In der gesamten Europäischen Union regelt die EU-Datenschutzgrundverordnung (EU-DSGVO) bald den Umgang mit persönlichen Daten. Sie tritt im Mai 2018 in Kraft – es ist also höchste Zeit, sich mit ihren Anforderungen auseinanderzusetzen. Ziel der neuen Verordnung ist der Schutz personenbezogener Daten.
Um den Umgang mit ihnen regelkonform zu gestalten und keine Bußgelder zu riskieren, sollten sich die dafür Verantwortlichen im Unternehmen folgende sechs Fragen stellen.
1. Wie stehen meine aktuellen Maßnahmen (Richtlinien, Prozesse, Dokumentationen) zum neuen Gesetz?
Der erste Schritt ist offensichtlich, doch umfangreich zugleich, und kann bestenfalls durch IT-gestützte Methoden begleitet werden. Im Wesentlichen müssen die bisherigen Maßnahmen, die hoffentlich schon im Rahmen der bestehenden Regelungen (u.a. des Datenschutzgesetzes) umgesetzt worden sind, gegen die neuen abgeglichen werden, beziehungsweise neu implementiert werden. Dabei können Experten unterstützen, die sowohl alte als auch neue Gesetze kennen und in kurzer Zeit mit den Fachverantwortlichen im Unternehmen einen Schlachtplan entwickeln. Aus diesem werden die Handlungsanweisungen generiert, die die Arbeit an diesem Thema strukturieren.
2. Wie finde ich personenbezogene Daten?
Wichtig ist in diesem Zusammenhang, die Systeme zu identifizieren, die personenbezogene Daten verarbeiten, denn nur diese sind vom Gesetz betroffen. So einfach es auch klingen mag, bei der Suche nach personenbezogenen Daten hilft Verantwortlichen zu Beginn: nachdenken. Dabei werden ihnen interne Datenbanken, CRM-, ERP- und HR-Systeme einfallen und sie werden sich weitere Fragen stellen: „Tauschen wir personenbezogene Daten mit anderen Unternehmen aus?“, „Wo liegen Bewerbungen ab, die wir elektronisch bekommen?“ und „Enthalten unsere E-Mails personenbezogene Daten?“. Kleine und mittelständische Unternehmen finden so wahrscheinlich bereits 95 Prozent der personenbezogenen Daten. Bei der weiteren Suche hilft Software, beispielsweise Guardium aus der Security-Linie von IBM. Die Lösung durchsucht strukturiert abgelegte Daten in relationalen Datenbanken. Sie orientiert sich bei Tabellen an den Spaltenüberschriften, etwa „Namen“. Für die Erkennung weiterer personenbezogener Daten innerhalb der Datenbanken nutzt Guardium zudem eine Bibliothek mit zahlreichen Mustern, zum Beispiel Namen, Telefonnummern, IP-Adressen, und viele andere mehr. Findet sie in einer Datenbank personenbezogene Daten, weist sie darauf hin und katalogisiert diese. IBM Guardium zeigt also zunächst den Ist-Zustand an. In einem nächsten Schritt kann die Lösung die Datenbank überwachen und zum Beispiel gefundene personenbezogene Daten blockieren.
Für Daten in Email-Servern, Dateiablagen und im Enterprise Content Management führt dieser Ansatz nicht zum Ziel: zu unstrukturiert liegen die Daten vor. Stattdessen wird die Lösung IBM StoredIQ, ebenfalls von IBM, eingesetzt: Sie durchsucht über diverse Adaptoren die unterschiedlichsten Quellen und öffnet verschiedene Dateiformate, um die Inhalte nach Mustern zu durchleuchten. So findet sie personenbezogene Daten etwa in Exchange-Servern, Lotus Notes oder Sharepoint, ebenso wie in ZIP-Dateien, Textdateien und E-Mails inklusive Anhängen. Treffer protokolliert und katalogisiert das Programm. Ebenso können betroffene Dokumente in Quarantäne verschoben oder automatisiert gemeldet werden.
3. Wie separiere ich personenbezogene Daten für weitere Verarbeitung, zum Beispiel Big-Data-Analyse?
Nach diesem ersten Schritt verfügt man über einen Katalog der personenbezogenen Daten. Unter Umständen ist es notwendig, personenbezogene Daten zu separieren. Unternehmen müssen Informationen über ihre Kunden anonymisieren, wenn sie sie nach bestimmten Aspekten analysieren wollen, ohne die Vorgaben der EU-DSGVO zu verletzen und ohne die Erlaubnis aller Betroffenen einzuholen. So ist es führenden Online-Händlern beispielsweise möglich, Vorschläge wie „andere Kunden kauften auch…“ zu unterbreiten. Krankenkassen anonymisieren die Daten ihrer Versicherten, bevor sie diese EU-DSGVO-konform analysieren. So können sie etwa herausfinden, wie hoch die Wahrscheinlichkeit ist, dass ein Versicherter, der Krankheit 1 und Krankheit 2 hat, auch Krankheit 3 bekommen wird.
4. Wie lösche ich Daten EU-DSGVO-konform und protokolliere dies korrekt?
Es gibt verschiedene Gründe, personenbezogene Daten zu löschen. So können interne beziehungsweise gesetzliche Vorschriften die Löschung verlangen oder Personen fordern sie.
Die Vorgehensweise ist unterschiedlich.
Für die durchgängige Einhaltung der Vorschriften und der Dokumentation der Einhaltung eignen sich Programme für Information Lifecycle Management (ILM). In diesen werden unter anderem Verfallsdaten und Prozesse definiert, mit denen automatisiert Daten mit einem gewissen Alter gelöscht werden und darüber ein Protokoll für etwaige Nachweise erstellt wird.
Möchte dagegen eine Person, etwa ein Kunde, dass seine Daten gelöscht werden, dann umfasst diese Anfrage oft mehr als eine einzige Tätigkeit. Zudem müssen dann alle involvierten Tätigkeiten ebenfalls dokumentiert werden. Solche Anfragen lassen sich automatisiert mit einer EDV-gestützten Fallbearbeitung bearbeiten, beispielsweise mithilfe des IBM Case Managers. Diesem überträgt man den Fall. Er nimmt den Fall an, informiert die relevanten Personen und triggert die notwendigen Prozesse, bis schließlich der Kunde die gewünschte Auskunft erhält. Diese Vorgänge können soweit automatisiert werden, dass der Case Manager den Kundennamen automatisch an StoredIQ oder eine ähnliche Lösung weiterleitet. Diese sucht dann im Unternehmensdatenbestand nach Daten, Dateien, und Informationen über diesen Kunden. Dateien, die solche Informationen enthalten, werden verschoben und ein Mitarbeiter über die bevorstehende Löschung informiert. Er prüft, ob etwas gegen die Löschung spricht, etwa anderweitig verpflichtende Aufbewahrungsfristen. Ist dies nicht der Fall, stimmt er der Löschung der entsprechenden Informationen zu. Diese wird protokolliert und der Kunde erhält eine Information, welche Daten das Unternehmen über ihn vorliegen hatte, die jetzt gelöscht wurden.
5. Was passiert mit aufzubewahrenden Daten?
Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Zum Datenschutz gehört auch die Datensicherheit. Das heißt, Unternehmen müssen personenbezogene Daten mit technischen und organisatorischen Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung und Verlust schützen. Die EU-DSGVO fordert, dass sowohl der Verantwortliche, als auch der Auftragsverarbeiter dazu geeignete technische und organisatorische Maßnahmen umsetzt. Dazu sind der Stand der Technik zu berücksichtigen, aber auch die Implementierungskosten, die Art, die Umstände und der Zweck der Datenverarbeitung. Ebenfalls relevant sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten. Fazit: Aufzubewahrende Daten müssen also mithilfe der aktuell vorhandenen technischen Lösungen sicher sein gegen Bearbeitung, Veränderung, Zerstörung, Diebstahl und Verlust.
6. Wer ist für die korrekte Behandlung personenbezogener Daten verantwortlich?
Verantwortlich dafür, dass die Datenschutzgrundverordnung eingehalten wird und personenbezogene Daten richtig aufbewahrt, bearbeitet und gelöscht werden, ist die Geschäftsleitung des für die Datei verantwortlichen Unternehmens. Denn sie gibt auch Budget, Strategie und Zweck der Datenverarbeitung vor. Diese Verantwortung lässt sich nicht delegieren. Lediglich die Aufgaben, die zur Einhaltung der DSGVO dienen, können etwa an den IT-Leiter oder einen Datenschutzbeauftragten weitergegeben werden. Auch wenn ein Auftraggeber und ein Dienstleister an Daten arbeiten, bleibt die Verantwortung bei demjenigen, der Strategie und Zwecke der Verarbeitung vorgibt.
Fazit:
Für Unternehmen, die noch nicht auf die EU-DSGVO vorbereitet sind, ist es noch nicht zu spät, wenn auch höchste Zeit, anzufangen. Die verantwortlichen Führungsebenen in Unternehmen müssen dafür dringend entsprechende Budgets bereitstellen und strategische Vorgaben für die Umsetzung der DSGVO machen. Die Frage, „Setzen wir Datenschutz um, oder riskieren wir ein Bußgeld?“, stellt sich nicht mehr. Jetzt gilt es, sich einen Überblick zu verschaffen, geeignete Maßnahmen zu erarbeiten und diese mithilfe der verfügbaren, technischen Lösungen umzusetzen.
Marc Bastien, Solution Architect bei Axians IT Solutions
www.axians.de