ICO-Geldbuße unterstreicht Spreadsheet-Risiko für GDPR-Compliance
Kürzlich verhängte das britische Information Commissioner's Office (ICO) eine Geldstrafe in Höhe von 120 000 Pfund gegen den Londoner Royal Borough of Kensington & Chelsea (RBKC), weil er unrechtmäßig 943 Personen identifiziert hatte, die leerstehende Immobilien im Stadtbezirk besaßen.
Diese Datenverletzung wurde irrtümlich von einem Mitarbeiter des Bezirks begangen, der auf Anfragen zur Informationsfreiheit (Freedom of Information, FOI) über die Anzahl der leerstehenden Immobilien im Bezirk reagierte. Das Problem bestand darin, dass sensible personenbezogene Daten, die den RBKC-Mitarbeitern verborgen waren, von dem FOI-Anforderer leicht in einer Tabelle gefunden werden konnten, wodurch der Bezirk eindeutig gegen das britische Datenschutzgesetz und dessen bevorstehenden Nachfolger GDPR verstieß.
Dieser Vorfall wirft zwei Fragen auf: Erstens, wie menschliches Versagen bei der Verwendung von Tabellenkalkulationen ein hohes Risiko für die Bemühungen eines Unternehmens um die Einhaltung der DSGVO darstellt, sobald die Verordnung am25. Mai in Kraft tritt. Mai in Kraft tritt. In diesem Fall war der Fehler das Ergebnis eines mangelnden Verständnisses der Nutzer, wie man personenbezogene Daten richtig identifiziert, verwaltet und entfernt.
Zweitens ist die manuelle Verwaltung und Überwachung von Informationen im Zusammenhang mit der Datenschutz-Grundverordnung (die sich häufig in Tabellenkalkulationen befinden) in vielen Unternehmen aufgrund ihrer schieren Menge schwierig, wenn nicht gar unmöglich. Die Komplexität vieler geschäftskritischer Tabellenkalkulationen und die Tausenden von Zellen darin bedeuten, dass die Identifizierung versteckter Daten gelinde gesagt schwierig ist.
Diese Datenschutzverletzung ist eine deutliche Erinnerung daran, dass unstrukturierte Daten, die oft in Tabellenkalkulationen gespeichert und über das gesamte Unternehmen verteilt sind, Teil der Bemühungen zur Einhaltung der DSGVO sein müssen, ähnlich wie die strukturierten Daten, die sich in den zentralen IT-Anwendungen befinden.
Gewährleistung einer nachhaltigen Einhaltung der Datenschutzgesetze
Um eine "nachhaltige" Einhaltung der DSGVO und anderer Datenschutzregelungen für die absehbare Zukunft zu gewährleisten, müssen Unternehmen unbedingt einen Verwaltungsrahmen für strukturierte und unstrukturierte DSGVO-relevante Daten einrichten, damit diese auf der Grundlage des Risikos, das sie für das Unternehmen darstellen, proaktiv verwaltet werden können.
Ein systematischer, automatisierter Ansatz stellt sicher, dass die Daten in Übereinstimmung mit der GDPR-Richtlinie des Unternehmens erfasst werden, und bietet einen prüfbaren Bescheinigungsprozess, der die Einhaltung der GDPR zu einer Selbstverständlichkeit macht. Es wird Organisationen auch die Möglichkeit geben, schnell den Anträgen auf Löschung und Datenübertragbarkeit nachzukommen, wenn eine Person dies verlangt. Entscheidend ist, dass es manuelle Eingriffe und damit menschliche Fehler minimiert, die sich als katastrophal erweisen können, wenn es um die manuelle Verwaltung und Überwachung von Tabellenkalkulationsumgebungen für Dinge wie Versionskontrolle, Änderungen und Genehmigungen, neue Datenergänzungen und Bescheinigungen geht.
Unternehmen tun gut daran, zu ermitteln, welche personenbezogenen Daten sich in ihrem Excel-Bestand befinden, und dann die notwendigen Systeme und Prozesse für den Datenschutz zu implementieren, um die Einhaltung der DSGVO zu gewährleisten. Wie in diesem Fall gezeigt, ist dies kein Luxus mehr, sondern eine Notwendigkeit.
PolicyHub entdecken
Es handelt sich um eine benutzerfreundliche Lösung für das Richtlinienmanagement, mit der Sie die Einhaltung von Vorschriften verbessern können.
