GDPR hat oberste Priorität

Die General Data Protection Regulation (GDPR), also die EU-Datenschutz-Grundverordnung (GSGVO), zwingt alle globalen Organisationen dazu, die Art und Weise, wie sie mit personenbezogenen Daten von EU-Bürgern umgehen, deutlich zu ändern. Die Unternehmen müssen die Verordnung bis Mai 2018 umgesetzt haben. Bei Nichteinhaltung der Verordnung drohen hohe Strafen. Sechs Fragen an Oliver Bendig, CEO von Matrix42, zu diesem hochaktuellen Thema.


Herr Bendig, wie beeinflusst GDPR Ihr Unternehmern bereits jetzt?

GDPR macht sich in zweierlei Hinsicht bemerkbar. Erstens als betroffenes Unternehmen. Wir liefern unsere Lösungen als Cloud-Service und verarbeiten personenbezogene Daten. Daher arbeiten wir bereits an Anpassungen, um mehr Transparenz bieten zu können. Es geht u. a. um die Frage, welche personenbezogenen Daten werden erhoben, z. B. bei Nutzungskontrollen und –analysen von Applikationen. Die Anwender sollen mehr Transparenz erhalten. Außerdem passen wir unsere Cloud-Infrastruktur und unseren Cloud-Service an und erfüllen somit die Richtlinien der Verordnung. Wir passen also unsere Produkte an, damit wir compliant sind.

Zweitens bieten wir Lösungen an, die Unternehmen dabei helfen, die Verordnung umzusetzen. Da geht es um Bereiche wie Prozessunterstützung oder darum, personenbezogene Daten abzusichern, etwa mit Zugriffskontrollen, etc.

Wie wird die neue Datenschutzverordnung GDPR deutsche oder europäische Unternehmen beeinflussen?

Die Beeinflussung wird signifikant sein. Wir haben zwar in Deutschland und auch in anderen europäischen Ländern bereits Datenschutzgesetze, die bereits einige Vorgaben machen. Aber die GSGVO hat hohe Anforderungen und vor allem können auch  hohe Vertragsstrafen verhängt werden. Jedes Unternehmen muss sich damit auseinandersetzen, daher bekommen wir derzeit viele Anfragen dazu. Dabei geht es vor allem um das Thema Prozesse, Prozessetablierung und Prozessanpassungen. Als Anbieter von Workspace Management Lösungen können  wir viel zur Umsetzung der neuen Regularien beitragen, vor allem wenn es um die Absicherung von Endgeräten und den Zugriff auf Applikationen geht. Nichts desto trotz muss dieses Thema schnellstens auf die IT-Landkarte der Unternehmen, denn bis Mai 2018 muss die Verordnung umgesetzt sein. Durch die Strafandrohung hat das Thema hohe Priorität

Werden die Unternehmen ohne weiteres in der Lage sein, die Gebote der GDPR umzusetzen? Worauf müssen sie achten?

Es führt kein Weg daran vorbei - die Unternehmen müssen die Verordnung umsetzen. Wir erleben derzeit aber, dass viele Firmen noch nicht darauf vorbereitet sind. Das zeigen auch etliche Analysen der Marktbeobachter. Viele Unternehmen beschäftigen sich zwar mit dem Thema, aber sie haben weniger als ein Jahr Zeit für die Umsetzung. Das heißt, der Druck ist groß. Werden die Unternehmen die Verordnung umsetzen? Ja, natürlich. Aber, werden es alle Unternehmen bis Mai 2018 schaffen? Vermutlich nicht. Wir helfen mit unseren Lösungen, die Anforderungen der GDPR optimal umzusetzen.

Worauf muss geachtet werden? Es gibt den Begriff des „Privacy by Design“. Das heißt alles Informationen, die personenbezogen sind, müssen entsprechend (technologisch) berücksichtigt werden. Der Anwender hat ein Recht auf Transparenz, d.h. er muss die Möglichkeit zur Einsicht seiner personenbezogenen Daten haben und er muss sein Einverständnis geben und auch entziehen können. Unternehmen müssen also Lösungen etablieren, die genau diese Transparenz herstellen. Da geht es einerseits um den Bereich Analytics – also mehr Transparenz darüber, welche Daten im Unternehmen erhoben werden. Andererseits geht es im Workspace-Bereich viel um die Themen Zugriff auf Daten, Dokumente, auf die digitale Spur, die ich als Mitarbeiter im Unternehmen hinterlasse. Wir kümmern uns darum, das Thema aus einer Endanwender- und Workspace Perspektive zu bearbeiten. Die Verordnung eröffnet vielfältige Themen und macht viele Maßnahmen notwendig. Das wichtigste Thema aber ist die Absicherung der personenbezogenen Daten.

Laut einer aktuellen Studie von Ovum glauben 63 % der amerikanischen Unternehmen, dass sie es durch die GDPR Verordnung schwerer haben werden, am europäischen Markt zu bestehen. Was sagen Sie dazu?

Ich glaube, diese Situation wird genauso eintreten. Für uns als Workspace Management Anbieter mit Sitz in Deutschland und Fokus auf Europa ist das gut. Amerikanische Unternehmen sind bislang mit dem Datenschutz und speziell mit dem Schutz von personenbezogenen Daten eher leger umgegangen, ganz im Gegenteil zu europäischen Unternehmen, für die schon seit längerer Zeit Datenschutzgesetze gelten. Mit der neuen EU-Verordnung wird das Reglement strenger als bisher und die Strafen werden höher. Zwar sind  europäische Unternehmen  im Vergleich zu amerikanischen für die Umsetzung der Verordnung besser gerüstet, trotzdem werden alle Firmen hohe Aufwände mit der Realisierung der Verordnung haben. Diesbezüglich gibt es auch zahlreiche Kritik, aber es bleibt dabei, wie bereits gesagt:  Unternehmen müssen sich jetzt um die Umsetzung der GDPR kümmern.

Inwiefern beeinflusst GDPR die Cloud-Nutzung? Wird die zunehmende Nutzung der Cloud eingebremst?

Ich glaube nicht daran, dass die Datenschutz-Grundverordnung die Adaption von Cloud in Europa einbremsen wird. Diejenigen Unternehmen, die Cloud-Services anbieten, beachten personenbezogene Daten jetzt schon viel sensibler und stellen die Mittel bereit, um der Verordnung nachzukommen. Die Cloud-Nutzung wird sich durch die Verordnung nicht beeinträchtigen lassen, aber Unternehmen werden in Zukunft anders mit dem Thema umgehen. Ein Beispiel: Unsere Cloud Solution MyWorkspace etwa ist ein Cloud-Service, mit dem man aus dem Browser heraus auf die eigene  Arbeitsumgebung zugreift. Hier sammeln wir viele Daten, bis hin zu Passwörtern und Benutzernamen. Wir haben deshalb dem Anwender sehr früh die Möglichkeit gegeben, den Ort, wo diese personenbezogenen Daten gespeichert werden, selbst zu wählen. Das heißt, er hat die volle Kontrolle darüber, was genau gespeichert wird und wo. Das sind exakt die Szenarien, die in einer modernen Cloud-Lösung abgebildet werden müssen, um die Bedingungen der  europäischen Datenschutz-Grundverordnung problemlos erfüllen zu können.

Wie können Ihre Workspace Management Lösungen Unternehmen helfen, die GDPR Bestimmungen einzuhalten?

In erster Linie ist GDPR ein Projekt. Damit sind zunächst einmal prozessunterstützende Mittel und Tools notwendig, um dieses Projekt einzuführen. Es geht also um die Planung von Changes, etwa die Veränderung der Infrastruktur, um Projektplanungen und -abläufe. In Hinsicht auf Automation und Absicherung geht es um Prozessveränderungen, es geht darum geschäftliche von persönlichen Daten zu trennen, seien es Dokumente, Daten, Einstellungen oder Konfigurationen. Wir haben eine starke Enterprise Mobility Management Lösung entwickelt, die dabei hilft. Und wenn man auf den cloudbasierten Arbeitsplatz schaut, geht es viel darum, wer welche Applikationen nutzen darf und ob diese Nutzungen auch verschlüsselt und abgesichert sind. Auch um diese Themen kümmern wir uns.

Last but not least – auch das ist ein großer Bereich – geht es um die Löschung von personenbezogenen Daten. Hier liefern wir mit unserem Mobileprodukt, aber auch mit dem klassischen Clientmanagement die Möglichkeit, jegliche Form von Daten auf jeglichem Endgerät zu löschen, wenn notwendig und gewünscht. Durch unser breites Portfolio können wir die Umsetzung der GSGVO also umfassend unterstützen. Aber wie eingangs gesagt ist die GSGVO in erster Linie erst einmal ein Projekt und jede Umsetzung eines Projektes beginnt mit der Planung. Im Hinblick auf die ganzen durchzuführenden Changes können ITIL-basierte Change Management Prozesse hier eine echte Hilfe sein.