in eine neue Ära des Datenschutzes versetzt. Eine ganze Reihe von Gesetzen und Vorschriften gelten jetzt für alle Unternehmen, die Daten von Personen und Firmen aus der EU verarbeiten. Wichtig ist dabei, dass die DSGVO nicht nur für Unternehmen gilt, die in der EU ihren Sitz haben, sondern für alle Unternehmen mit Kunden in der EU.

Die neuen Regeln enthalten Beschränkungen, wie die Daten von EU-Bürgern verarbeitet werden dürfen und an wen sie weitergegeben werden können. Zudem sind Unternehmen laut den Richtlinien verpflichtet, die zuständigen Datenschutz- und Regierungsbehörden zu informieren, wenn es zu Datenpannen oder Datenschutzverletzungen gekommen ist. Das muss innerhalb von 72 Stunden geschehen. Die DSGVO räumt den Dateninhabern zudem Kontrollrechte ein (sie haben zum Beispiel das „Recht auf Vergessenwerden“, also auf die Löschung ihrer Daten). Verstoßen Unternehmen gegen die Vorschriften, können Behörden empfindliche Strafen verhängen, die bis zu 4 Prozent des weltweiten Umsatzes betragen können oder eine Pauschalsumme von 20 Millionen Euro. Es gilt der jeweils höhere Betrag.

Die DSGVO wird die globale Datenschutz- und Datensicherheitslandschaft verändern, ebenso wie andere datenrelevante Rechtsvorschriften wie Chinas „Cybersecurity Law“, der „Privacy Amendment Act“ in Australien und der „Electronic Communications and Transactions Act“ in Südafrika. Unternehmen aller Branchen müssen sich deshalb an das neue regulatorische Umfeld anpassen. Kann forensische Datenanalyse (FDA) helfen?

Es mag daher vielleicht überraschen, dass lediglich 33 Prozent der Befragten, die an der von EY durchgeführten Global Forensic Data Analytics Study 2018 teilgenommen haben, angaben, dass Sie bereits auf die DSGVO vorbereitet seien. Weitere 39 Prozent sagten, dass sie keine Ahnung hätten, was die DSGVO sei. Nur wenige Wochen vor Inkrafttreten der neuen Regelung wird deutlich, dass dringender Handlungsbedarf erforderlich ist.

Kann forensische Datenanalyse (FDA) hier helfen?

Was ist FDA?

Unternehmen ertrinken heutzutage in Daten. Daten durchdringen alles, von Kundenakten über die Logistik bis zu den internen IT-Systemen. In nur einer Stunde generiert ein Großunternehmen Millionen von Transaktionsdaten. Prognosen der International Data Corporation (IDC) gehen davon aus, dass die globale Datensphäre bis 2025 ein Volumen von 163 Zettabytes erreicht haben wird (das sind 1 Billion Gigabytes). Man kann diese Zahl vergleichen mit einer anderen Datenmenge: Nähme man alle Bücher nehmen, die im Verlauf der Geschichte je gedruckt wurden (das sind schätzungsweise 130 Millionen Titel), so produzieren wir heute die gleiche Menge an Inhalt dieser 130 Millionen Bücher – nur etwa 80 Millionen Mal pro Tag oder 1000 Mal pro Sekunde!

Und als wäre es nicht genug Herausforderung, dieses enorm wachsende Datenuniversum im Griff zu behalten – so kommen nun noch externe Faktoren dazu, die von Unternehmen verlangen, dass sie jederzeit in der Lage sind, die exakten Daten zu jedem Vorgang hervorzuholen. Das ist zum Beispiel bei Rechtsstreitigkeiten der Fall – oder eben bei der DSGVO. Da kommt einem die Geschichte von der Nadel im Heuhaufen in den Sinn.

Und hier kommt auch die FDA ins Spiel: Mit ihr kann man Abfragen starten und damit sowohl strukturierte als auch unstrukturierte Daten analysieren. So hilft sie dabei, Datenmuster zu erkennen. Und sie spürt Daten auf, die aus verschiedenen Quellen stammen und daher genauer kontrolliert werden müssen, um Risiken auszuschließen. Das spielt zum Beispiel beim Compliance-Monitoring eine Rolle. Fortschrittliche FDA-Technologien ermöglichen es auch, schnell den gesamten Datenbestand zu scannen, damit man sich nicht nur auf Stichproben verlassen muss, die nicht immer alle Informationen enthalten.

Wenn zum Beispiel ein Unternehmen den Verdacht hat, dass es ein Opfer von insider-Sabotage sein könnte, so kann es FDA-Tools einsetzen, die mehrere Datengruppen auswerten, etwa Netzwerk-Zugriffsprotokolle. Ergibt die Analyse dann verdächtige Muster, kann das Management rasch Untersuchungsverfahren einleiten.

FDA kann umfangreiche Datenmengen durchforsten wie mit einem Sieb. So können sich Manager genau die Daten beschaffen, die sie benötigen, um ihre Jobs gut zu machen.

Wie kann FDA bei der DSGVO helfen?

Bei der DSGVO geht es überwiegend um die Sicherheit und den Schutz lokal gespeicherter Daten. Deshalb ist die Einhaltung der DSGVO eine Frage der Data Governance, im Kern also ein Governance-Tool. Es ist daher wesentlich, zu wissen, wo sich gespeicherte Daten befinden, wer darauf zugreifen kann, wie sie geschützt und wie sie genutzt werden, denn sonst können Compliance-Maßnahmen nicht umgesetzt werden. Die FDA unterstützt die Unternehmenssteuerung dabei. Andere wichtige Ziele und fragen beim Datenschutz sind: Woher stammen die Daten ursprünglich, wie lange müssen sie aufbewahrt werden, wie dürfen sie genutzt werden und wann oder wie sie zu löschen? Auch das wird leichter, wenn man FDA anwendet.

Die Studie von EY ergab immerhin, dass Firmen dieses Thema zunehmend ernstnehmen: 42 Prozent der Befragten glauben, Datenschutz und Datensicherheit habe künftig einen maßgeblichen Einfluss darauf wie forensische Datenanalyse genutzt werde oder welche Funktionsweisen sie habe. Über die Hälfte der Befragten (52 Prozent) sagten, sie prüften, welche FDA-Tools sie für die Compliance einsetzen könnten.

Leider muss man auch sagen, dass der Geltungsbereich der DSGVO so weitreichend ist, dass auch der Einsatz forensischer Datenanalysen einen Verstoß gegen das Datenschutzrecht darstellen könnte  – wenn er nicht richtig durchgeführt wird. Hier wird deutlich, wie wichtig es ist, eine Strategie für Datenmanagement und Data Governance zu haben, um tatsächlich Compliance-Vorgaben einzuhalten.

Bevor also eine FDA-Strategie angewendet wird, um ein Businessproblem zu lösen, sollten Unternehmen eine Datenschutz-Risikobewertung vornehmen. Nur so können sie sicherstellen, dass sie keine Compliance-Risiken eingehen oder dass sie Risiken angemessen eindämmen - damit aus einem Wettbewerbsvorteil nicht am Ende noch ein Haftungsverpflichtung entsteht.

So unterstützen wir Sie

Forensische Datenanalyse

Ob Betrugsfälle, staatliche oder regulatorische Ermittlungen, Ansprüche bei Vertragsverletzungen oder Rechtsstreitigkeiten – unser Team aus der forensischen Datenanalyse (FDA) unterstützt Sie gerne!

Mehr lesen

Weitere Informationen und Einblicke, wie Forensic Data Analytics (FDA) funktioniert und wie sie effektiv im Unternehmen eingesetzt werden – unter Berücksichtigung der Datensicherheit und regulatorischer Vorgaben – finden Sie in der vollständigen Studie, die Sie hier herunterladen können.

Fazit

Forensische Datenanalyse (FDA) kann helfen, die DSGVO-Vorgaben einzuhalten. Unternehmen müssen aber zuvor eine Datenschutz-Risikoanalyse vornehmen, damit aus ihrem Wettbewerbsvorteil nicht am Ende eine Haftungsfrage ergibt.

Über diesen Artikel

Andrew Gordon
Von Andrew Gordon

EY Global Forensic & Integrity Services Leader

Global Forensics Leader focusing on helping organizations build their integrity agenda so they better anticipate and mitigate risk.

Verwandte Themen Vertrauen Risikomanagement Big Data und Analytics
Gefällt mir