11.08.2017
Datenschutz-Grundverordnung
1. Teil: „Personenbezogene Daten orten und löschen“
Personenbezogene Daten orten und löschen
Autor: Peter Geiser, Peter Schäuble
Jemastock / Shutterstock
Unternehmen müssen künftig genau wissen, wo sensible Daten liegen. com! professional wirft einen Blick auf die Anforderungen der EU-Datenschutz-Grundverordnung GDPR.
Dieser Artikel wurde von Kasper Geiser, Geschäftsführer des Hosting-Anbieters Aspectra, und Peter Schäuble, Geschäftsführer von Eurospider, verfasst.
Die neue Datenschutz-Grundverordnung der EU (General Data Protection Regulation, GDPR) fordert, dass personenbezogene Daten auf Wunsch sofort gefunden und unter gewissen Voraussetzungen gelöscht werden. Die Unternehmen müssen deshalb künftig genau wissen, wo ihre Daten liegen, wie schützenswert diese im Einzelnen sind und wie sie verarbeitet werden. Da sich im Zeitalter von Software as a Service, Cloud-Computing und Outsourcing die Daten schnell verteilen, ist diese Kontrolle nicht leicht zu erlangen.
Überblick verschaffen
Mit der GDPR fallen deutlich mehr Daten in den Verantwortungsbereich einer Firma als bisher. Die Verordnung erfasst auch Daten, die der Inhaber intuitiv nicht zu den eigenen Daten zählt. Es ist also unausweichlich, dass sich Unternehmen eine Übersicht über ihre Daten verschaffen und diese klassifizieren. Dabei sind zumindest folgende Fragen zu klären:
- Sind die Geschäftsdaten am richtigen Ort?
- Sind sie geschützt?
- Sind alle Kopien und Speicherorte bekannt?
- Ist vollständig klar, wer Zugriff auf die Daten hat?
Daten klassifizieren
Schutzmaßnahmen lassen sich einfacher ermitteln, wenn die Daten klassifiziert sind, wenn also bestimmt wird, zu welcher Datenkategorie sie gehören. Besonders sensibel und schützenswert sind insbesondere Personendaten mit Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gesundheit oder Sexualleben. Was schützenswert ist, unterscheidet sich jedoch von Unternehmen zu Unternehmen.
Hat der Dateninhaber die Liste der Datenkategorien und deren Schutzbedarf erstellt, müssen alle zu schützenden Daten gefunden und einer Kategorie zugeordnet werden.
Daten finden
Die Herausforderung besteht darin, Personendaten über verschiedene Systeme hinweg zu finden. Dies macht den Einsatz eines E-Discovery-Systems nötig, das personenbezogene Daten schnell aufspürt. Dabei tauchen oft Daten auf, die keinen unmittelbaren Bezug zur Geschäftstätigkeit des Unternehmens aufweisen, etwa solche, die unabsichtlich aufgrund einer falschen Systemkonfiguration gesammelt wurden.
Darüber hinaus betreffen die Bestimmungen der EU-Datenschutz-Grundverordnung nicht allein die Dateninhaber, sondern auch die Datenverarbeiter. Dateninhaber wissen in der Regel, welche Daten sie zu welchem Zweck sammeln. Datenverarbeiter hingegen bearbeiten, speichern oder bewahren Daten auf, ohne sie jedoch selbst zu verwenden oder zu verändern. Beide Gruppen werden auf E-Discovery angewiesen sein.
Nur scheinbar anonym
Solche Informationen können sich an den verschiedensten Orten einnisten. Applikationsdaten, Anhänge von E-Mails, aber auch Metadaten von Dateien enthalten oft besonders schützenswerte Personendaten. Erfahrungen aus E-Discovery-Projekten zeigen, dass sich solche heiklen Daten auch in Legacy-Applikationen, in Löschordnern, in lokalen E-Mail-Archiven oder in überschriebenen Dokumenten verstecken können.
2. Teil: „Zentrale Maßnahmen“
Zentrale Maßnahmen
Die Einführung eines E-Discovery-Systems allein garantiert noch nicht, dass die Datenschutzpflichten ausreichend erfüllt werden. Im praktischen Betrieb sind die folgenden Maßnahmen von zentraler Bedeutung:
- Jede Änderung in den Datensammlungen automatisch im Suchindex aktualisieren
- Konzeptsuche nutzen
- In der Suchanfrage und in den Datensammlungen Abweichungen bei der Namensschreibweise berücksichtigen
- Digitalisierte Dokumente mit OCR (Optical Character Recognition) in maschinenlesbaren Text umwandeln
- Benutzer dürfen nur Informationen finden, für die sie die Zugriffsrechte haben
- Daten zentralisieren: Die eigenen Daten sollten auf möglichst wenige Standorte und Services verteilt sein. So verkleinert sich der Kreis der Personen und Systeme mit Zugang zu sensiblen Informationen.
Daten löschen
Mit den Daten wird täglich gearbeitet: Sie werden bearbeitet, weitergegeben oder gelöscht. Beim Löschen verschwinden die Daten aber nicht vollständig. Sie sind zwar in den jeweiligen Anwendungen nicht mehr sichtbar, doch weiterhin vorhanden. Bei einem Export der Daten kann es passieren, dass auch vermeintlich gelöschte Einträge an Drittsysteme übertragen werden: Wenn diese den Status „nicht sichtbar“ ignorieren, werden die Daten wieder sichtbar.
Noch schwieriger wird es, wenn unstrukturierte Daten etwa in Textdokumenten vorkommen. Wird ein solches Dokument gelöscht, so ist es aus Betriebssystemsicht in vielen Fällen nach wie vor auffind- und lesbar. Technisch ist also Löschen beinahe nicht möglich. Wollen sich Dateninhaber schützen, braucht man deshalb vertragliche Vereinbarungen mit dem Datenbearbeiter.
Fazit
Um die Bestimmungen der Datenschutz-Grundverordnung adäquat zu erfüllen, müssen die Dateninhaber die Übersicht über ihre Daten haben und ihre Infrastruktur den neuen Anforderungen anpassen. Denn Anfragen zu personenbezogenen Daten werden bestimmt bei ihnen eintreffen. Nur mit der richtigen Vorbereitung können Dateninhaber dann auch schnell reagieren.
In der Praxis werden Unternehmen wohl eine Programmierschnittstelle einführen, die eine automatisierte Erfüllung der Auskunftspflicht ermöglicht. Gut umgesetzt, kann der Umgang mit Personendaten sogar zu einem USP von Unternehmen werden.
Nach der Unify-Übernahme
Mitels kombinierte Portfoliostrategie
Der UCC-Spezialist Mitel bereinigt nach der Unify-Übernahme sein Portfolio – und möchte sich auf die Bereiche Hybrid Cloud-Anwendungen, Integrationsmöglichkeiten in vertikalen Branchen sowie auf den DECT-Bereich konzentrieren.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Umweltschutz
Netcloud erhält ISO 14001 Zertifizierung für Umweltmanagement
Das Schweizer ICT-Unternehmen Netcloud hat sich erstmalig im Rahmen eines Audits nach ISO 14001 zertifizieren lassen. Die ISO-Zertifizierung erkennt an wenn Unternehmen sich nachhaltigen Geschäftspraktiken verpflichten.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>