Datenschutz-Compliance
Spreadsheets und andere Endbenutzer-Computing-Anwendungen werden häufig für die Verarbeitung und Speicherung personenbezogener Daten genutzt, was sie zu einem Compliance-Risiko im Hinblick auf die EU-DSGVO und andere Vorschriften macht.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Das Gesetz regelt den Datenschutz und die Privatsphäre von EU-Bürger:innen und zielt darauf ab, die Kontrolle über personenbezogene Daten wieder den Einzelpersonen zu übertragen. Die Strafen für die Nichteinhaltung der DSGVO können je nach Größe der Organisation erheblich sein.
Die DSGVO legt sieben Grundprinzipien fest, die dem Umgang jeder Organisation mit personenbezogenen Daten zugrunde liegen sollten:
- Rechtmäßigkeit, Fairness und Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit (Sicherheit)
- Rechenschaftspflicht

Sind Spreadsheets DSGVO-konform?
Stellen EUCs, wie beispielsweise Spreadsheets, ein Compliance-Risiko im Rahmen der DSGVO dar?
Ja. EUCs werden häufig zur Datenspeicherung und -verarbeitung genutzt, sodass es unvermeidlich ist, dass DSGVO-relevante Daten in einem Spreadsheet oder einer Access-Datenbank landen.
Unternehmenssysteme sind in der Regel unflexibel, wenn es darum geht, den vielfältigen Anforderungen verschiedener Nutzer:innen und Gruppen gerecht zu werden, insbesondere da sich diese im Laufe der Zeit ändern. Ein großer Anteil der Nutzer:innen aus unterschiedlichen Funktionsbereichen exportiert Daten aus Finanz-, HR- und Projektmanagementsystemen und speichert diese in einem oder mehreren Spreadsheets, um sie weiterzuverarbeiten. In diesem Moment verlassen die Daten streng kontrollierte und sichere Unternehmenssysteme und gelangen in eine Umgebung, in der gemeinsame Nutzung weit verbreitet ist und Kontrollen nur begrenzt vorhanden sind.
Wie kontrollieren Sie das EUC-Risiko?
Vor diesem Hintergrund besteht für Unternehmen ein erhöhtes Risiko, gegen die Vorgaben der DSGVO und anderer Datenschutzgesetze zu verstoßen. Unternehmen werden in absehbarer Zeit nicht aufhören, Spreadsheets oder andere EUCs zu nutzen, und Endbenutzer:innen halten sich heute nicht stärker an Unternehmensrichtlinien als vor Inkrafttreten der DSGVO. Es besteht daher ein wachsender Bedarf an einer zuverlässigen und effektiven Methode, um Risiken der Nichteinhaltung zu identifizieren und zu reduzieren, während gleichzeitig die Effizienz und der Nutzen von EUCs in Geschäftsprozessen erhalten bleiben.
Was können Sie tun, um die Daten in EUCs unter Kontrolle zu bringen? Es ist wichtig zu verstehen, dass die DSGVO nicht darauf abzielt, die Speicherung personenbezogener Daten zu verhindern. Vielmehr verlangt sie, dass Unternehmen jederzeit die Kontrolle darüber behalten. Unternehmen müssen:

- Sicherstellen, dass die Datenschutzrichtlinie Spreadsheets und andere EUCs abdeckt
Datenschutz-, Governance-, Risiko- und Compliance-Teams sowie weitere Stakeholder müssen sicherstellen, dass ihre Datenschutzrichtlinien auch Endbenutzer-Computing-Anwendungen (EUC) umfassen. - Inventar identifizieren
EUCs sind häufig schwer sichtbar und lassen sich leicht und unnötig duplizieren. Unternehmen sollten daher alle EUCs in gemeinsam genutzten und breit zugänglichen Speicherorten identifizieren und ein entsprechendes Inventar erstellen. - Inhalte analysieren
Analysieren Sie Inhalte, um festzustellen, ob personenbezogene oder sensible Daten verarbeitet werden. Falls dies der Fall ist, sollte geklärt werden, ob es sich um eine einmalige Datenspeicherung handelt oder ob die Daten regelmäßig und wiederholt genutzt werden. - Kritikalität bewerten
EUCs sind ein wesentlicher Bestandteil vieler Geschäftsprozesse und oft schwer oder gar nicht zu ersetzen. Unternehmen müssen Zweck und Nutzung bewerten, um ein angemessenes Maß an Kontrolle und Überwachung sicherzustellen. - Änderungen nachverfolgen, verwalten und überprüfen
Langfristig sollten Unternehmen sicherstellen, dass kritische EUCs einer Versionskontrolle unterliegen und Transparenz über Inhaltsänderungen besteht. EUCs sollten regelmäßig überprüft werden, um sicherzustellen, dass Änderungen nachvollziehbar sind und die Anwendungen weiterhin wie vorgesehen funktionieren.
Wie unterstützt Apparity die EUC-Governance?
Die meisten Vorschriften basieren auf gemeinsamen Grundprinzipien, die sicherstellen sollen, dass Unternehmen jederzeit die Kontrolle über ihre Daten und Verarbeitungsprozesse behalten, um Risiken zu minimieren. Die Apparity-Plattform mit ihren Modulen Discovery, Registration und Active Management unterstützt Unternehmen bei der Umsetzung einer effektiven EUC-Governance und -Kontrolle.
Dank ihrer hohen Konfigurierbarkeit lässt sich die Plattform optimal an die spezifischen Richtlinien- und Prozessanforderungen von Branchen sowie staatlichen Aufsichtsbehörden anpassen.
Discovery-Modul
- Automatisierte Lösung zur Identifizierung, Katalogisierung und Analyse von EUCs.
- Gruppiert verwandte Dateien intelligent, um EUCs zu identifizieren, die für die wiederholte Speicherung sensibler Daten verantwortlich sein könnten.
- Erkennt Datenbankverbindungen, die von Spreadsheets hergestellt werden, und ermöglicht es Unternehmen, externe Datenquellen besser zu verstehen.
- Aktualisiert das Apparity Inventory Management System (AIMS) automatisch mit den Ergebnissen der Identifizierung.
Registration-Modul
- Das Registration-Modul ermöglicht es dem Governance-Team, ein Bewertungsformular zu erstellen, mit dem Endbenutzer:innen die Kritikalität und den Zweck der EUCs bewerten können, für die sie verantwortlich sind.
- Auf Basis dieses Prozesses wird automatisch bestimmt, welches Maß an Kontrolle einem EUC zugewiesen werden sollte.
- In Kombination mit Discovery unterstützt der Registrierungsprozess AIMS dabei, eine vollständige, präzise und aktuelle Übersicht aller EUCs zu führen, die ein DSGVO-Risiko darstellen.
Active-Management-Modul
- Alle Spreadsheets und Access-Datenbanken, die als besonders risikoreich eingestuft werden, können einer kontinuierlichen Überwachung unterzogen werden, einschließlich Echtzeit-Nachverfolgung sowie Versions- und Änderungsmanagement.
- Das Active-Management-Modul von Apparity ermöglicht es Unternehmen, jede wesentliche Änderung an risikoreichen Spreadsheets oder Access-Datenbanken zu erfassen und einen bedarfsgesteuerten Prüf- und Genehmigungsworkflow umzusetzen, der eng mit den Anforderungen der EUC-Richtlinie verknüpft ist.
- Bei bestimmten EUCs wie Spreadsheets stellt die „Fingerprinting“-Technologie sicher, dass alle Kopien und sensiblen Inhalte nachverfolgt werden – unabhängig davon, wo Endbenutzer:innen diese speichern, verschieben oder umbenennen.





