Die DSGVO sicher managen: Wie professionelles Dokumentenmanagement Unternehmen vor Strafen schützt

Daten sind der wertvollste Rohstoff in Zeiten der Digitalisierung. Je mehr Unternehmen über ihre Kunden, Maschinen und Märkte wissen, desto besser können sie ihr Business auf erfolgreiche Geschäftsergebnisse ausrichten. Doch Daten bringen auch eine große Verantwortung mit sich, was insbesondere die europäische Datenschutz-Grundverordnung (DSGVO) aktuell deutlich macht. Wie Unternehmen von Informationen profitieren können und sich dabei DSGVO-konform verhalten, erläutert Enno Lückel, Vice President, EMEA bei Ephesoft.

Enno Lückel, Vice President, EMEA bei Ephesoft

Was genau kommt mit der DSGVO auf Unternehmensverantwortliche zu?

Die Idee der DSGVO ist ein besonderer Schutz für die personenbezogenen Daten von EU-Bürgern. Sämtliche Organisationen, die innerhalb der Europäischen Union Produkte oder Services anbieten und dabei Daten sammeln, verarbeiten sowie analysieren, sind von dieser Regelung betroffen. Sie müssen sicherstellen, jederzeit den Überblick über die vorgehaltenen Informationen zu behalten und auf Wunsch gezielt über bestimmte Datensätze Auskunft erteilen und diese löschen zu können. Zudem sind sie in der Pflicht, Daten vor dem Zugriff Dritter zu sichern und dürfen dafür zu sorgen, dass sie nicht ihn unbefugte Hände gelangen. Falls dennoch Schwachstellen auftreten, greift eine strenge Meldepflicht. Unternehmen, die sich nicht DSGVO-konform verhalten, müssen schon bei geringen Verstößen mit Strafen in Höhe von mindestens 10 Millionen Euro bzw. zwei Prozent des Jahresumsatzes rechnen. Bei schweren Verstößen drohen bis zu 20 Millionen bzw. vier Prozent des jährlichen Umsatzes.

Das sind hohe Anforderungen und große Risiken – wo sehen Sie die größte Herausforderung?

Der Knackpunkt in vielen Unternehmen liegt sicherlich in der Masse der unstrukturierten Informationen, die in Dokumenten und Bildern an verschiedenen Speicherorten irgendwo in gewachsenen Strukturen schlummern und über die niemand ganz genau Bescheid weiß. Laut Gartner liegen über 80 Prozent aller Unternehmensdaten in unstrukturierter Form vor. Entsprechend hoch ist das Compliance-Risiko in Anbetracht der DSGVO, denn auch diese Informationen müssen berücksichtigt werden. Daher gilt es, die Kontrolle über unstrukturierte Daten zurückzugewinnen, die entsprechenden Dokumente ausfindig zu machen, risikobehaftete Dokumente zu managen und interne Richtlinien an die rechtlichen Vorgaben anzugleichen. Nur so kann es gelingen, geltendes Recht einzuhalten und das eigene Unternehmen vor den immensen Strafen zu schützen.

Das klingt nach einer Mammut-Aufgabe. Wo fängt man da am besten an?

Um die ersten wirksamen Schritte zu gehen, sollten Unternehmen zu allererst den Ist-Zustand festhalten. Das beginnt mit der Analyse dazu, wie sie die sensiblen Dokumente und Daten in ihren Systemen aktuell identifizieren und sichern. Zudem sollten die Verantwortlichen herausfinden, inwiefern sie aktuell die rechtlichen Anforderungen hinsichtlich Transparenz erfüllen und wie sie Sicherheitsverstöße erkennen und kommunizieren. Außerdem sollten sie einen Blick auf die aktuellen Schulungsmaßnahmen werfen: Was gibt es bisher schon? Eine solche Analyse des Ist-Zustands hilft zu erkennen, wo schon eine gute Basis vorhanden ist und an welchen Punkten noch Handlungsbedarf besteht. Mit diesem Überblick können dann die notwendigen Maßnahmen festgelegt und umgesetzt werden, um das Unternehmen DSGVO-konform aufzustellen.

Bei der Menge an Daten, die in vielen Unternehmen vorliegen, ist die notwendige Transparenz aber ohne die richtigen Tools nichts zu schaffen, oder?

Richtig, dazu braucht es Unterstützung von Softwarelösungen. Verschiedene Dokumentenmanagementsysteme sind ganz gezielt auf die Vorgaben der DSGVO ausgerichtet und helfen den Verantwortlichen dabei, sich einen Überblick zu verschaffen und transparente Sicherheitsvorkehrungen zu etablieren. Ephesoft Transact beispielsweise konzentriert sich auf vier wesentlichen Aspekte, um die gesetzlichen Richtlinien zu erfüllen: aufdecken, verwalten, schützen und verfügbar machen. Die Software unterstützt Organisationen dabei, Dokumente mit personenbezogenen Daten zu identifizieren und damit schon den ersten Schritt in Richtung Transparenz zu gehen. Außerdem lässt sich die Lösung nahtlos in die Unternehmensprozesse einbinden und unterstützt so im täglichen Management vorhandener und neuer Inhalte. Eine integrierte Sicherheitskontrolle hilft den Verantwortlichen, Verstöße umgehend zu erkennen und schnell auf mögliche Schwachstellen zu reagieren. So können sie auch ihrer gesetzlichen Meldepflicht zuverlässig nachgehen. Um darüber hinaus sicherzustellen, dass alle Daten jederzeit verfügbar sind, erstellt die Software einen privaten Informationskatalog sowie ein Inventar. Auf diese Weise lassen sich Anfragen nach gespeicherten Details jederzeit umgehend beantworten und beispielsweise personenbezogene Daten auf Wunsch des jeweiligen Nutzers problemlos nachweisbar löschen.

Das klingt in der Theorie gut. Wie funktioniert die Lösung konkret in der Praxis?

Ephesoft Transact kann dank zahlreicher Schnittstellen (APIs) Daten aus unterschiedlichen Quellen verarbeiten. Von E-Mails über eingescannte Dokumente sowie mobile Daten bis hin zu Fax-Informationen und bereits gespeicherten Dateien an unterschiedlichen Speicherorten fließt der gesamte Input auf den Ephesoft Server, der wahlweise aus der Cloud kommt oder on premise für das jeweilige Unternehmen bereitgestellt wird. Ob die sonstigen Systeme Windows- oder Linux-basiert sind, spielt für die Lösung keine Rolle. Ephesoft Transact analysiert den bereitgestellten Input und klassifiziert die darin enthaltenen Daten mit Hilfe des sogenannten Supervised Machine Learning. Unklare Zuordnungen werden einem Anwender in diesem Prozess auf seinem Bildschirm präsentiert, sodass dieser dem System helfen kann, die jeweilige Information korrekt einzuordnen. Mit jedem neuen Stück Input lernt die Lösung dazu und entwickelt sich so selbst kontinuierlich weiter. Zur weiteren Verarbeitung der Daten können diese dann in die unterschiedlichsten Formate exportiert werden. Von Dateisystemen über Datenbanken wie beispielsweise SAP bis hin zu XML und CSV gibt es zahlreiche Möglichkeiten.

Für welche Branchen ist eine solche Lösung besonders interessant?

Vor dem Hintergrund der DSGVO ist eine intelligente Dokumenten-Analyse-Software für alle Unternehmen relevant, die in der EU aktiv sind und personenbezogene Daten erheben, speichern oder verarbeiten. Darüber hinaus ist die Gewinnung von wertschöpfenden Informationen aus bisher unstrukturierten Daten für jede Organisation interessant, die im Rahmen oder Geschäftsprozesse große Mengen an verschiedenen Inhalten bearbeiten muss. Denn eine Optimierung des Dokumentenmanagements kann erhebliche Wettbewerbsvorteile generieren und das Geschäftsergebnis entscheidend positiv beeinflussen. Finanzdienstleister, Banken, Versicherungen, die Bereiche Buchhaltung und Rechnungswesen sowie der öffentliche Sektor profitieren aufgrund der Menge und Sensibilität an Informationen besonders intensiv. Kleine und mittelständische Betriebe, für die andere Dokumentenmanagement-Lösungen zu kostspielig sind, gewinnen mit Ephesoft Transact ein günstiges cloud- und abonnementbasiertes Capture-as-a-Service-Modell, mit dem sie die Anforderungen der DSGVO stemmen können.

Quelle: Ephesoft

Foto “head”: www.pixabay.com / geralt