Personenbezogene Daten restlos löschen

Die EU-Datenschutz-Grundverordnung (DSGVO) enthält  „Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“, wie es im ersten der insgesamt 99 Artikel unter der Überschrift „Gegenstand und Ziele“ heißt.

Eine der folgenreichsten Bestimmungen besagt, dass mit Inkrafttreten der DSGVO am 25. Mai 2018  Einzelpersonen von Unternehmen die Löschung all ihrer Daten verlangen dürfen. Dafür genügt bereits der Widerruf der Zustimmungserklärung.

Betroffen sind sämtliche Daten, die zu einer Einzelperson in irgendeiner Form in Beziehung stehen. Benutzer dürfen die Zustimmung entsprechend auch für einzelne Zwecke zurückziehen.

Das hat gravierende Folgen für Unternehmen: Sie müssen nämlich künftig zu jedem Zeitpunkt wissen, wo welche Daten von welcher Person gespeichert sind. Und das dürfte in vielen Fällen eine schwer zu meisternde Herausforderung sein. Man erinnere sich nur daran, wie komplex das Unterfangen für Goo­gle war, als EU-Bürgern 2014 das Recht auf Vergessenwerden zugestanden wurde – oder genauer gesagt, das Recht auf Delisting.

Vor der Internetära, als Daten in einem Karteikasten gesammelt wurden, wäre das eine simple Aufgabe gewesen. Heutzutage aber haben wir es mit einem Datenminenfeld zu tun. In den meisten Unternehmen sind Details über Einzelpersonen – oder Datensubjekte, wie es im Datenschutz heißt - über mehrere, getrennte Systeme verteilt: E-Commerce-Software, Marketing-Datenbanken, CRM-Systeme oder Abrechnungssysteme.

Ein Beispiel veranschaulicht die Schwere der Aufgabe: Einem Online-Händler widerfährt eine Datenschutzverletzung, von der viele seiner Datenbanken betroffen sind. Eine große Gruppe Kunden – oder auch Mitarbeiter – reagiert darauf äußerst verärgert. Gemeinsam stellen sie ein Auskunftsersuchen zur Datenportabilität und fordern den vollständigen Export all ihrer personenbezogenen Daten innerhalb von zwei Monaten. Das entspricht dem Zeitrahmen, den die Datenschutz-Grundverordnung vorsieht.

Angesichts der Datenmengen, die in verschiedenen IT-Systemen gespeichert sind, ist das mit der berühmten Suche einer Nadel im Heuhaufen vergleichbar. Einzelanfragen können vielleicht noch manuell von den Zuständigen in der Verwaltung und im IT-Bereich erfüllt werden. Sollten aber gleichzeitig zehn- oder hunderttausend Ersuchen eingehen, dürfte dieser Ansatz schnell an seine Grenzen stoßen.

Und auch wenn die einmalige Ausübung des Rechts auf Vergessenwerden durch einen Kunden – und damit die Entfernung seiner Daten aus allen Datenbanken – noch vergleichsweise einfach klingen mag, ist dies bei Weitem keine simple Sache. Das Marketing-Team kann den Kunden relativ leicht aus seiner Datenbank löschen. Wahrscheinlich aber existieren noch weitere Daten über diesen Kunden in anderen Systemen. Wird nun eines dieser Systeme intern geändert, können diese Kundendaten plötzlich – und unwissentlich – wieder in die Marketing-Datenbank zurückgelangen. Dies wäre zweifellos Grund genug für verärgerte Kunden, vor Gericht zu ziehen.

Verstärkt wird das Problem des Zustimmungsmanagements durch weitere wechselnde Faktoren. Zunächst einmal ist die aufsichtsrechtliche Regelung der Datenschutz-Grundverordnung noch unklar – und dies dürfte sich auch nach dem Inkrafttreten nicht so schnell ändern.

Und zweitens wurden vermutlich einige personenbezogene Daten mit Dritten geteilt und könnten noch irgendwo auf einem freigegebenen Laufwerk schlummern. Wahrscheinlich ist, dass niemand im Unternehmen das sicher ausschließen kann.

Was können Firmen nun angesichts dieser Ungewissheit tun? Die Datenschutz-Grundverordnung verlangt von Unternehmen den Nachweis, dass alle zumutbaren Maßnahmen ergriffen wurden, um die gesetzlichen Vorgaben zu erfüllen. Beunruhigend ist jedoch, dass sich laut einer aktuellen Umfrage des Datenmanagement-Spezialisten Veritas Technologies bislang lediglich zwei Prozent der Unternehmen umfassend auf die Datenschutz-Grundverordnung vorbereitet haben.

Einige große Unternehmen haben teure Berater hinzugezogen, um eine manuelle Datenzuordnung – ein sogenanntes Data Mapping – vorzunehmen. Dies mag ein sinnvoller erster Schritt sein. Doch von einem nachhaltigen Ansatz kann nicht gesprochen werden, da das Ergebnis als statische Dokumentation etwa in Form von PDF-Dateien vorliegt. Ändert sich nun die Zustimmung oder wird ein Antrag auf Daten­export gestellt, muss diese Dokumentation jedes Mal mit großem zeitlichen Aufwand manuell gesichtet werden. Dadurch wird die Anpassung an wechselnde Vorschriften schwierig und kost­spielig.

Den meisten Unternehmen fehlt es derzeit an Einblick, weil sie kein Data Mapping vorgenommen haben oder an statische PDFs mit Datenzuordnungen gebunden sind, die schon nächste Woche nicht mehr aktuell sein dürften. Um dieses Dilemma anzugehen, entscheiden sich viele Unternehmen deshalb für einen automatisierten Ansatz.

Hier kommt ein sogenanntes Consent Management Hub ins Spiel, das als Zentrale für das Zustimmungsmanagement fungiert. Man kann sich das als eine Art digitales Hochleistungs-Rolodex oder einen digitalen Karteikasten vorstellen. Im Wesentlichen handelt es sich um einen sicheren, skalierbaren Metadaten-Speicher, mit dem man aktiv die Ergebnisse jedes Data Mappings verwalten kann. Man erhält damit eine Möglichkeit, die operativen Aspekte des Zustimmungsmanagements zu automatisieren.

Kundenverträge, Nutzungsbedingungen für Webseiten und sämtliche personenbezogenen Daten können zum Hub hinzugefügt, durchsucht und abgefragt werden. So ist einfach zu sehen, wo die Zustimmung von Einzelpersonen eingeholt wurde. Haben Datenschutzbeauftragte die Lücken beim Stand der Zustimmung erkannt, können weitere Zustimmungen eingeholt und die gespeicherten Metadaten entsprechend aktualisiert werden.

Von der IT-Architektur her ist eine Enterprise-NoSQL-Datenbank die beste Option, um ein Consent Management Hub aufzubauen. Denn so eine Lösung kommt mit unterschiedlichsten Daten zurecht. Relationale Datenbanken sind großen Volumen unstrukturierter Daten nicht gewachsen: Wird das Schema geändert, bedeutet das kostspielige Überarbeitungen, die sich über Monate hinziehen können. Data Lakes sind keine sinnvolle Alternative, weil sie offen und vom Design her unsicher sind. Beim Datenmanagement ist eine sichere Plattform ein Muss. Für diese Lektion haben genügend Unternehmen viel Lehrgeld zahlen müssen. 

Ein Consent Management Hub bietet zudem eine weitaus größere Datenagilität, da es unstrukturierte Daten wie JPGs, PDFs oder Word-Dateien und strukturierte Daten handhaben kann. Auch mehrere Datenabfragen sind kein Problem, beispielsweise das Finden aller System­eigentümer eines bestimmten Datensatzes oder bestimmter Arten von Daten oder aller Kundenzustimmungen nach Region. Auch lassen sich Trends bei der Zustimmung anzeigen, zum Beispiel ob im Lauf der Zeit mehr oder weniger Zustimmungen erteilt wurden.

Enterprise-NoSQL-Datenbanken können auch an Änderungen der Datenschutz-Grundverordnung und anderen Vorschriften angepasst werden. Der Vorteil ist, dass das Schema innerhalb von Tagen geändert oder ergänzt werden kann.

Angesichts der baldigen Einführung der DSGVO wiegt das Risiko, auf ein Consent Management Hub zu verzichten, sicherlich schwerer als die Kosten. Dazu kommt, dass das Mapping dieser Daten für regulatorische Zwecke eine perfekte Vorbereitung ist auf neue, wertschöpfende Leistungsangebote. Schließlich lässt sich dank der flexiblen Integration sämt­licher Kundendaten der dazu nötige Einblick gewinnen. Unternehmen sollten in der DSGVO also nicht nur eine Belastung, sondern auch eine Chance sehen.