Personenbezogene Daten orten und löschen

Die neue Datenschutz-Grundverordnung der EU (General Data Protection Regulation, GDPR) fordert, dass personenbezogene Daten auf Wunsch sofort gefunden und unter gewissen Voraussetzungen gelöscht werden. Die Unternehmen müssen deshalb künftig genau wissen, wo ihre Daten liegen, wie schützenswert diese im Einzelnen sind und wie sie verarbeitet werden. Da sich im Zeitalter von Software as a Service, Cloud-Computing und Outsourcing die Daten schnell verteilen, ist diese Kontrolle nicht leicht zu erlangen.

Mit der GDPR fallen deutlich mehr Daten in den Verantwortungsbereich einer Firma als bisher. Die Verordnung erfasst auch Daten, die der Inhaber intuitiv nicht zu den eigenen Daten zählt. Es ist also unausweichlich, dass sich Unternehmen eine Übersicht über ihre Daten verschaffen und diese klassifizieren. Dabei sind zumindest folgende Fragen zu klären:

Schutzmaßnahmen lassen sich einfacher ermitteln, wenn die Daten klassifiziert sind, wenn also bestimmt wird, zu welcher Datenkategorie sie gehören. Besonders sensibel und schützenswert sind insbesondere Personendaten mit Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gesundheit oder Sexualleben. Was schützenswert ist, unterscheidet sich jedoch von Unternehmen zu Unternehmen.

Hat der Dateninhaber die Liste der Datenkategorien und deren Schutzbedarf erstellt, müssen alle zu schützenden Daten gefunden und einer Kategorie zugeordnet werden.

Die Herausforderung besteht darin, Personendaten über verschiedene Systeme hinweg zu finden. Dies macht den Einsatz eines E-Discovery-Systems nötig, das personenbezogene Daten schnell aufspürt. Dabei tauchen oft Daten auf, die keinen unmittelbaren Bezug zur Geschäftstätigkeit des Unternehmens aufweisen, etwa solche, die unabsichtlich aufgrund einer falschen Systemkonfiguration gesammelt wurden.

Darüber hinaus betreffen die Bestimmungen der EU-Datenschutz-Grundverordnung nicht allein die Dateninhaber, sondern auch die Datenverarbeiter. Dateninhaber wissen in der Regel, welche Daten sie zu welchem Zweck sammeln. Datenverarbeiter hingegen bearbeiten, speichern oder bewahren Daten auf, ohne sie jedoch selbst zu verwenden oder zu verändern. Beide Gruppen werden auf E-Discovery angewiesen sein.

Die Gesetzgebung beschäftigt sich auch mit dem Problem des  Profilings. Als Profiling gilt jede Auswertung von Daten, die das Ziel hat, wesentliche persönliche Merkmale zu analysieren oder Entwicklungen vorherzusagen, etwa bezüglich der Arbeitsleistung oder der Gesundheit. Bei diesem Vorgehen reichert ein Programm ursprünglich anonymisierte Daten mit externen Informationen an und ermöglicht so den Rückschluss auf eine Person. Dadurch macht Profiling den Daten­bestand, für den ein Unternehmen zuständig ist, wesentlich größer.

Solche Informationen können sich an den verschiedensten Orten einnisten. Applikationsdaten, Anhänge von E-Mails, aber auch Metadaten von Dateien enthalten oft besonders schützenswerte Personendaten. Erfahrungen aus E-Discovery-Projekten zeigen, dass sich solche heiklen Daten auch in Legacy-Applikationen, in Löschordnern, in lokalen E-Mail-Archiven oder in überschriebenen Dokumenten verstecken können.

Die Einführung eines E-Discovery-Systems allein garantiert noch nicht, dass die Datenschutzpflichten ausreichend erfüllt werden. Im praktischen Betrieb sind die folgenden Maßnahmen von zentraler Bedeutung:

Mit den Daten wird täglich gearbeitet: Sie werden bearbeitet, weitergegeben oder gelöscht. Beim Löschen verschwinden die Daten aber nicht vollständig. Sie sind zwar in den jeweiligen Anwendungen nicht mehr sichtbar, doch weiterhin vorhanden. Bei einem Export der Daten kann es passieren, dass auch vermeintlich gelöschte Einträge an Dritt­systeme übertragen werden: Wenn diese den Status „nicht sichtbar“ ignorieren, werden die Daten wieder sichtbar.

Noch schwieriger wird es, wenn unstrukturierte Daten etwa in Textdokumenten vorkommen. Wird ein solches Dokument gelöscht, so ist es aus Betriebssystemsicht in vielen Fällen nach wie vor auffind- und lesbar. Technisch ist also Löschen beinahe nicht möglich. Wollen sich Dateninhaber schützen, braucht man deshalb vertragliche Vereinbarungen mit dem Datenbearbeiter.

Um die Bestimmungen der Datenschutz-Grundverordnung adäquat zu erfüllen, müssen die Dateninhaber die Übersicht über ihre Daten haben und ihre Infrastruktur den neuen Anforderungen anpassen. Denn Anfragen zu per­sonenbezoge­nen Daten werden bestimmt bei ihnen eintreffen. Nur mit der richtigen Vorbereitung können Dateninhaber dann auch schnell reagieren.

In der Praxis werden Unternehmen wohl eine Programmierschnittstelle einführen, die eine automatisierte Erfüllung der Auskunftspflicht ermöglicht. Gut umgesetzt, kann der Umgang mit Personendaten sogar zu einem USP von Unternehmen werden.