mixmagic - stock.adobe.com
Wie man personenbezogene Daten und DSGVO richtig verwaltet
Personenbezogene Daten müssen laut EU-Datenschutz-Grundverordnung gelöscht werden, wenn Kunden dies verlangen. Eine Herausforderung für Datenmanager.
Unternehmen, die in der Europäischen Union tätig sind, müssen sich mit dem Recht auf Vergessenwerden befassen. Dieses Recht ist Bestandteil der EU-Datenschutz-Grundverordnung (EU-DSGVO) beziehungsweise General Data Protection Regulation (GDPR). Wird dieses Recht nicht eingehalten, drohen hohe Bußgelder.
Der zentrale Kernpunkt des Rechts auf Vergessen sind personenbezogenen Daten (Personally Identificable Information, kurz: PII). Die Regularien der DSGVO erweitern die Definition personenbezogener Informationen um Daten wie IP-Adressen und Bilder.
Für verantwortliche Datenmanager kann die EU-DSGVO eine große Herausforderung darstellen. Schließlich wissen sie nicht immer, wo alle personenbezogenen Daten gespeichert sind oder wie sie gelöscht werden können. Darüber hinaus können Mitarbeiter Schattendaten erzeugen, die PII enthalten, von denen aber offiziell niemand Kenntnis hat. Diese PII-Schattendaten müssen ebenfalls reduziert oder gelöscht werden.
Um die DSGVO-Anforderungen einzuhalten, sollte eine klare Policy eingeführt und Business Intelligence genutzt werden. Darüber hinaus ist es wichtig, Regeln für die Indizierung von E-Mails festzulegen, die PII enthalten. Für die Umsetzung des Rechts auf Vergessen sollten Unternehmen auch verstehen, wie PIIs außerhalb der normalen IT-Infrastruktur verwendet werden.
1. Definieren Sie, was zu vergessen ist
Das Recht auf Vergessenwerden bedeutet nicht, dass Unternehmen alles, was mit einer Person zu tun hat, löschen müssen. Zum Beispiel muss ein Unternehmen den Wunsch einer Person speichern, nicht getrackt zu werden, was auch personenbezogene Daten beinhalten würde. In einigen Branchen sind Unternehmen durch andere Gesetze, beispielsweise durch Gesetze zur Bekämpfung der Geldwäsche, verpflichtet, umfassende Daten über Personen zu speichern. Alle diese Unternehmen müssen eine klare Policy entwickeln, welche Daten gelöscht werden, wenn sie vergessen werden sollen.
„Jedes Unternehmen muss eine eigene Interpretation dessen entwickeln, was eine ordnungsgemäße Compliance ausmacht“, sagt Jeff Nicholson, Vice President of CRM Product Marketing bei Pegasystems. Einige Unternehmen können zum Beispiel argumentieren, dass ihr Unternehmen ein legitimes Interesse an PII wie Namen, Anschriften und E-Mail-Adressen hat und diese nicht löschen können. Ein Grund kann sein, dass sie diese Informationen brauchen, um Kunden für erbrachte Dienstleistungen Rechnungen zu stellen. Es kann auch gute Praxis sein, die PII zu löschen und dem Rest des Datensatzes eine zufällige Kennung zuzuweisen, um die Daten zu anonymisieren. Damit kann der Rest des Datensatzes beispielsweise noch für das Training von analytischen Lernmodellen verwendet werden. In anderen Fällen werden Unternehmen alle Daten zusammen löschen.
2. Befragen Sie Business-Intelligence-Systeme
Um bessere Entscheidungen zu treffen und das Kundenerlebnis zu optimieren, nutzen moderne Unternehmen komplexe Business-Intelligence- und KI-Analyse-Tools. Dies kann die Einhaltung des Rechts auf Vergessen erschweren, da die Daten außerhalb des dafür vorgesehenen Kundendatensatzes gespeichert werden.
„Die manuelle Suche, die Zuordnung, wo die Daten während ihres Lebenszyklus entstanden sind, und das Auffinden aller Orte, an denen sie letztendlich gelandet sind, ist extrem zeitaufwendig und ungenau“, sagt Amit Rahav, Vice President of Marketing and Customer Success beim Authentifizierungsanbieter Secret Double Octopus. In einigen Fällen ist es praktisch unmöglich, diese Speicherorte zu kennen. Damit sind solche Unternehmen nicht konform zur DSGVO und das macht sie anfällig für hohe Geldstrafen. Ein Metadaten-Management-Tool und -Prozess kann zwar viele Verwendungsmöglichkeiten von Daten identifizieren. Dabei ist es aber wichtig sicherzustellen, dass diese Tools auch Metadaten aus Berichtssystemen extrahieren.
„Datenmanager müssen wissen, wo alle Daten einer Person gespeichert sind, um sie löschen zu können“, sagt Andrew Burt, Chief Privacy Officer und Legal Engineer bei Immuta, einer Datenmanagementplattform für Data Scientists. Jede Möglichkeit, den Prozess der Datenverwaltung effizienter zu gestalten, trägt dazu bei, die Sichtbarkeit des datenwissenschaftlichen Umfelds zu erhöhen. Dies hilft den Betroffenen, dass sie ihr Recht auf Vergessen geltend machen können.
„Es gibt einen ‚Memos and Meetings‘-Ansatz für den Zugriff auf Daten, wie wir bei Immuta die veraltete Art des Zugriffs auf Daten und deren Kontrolle bezeichnen“, erklärte Burt. „Es ist sehr manuell, es ist sehr analog und es skaliert einfach nicht.“ Datenmanager müssen sich von diesem Modell befreien, damit sie die Datenmenge, die sie verwalten müssen, konform zu den Regularien integrieren und verwalten können.
3. Vergessen Sie die E-Mails nicht
Im Rahmen ihrer Arbeitsprozesse müssen Mitarbeiter PII manchmal in E-Mails einbinden. „Die Überwachung der in E-Mails ausgetauschten persönlichen Daten ist eine große Herausforderung für Datenmanager“, sagt Oussama El-Hilali, Vice President of Products bei Arcserve, einem Anbieter für Data Privacy Management. Das Recht auf Vergessen bedeutet, dass diese E-Mails mit PII im Ernstfall auffindbar und löschbar sein müssen. Der Ernstfall tritt ein, wenn eine Person von ihrem Recht auf Einsicht in die persönlichen Daten, die ein Unternehmen über sie gesammelt hat, Gebrauch macht und einen Löschantrag stellt.
Das Auffinden und Abrufen dieser Dateien kann aufgrund der enormen Menge an E-Mails, die täglich von Unternehmen versendet und empfangen werden, schnell zu einer Herausforderung werden. In der Praxis wird sich dies künftig auf die Art und Weise auswirken, wie Unternehmen E-Mails verarbeiten, archivieren und darauf zugreifen.
Datenmanager sollten die Erstellung oder Verwendung von Tools zur einfachen Organisation und Suche in E-Mail-Archiven nach diesen Daten in Betracht ziehen. Sobald die entsprechenden PII-Datensätze gefunden wurden, kann ein Datenmanager auf die Anfrage antworten. Er kann dann der betreffenden Person mitteilen, welche Datensätze existieren, und diese kann entscheiden, ob sie eine Löschung verlangt. Eine gute Praxis ist es, einen Prozess zum automatischen Löschen von E-Mails zu implementieren.
4. Schulen Sie Ihre Mitarbeiter zu Schattendaten
Eine der unangenehmsten Herausforderungen, mit denen Datenmanager beim Recht auf Vergessen konfrontiert sind, ist die Generierung von Schattendaten. Diese Schattendaten enthalten personenbezogene Daten außerhalb der normalen Geschäftsprozesse. Der Grund für diese Daten: Mitarbeiter erzeugen oft unwissentlich Schattendaten während alltäglicher Online-Aktivitäten, wie zum Beispiel beim Prüfen von E-Mails, beim Scannen von Kreditkarten oder beim Einbinden von Social Media. „Schattendaten sind schwer zu tracken und damit nicht leicht zu löschen und zu vergessen“, sagt Colleen Huber, Produktmanagerin für Content Design und Entwicklung bei MediaPro, einem Anbieter von Sicherheits- und Datenschutzschulungen.
Eine wichtige Option, dieses Problem anzugehen, ist das Training der Mitarbeiter. Dabei geht es darum, ein Verständnis über die Gefahren des Austauschens und Teilens von Daten zu gewinnen. Das Risiko für Schattendaten erhöht sich mit der Verwendung nicht genehmigter Cloud-Anwendungen und der allgemeinen Misswirtschaft von sensiblen Daten. All dies kann zur Schattendatenproblematik beitragen. Und es kann die größeren Herausforderungen an das Datenmanagement verschärfen, die IT-Abteilungen täglich zu bewältigen haben.