EU-DSGVO: Sechs Fragen zu personenbezogenen Daten

Im Mai 2018 tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft und regelt in der gesamten Europäischen Union den Umgang mit persönlichen Daten: Höchste Zeit, sich mit ihren Anforderungen auseinanderzusetzen. Im Zentrum der neuen Verordnung steht der Schutz personenbezogener Daten. Um den Umgang mit ihnen regelkonform zu gestalten und somit keine Bußgelder zu riskieren, müssen sich Unternehmen folgende sechs Fragen stellen.

1. Wie stehen aktuelle Datenschutz-Maßnahmen (Richtlinien, Prozesse, Dokumentationen) meines Unternehmens zum neuen Gesetz?

Den Status quo der Datenschutz-Maßnahmen im eigenen Unternehmen zu ermitteln ist der erste und offensichtliche Schritt. Jedoch ist er zugleich sehr umfangreich und kann bestenfalls durch IT-gestützte Methoden begleitet werden. Im Wesentlichen müssen die bisherigen Maßnahmen, die hoffentlich schon im Rahmen der bestehenden Regelungen, unter anderem des Datenschutzgesetzes, umgesetzt worden sind, gegen die neuen abgeglichen beziehungsweise neu implementiert werden. Dabei können Experten unterstützen, die sowohl alte als auch neue Gesetze kennen und in kurzer Zeit mit den Fachverantwortlichen im Unternehmen einen Schlachtplan entwickeln. Aus diesem werden die Handlungsanweisungen generiert, die die Arbeit an diesem Thema strukturieren.

2. Wie finde ich personenbezogene Daten im Unternehmen?

Um personenbezogene Daten überhaupt vollumfänglich ausmachen zu können, ist es wichtig, die Systeme zu identifizieren, die personenbezogene Daten verarbeiten. Denn nur sie sind vom Gesetz betroffen. So einfach es auch klingen mag, bei der Suche nach personenbezogenen Daten hilft Verantwortlichen zu Beginn: nachdenken. Dabei werden ihnen interne Datenbanken, CRM-, ERP- und HR-Systeme einfallen und sie werden sich weitere Fragen stellen: „Tauschen wir personenbezogene Daten mit anderen Unternehmen aus?“, „Wo liegen Bewerbungen ab, die wir elektronisch bekommen?“ und „Enthalten unsere E-Mails personenbezogene Daten?“. Kleine und mittelständische Unternehmen finden so wahrscheinlich bereits 95 Prozent der personenbezogenen Daten. Bei der weiteren Suche hilft Software, beispielsweise Guardium aus der Security-Linie von IBM. Die Lösung durchsucht strukturiert abgelegte Daten in relationalen Datenbanken. Sie orientiert sich bei Tabellen an den Spaltenüberschriften, etwa „Namen“. Für die Erkennung weiterer personenbezogener Daten innerhalb der Datenbanken nutzt Guardium zudem eine Bibliothek mit zahlreichen Mustern, zum Beispiel Namen, Telefonnummern, IP-Adressen, und viele andere mehr. Findet sie in einer Datenbank personenbezogene Daten, weist sie darauf hin und katalogisiert diese. IBM Guardium zeigt also zunächst den Ist-Zustand an. In einem nächsten Schritt kann die Lösung die Datenbank überwachen und zum Beispiel gefundene personenbezogene Daten blockieren.

Für Daten in Email-Servern, Dateiablagen und im Enterprise Content Management führt dieser Ansatz nicht zum Ziel, denn die Daten liegen zu unstrukturiert vor. Stattdessen wird die Lösung IBM StoredIQ, ebenfalls von IBM, eingesetzt: Sie durchsucht über diverse Adaptoren die unterschiedlichsten Quellen und öffnet verschiedene Dateiformate, um die Inhalte nach Mustern zu durchleuchten. So findet sie personenbezogene Daten etwa in Exchange-Servern, Lotus Notes oder Sharepoint, ebenso wie in ZIP-Dateien, Textdateien und E-Mails inklusive Anhängen. Treffer protokolliert und katalogisiert das Programm. Ebenso können betroffene Dokumente in Quarantäne verschoben oder automatisiert gemeldet werden.

3. Wie separiere ich personenbezogene Daten für die weitere Verarbeitung, etwa für Big-Data-Analysen?

Nach diesem ersten Schritt verfügt man über einen Katalog der personenbezogenen Daten. Unter Umständen ist es notwendig, personenbezogene Daten zu separieren. Unternehmen müssen Informationen über ihre Kunden anonymisieren, wenn sie sie nach bestimmten Aspekten analysieren wollen, ohne die Vorgaben der EU-DSGVO zu verletzen und ohne die Erlaubnis aller Betroffenen einzuholen. So ist es führenden Online-Händlern beispielsweise möglich, Vorschläge wie „andere Kunden kauften auch…“ zu unterbreiten. Krankenkassen anonymisieren die Daten ihrer Versicherten, bevor sie diese EU-DSGVO-konform analysieren. So können sie etwa herausfinden, wie hoch die Wahrscheinlichkeit ist, dass ein Versicherter, der Krankheit 1 und Krankheit 2 hat, auch Krankheit 3 bekommen wird.

4. Wie lösche ich Daten DSGVO-konform und protokolliere dies korrekt?

Es gibt verschiedene Gründe, personenbezogene Daten zu löschen. So können interne oder gesetzliche Vorschriften die Löschung verlangen. Auch Personen können sie fordern. Die Vorgehensweisen dazu sind unterschiedlich. Für die durchgängige Einhaltung der Vorschriften und die entsprechende Dokumentation der Einhaltung eignen sich Programme für Information Lifecycle Management (ILM). In diesen werden unter anderem Verfallsdaten und Prozesse definiert, mit denen automatisiert Daten mit einem gewissen Alter gelöscht werden und darüber ein Protokoll für etwaige Nachweise erstellt wird.

Möchte eine Person, etwa ein Kunde, dass seine Daten gelöscht werden, dann umfasst diese Anfrage oft mehr als eine einzige Tätigkeit. Zudem müssen dann alle involvierten Tätigkeiten ebenfalls dokumentiert werden. Solche Anfragen lassen sich automatisiert mit einer EDV-gestützten Fallbearbeitung bearbeiten, beispielsweise mithilfe des IBM Case Managers. Diesem überträgt man den Fall. Er nimmt den Fall an, informiert die relevanten Personen und triggert die notwendigen Prozesse, bis schließlich der Kunde die gewünschte Auskunft erhält. Diese Vorgänge können soweit automatisiert werden, dass der Case Manager den Kundennamen automatisch an StoredIQ oder eine ähnliche Lösung weiterleitet. Diese sucht dann im Unternehmensdatenbestand nach Daten, Dateien, und Informationen über diesen Kunden. Dateien, die solche Informationen enthalten, werden verschoben und ein Mitarbeiter über die bevorstehende Löschung informiert. Er prüft, ob etwas gegen die Löschung spricht, etwa anderweitig verpflichtende Aufbewahrungsfristen. Ist dies nicht der Fall, stimmt er der Löschung der entsprechenden Informationen zu. Diese wird protokolliert und der Kunde erhält eine Information, welche Daten das Unternehmen über ihn vorliegen hatte, die jetzt gelöscht wurden.

5. Wie behandle ich aufzubewahrende Daten?

Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Zum Datenschutz gehört auch die Datensicherheit. Das heißt, Unternehmen müssen personenbezogene Daten mit technischen und organisatorischen Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung und Verlust schützen. Die EU-DSGVO fordert, dass sowohl der Verantwortliche, als auch der Auftragsverarbeiter dazu geeignete technische und organisatorische Maßnahmen umsetzt. Dazu sind der Stand der Technik zu berücksichtigen, aber auch die Implementierungskosten, die Art, die Umstände und der Zweck der Datenverarbeitung. Ebenfalls relevant sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten. Fazit: Aufzubewahrende Daten müssen also mithilfe der aktuell vorhandenen technischen Lösungen sicher sein gegen Bearbeitung, Veränderung, Zerstörung, Diebstahl und Verlust.

6. Wer ist für den Umgang mit personenbezogenen Daten verantwortlich?

Verantwortlich dafür, dass die Datenschutzgrundverordnung eingehalten wird und personenbezogene Daten richtig aufbewahrt, bearbeitet und gelöscht werden, ist die Geschäftsleitung des für die Datei verantwortlichen Unternehmens. Denn sie gibt auch Budget, Strategie und Zweck der Datenverarbeitung vor. Diese Verantwortung lässt sich nicht delegieren. Lediglich die Aufgaben, die zur Einhaltung der DSGVO dienen, können etwa an den IT-Leiter oder einen Datenschutzbeauftragten weitergegeben werden. Auch wenn ein Auftraggeber und ein Dienstleister an Daten arbeiten, bleibt die Verantwortung bei demjenigen, der Strategie und Zwecke der Verarbeitung vorgibt.

Ausblick:

Für Unternehmen, die noch nicht auf die EU-DSGVO vorbereitet sind, ist es noch nicht zu spät, wenn auch höchste Zeit, anzufangen. Die verantwortlichen Führungsebenen in Unternehmen müssen dafür dringend entsprechende Budgets bereitstellen und strategische Vorgaben für die Umsetzung der DSGVO machen. Die Frage, „Setzen wir Datenschutz um oder riskieren wir ein Bußgeld?“, stellt sich nicht mehr. Jetzt gilt es, sich einen Überblick zu verschaffen, geeignete Maßnahmen zu erarbeiten und diese mithilfe der verfügbaren, technischen Lösungen umzusetzen.

Diesen Beitrag kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.