bluedesign - Fotolia

Datenschutz-Grundverordnung: Das kommt auf Sie zu

Die Datenschutz-Grundverordnung (DSGVO) stellt Unternehmen vor große Herausforderung. Stellen Sie sich jetzt schon darauf ein, den Anforderungen an den Datenschutz gerecht zu werden.

Stellen Sie sich einen sonnigen Morgen im Juni 2018 vor. Ein Benutzer Ihrer Website, Anwendung oder Ihres Onlinediensts kommt zu Ihnen oder sendet Ihnen wohl eher eine E-Mail oder einen Brief, und beruft sich auf Art. 17 der soeben in Kraft getretenen EU-Datenschutz-Grundverordnung (DSGVO/GDPR), um sein Recht auf Löschung, auch bekannt als das Recht, vergessen zu werden, einzufordern.

Einfach ausgedrückt verlangt dieser Kunde, dass Sie als Datenverantwortlicher alle seine persönlichen Informationen, die sich in Ihrem Besitz befinden, bis hin zur letzten binären 1 und 0 löschen. Warum, fragen Sie sich? Das muss Ihnen niemand sagen, also ist es eigentlich auch egal.

Was aber nicht egal ist, ist die Tatsache, dass Sie ohne ungebührliche Verzögerung und ohne Kosten für die anfordernde Person der Aufforderung nachkommen müssen. Das bedeutet ganz konkret, dass Sie alle ihre persönlichen Daten löschen müssen, ganz gleich, wo sie sich befinden: in Dateien, in Datenbanken, in replizierten Kopien, in Backup-Kopien und natürlich auch in archivierten Kopien – kurzum, Sie müssen Ihr gesamtes System durchforsten.

Und Sie müssen glaubhaft belegen können, dass Sie der Aufforderung nachgekommen sind. Wenn Sie die Daten dieser Person jemals an ein anderes Unternehmen oder eine andere Einrichtung weitergeleitet haben, liegt es an Ihnen, diese zu kontaktieren und die Löschanforderung weiterzugeben.

Herzlich willkommen in einer Welt, in der der Datenschutz bis ins Detail reguliert ist. Die DSGVO nimmt die Datenverantwortlichen in die Pflicht und definiert sie als „die natürliche oder juristische Person, die für die Aufbewahrung und Nutzung von persönlichen Informationen auf Computern oder in strukturierten manuellen Akten zuständig ist und diese kontrolliert.“ Richtig, damit ist Ihre IT-Abteilung gemeint.

Neben dem Recht, vergessen zu werden, beschränkt Art. 17 die Verwendung von persönlichen Daten auf den ursprünglichen Zweck, für die sie erhoben wurden. Wenn Sie diese Daten irgendwann auf andere Art verwenden oder verarbeiten möchten, benötigen Sie die erneute, klare Zustimmung der jeweiligen Person.

Das sind angsteinflößende Aussichten. Eine genauere Betrachtung macht klar, wie schwerwiegend und teuer die Folgen sein können.

Einhalten der DSGVO

Zunächst einmal sollten Sie wissen, dass die DSGVO definitiv eine globale Reichweite haben wird. Es ist irrelevant, wo Daten gespeichert sind oder wo sich Ihr Unternehmen befindet. Falls das „Datensubjekt“ seinen Wohnsitz in der EU hat, gilt die DSGVO und damit der Art. 17.

Übrigens sind mit „Ohne ungebührliche Verzögerung“ Tage, nicht Monate gemeint. Keine Ausrede, Begründung oder Verteidigung ist akzeptabel, wenn es darum geht, dass die Löschaufforderung eines EU-Bürgers nicht erfüllt wurde.

Jede Instanz und alle Kopien ihrer personenbezogenen Daten, die sich in Ihrem Besitz befinden, müssen vernichtet werden – und das schnell. Dabei ist es egal, dass im Augenblick die meisten Unternehmen niemals jede einzelne Instanz finden könnten, selbst wenn das Fortbestehen ihres Unternehmens davon abhinge. Und das könnte tatsächlich der Fall sein. 

Einhalten oder bezahlen

Es ist nicht übertrieben, zu sagen, dass es in der IT bisher nur selten Strafzahlungen solchen Ausmaßes gegeben hat. Wenn Sie die Daten einer einzigen Person nicht löschen, können bis zu vier Prozent Ihres Jahresumsatzes oder 20 Millionen EUR fällig werden. Je nachdem, welcher Betrag größer ist.

Ein weiteres Beispiel: Wenn Sie nicht belegen können, dass Sie die Daten des Anforderernden gelöscht haben, beträgt die Strafe zwei Prozent Ihres Umsatzes oder zehn Millionen EUR. Es ist also nicht verwunderlich, dass die IT unter Druck steht, robuste Löschungs- und Verifizierungssysteme einzuführen.

Und um alles noch schlimmer zu machen, wird die DSGVO nicht etwa schrittweise eingeführt werden, sondern am Stichtag 28. Mai 2018. Es gibt auch keine Schonfrist. Daher sollen Unternehmen am besten bereits dabei sein, eine Compliance-Strategie zu entwickeln und umzusetzen.

Das „Recht auf Löschung“ umsetzen

Bevor Sie die persönlichen Daten von jemandem löschen können, müssen Sie wissen, wo sich alle Instanzen davon befinden. Aber wie soll das gehen?

Wenn die Informationen sich in einer Datenbank befinden, muss man wissen, wie viele Kopien es davon gibt und wo sie sich befinden. Persönliche Informationen sind auch in Systemen wie CRM und Marketing-Automatisierungslösungen gespeichert, die über eigene Datenbanken verfügen.

Und diese Informationen finden häufig wie von Zauberhand ihren Weg in die unterschiedlichsten PowerPoint-Präsentationen, Spreadsheets, Word-Dokumente und so weiter. 

Die IT muss darüber Bescheid wissen und die Daten an allen ihren Speicherorten schnell finden können. Das Problem ist nur, dass heutige Infrastrukturen und Anwendungen nicht für universelle Indexierung und Durchsuchbarkeit konzipiert sind.

Und dann gibt es auch noch Archivierungssysteme. Stellen Sie sich nur mal vor, wie es ist, per Hand einen Raum voller verstaubter Magnetbänder zu durchsuchen, um jede einzelne Instanz der Daten eines einzigen Kunden zu finden. Dieser Albtraum würde jeden IT-Leiter dazu bringen, den Beruf zu wechseln.

Es ist auch keine Überraschung, dass es noch keine allgemein akzeptierte und weitverbreitete DSGVO-Lösung gibt. Die Wirtschaft arbeitet daran. Es ist ein notwendiges, aber komplexes und teures Unterfangen, das im Gegenzug keinerlei Umsätze generiert.

Ironischerweise verkomplizieren einige wichtige digitale Innovationen die Umsetzung von Art. 17 sogar noch weiter. So zum Beispiel mobile Geschäftsanwendungen.

Denken Sie beispielsweise an einen Schadenssachverständigen, der solch eine Anwendung auf einem Smartphone hat und Fotos von einem beschädigten Haus macht und sie gemeinsam mit dem Namen und den Kontaktinformationen der Eigentümer, dem Immobilienwert und anderen Details speichert.

Mit einem Klick wird die gesamte Aufzeichnung auf seinen Laptop geladen und werden Kopien an unterschiedliche Systeme zur Schadensbearbeitung geschickt. In den Wochen darauf werden Gutachten, Rechnungen und andere Folgedokumente eingescannt und hinzugefügt.

Paul Turner, Scality

„Es ist auch keine Überraschung, dass es noch keine allgemein akzeptierte und weitverbreitete DSGVO-Lösung gibt. Die Wirtschaft arbeitet daran.“

Paul Turner, Scality

Und falls der Hauseigentümer dann irgendwann einmal „vergessen“ werden möchte, müssen alle diese Daten überall gelöscht werden, unter anderem auch auf dem Smartphone des Sachverständigen.

Nutzen Sie IT-Angebote von Dritten für Cloud-Dienste oder andere Funktionen? Wenn ja, können Sie schon einmal beginnen, das Rätsel mit dem Namen Art. 17 zu lösen. Wenn Sie für irgendetwas Drittanbieter nutzen, müssen Sie sicherstellen, dass Sie verstehen, was diese tun, da Sie von nun an gemeinsam haften.

Selbst, wenn Sie dieser Dritter sind, könnten Sie ernsthafte Probleme bekommen, wenn jemand persönliche Daten auf Ihren Systemen speichert und Sie sich Ihrer Rolle in diesem Spiel nicht bewusst sind.

Abstürzende Festplattenpreise haben ein weiteres Paradoxon geschaffen: Es ist billiger geworden, alle Daten für immer zu speichern, als sie regelmäßig durchzugehen und zu sortieren.

Wenn Art. 17 der DSGVO in Kraft tritt, müssen Sie in der Lage sein, übervolle Repositories zu durchsuchen, um sehr spezifische Daten finden und löschen zu können – und das auf Zuruf.

Aktuell werden zahlreiche Compliance-Strategien vorgeschlagen und bewertet, so zum Beispiel die Verschlüsselung von persönlichen Daten mit individuellen Schlüsseln. Anwendungsbasierte Techniken ziehen jedoch nachgelagerte Probleme nach sich. Strategien auf Speicherebenen tun das nicht.

Über den Autor:
Paul Turner ist Chief Marketing Officer bei Scality.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

EU-Datenschutz: Status personenbezogener Daten häufig unklar

Mit Tools personenbezogene Daten aufspüren

DSGVO: Werkzeuge für mehr Datentransparenz

Artikel wurde zuletzt im Dezember 2017 aktualisiert

Erfahren Sie mehr über Gesetzeskonforme Datenspeicherung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close