Vier Schritte für Storage-Admins
28. Februar 2018Ab 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung (EU-DSGVO). Jeder, der personenbezogenen Daten erhebt, ist betroffen. In diesem Fall sind das alle Daten, die auf ein bestimmtes Individuum hinweisen und seine Identifikation ermöglichen. Neben Namen, Orten und Email-Adressen also auch Cookies und IP-Adressen. Storage-Admins sollten sich daher an ihr Unternehmen wenden und mit den Datenschutzverantwortlichen sprechen – zudem können sie in vier Schritten ihren Teil dazu beitragen, das Unternehmen vor enormen Strafzahlungen zu schützen.
Daten-Audit durchführen
Im Zeitalter von Big Data sammeln wir Daten meist auf verschiedenen Systemen, die Datensätze in Kopien an mehreren Orten ablegen. Früher galt die Annahme, dass es im Zweifel besser ist, Daten auf Anfrage vorzeigen zu können; heute wird dagegen gesetzlich verlangt, Daten zu löschen, außer es gibt eine explizite rechtliche Grundlage für die Datenspeicherung und -verarbeitung.
Im ersten Schritt sollte man daher herausfinden, welche der Daten, die man gespeichert hat, personenbezogen sind. Dann ist es wichtig, zu dokumentieren, was man gespeichert hat, woher die Daten kommen und welche Systeme auf sie zugreifen. Alle relevanten Personen im Unternehmen müssen darüber informiert werden.
Zugriff und Verarbeitung aufzeichnen
Wenn ein Unternehmen personenbezogene Daten verarbeitet, muss im Zweifel auch der Storage-Admin sicherstellen, dass alles legal abläuft. Die EU-DSGVO nennt sechs Fälle, in denen Daten legal verarbeitet werden können:
1) Die betroffene Person hat eingewilligt, dass ihre Daten für einen bestimmten Zweck – und nur diesen Zweck – verarbeitet werden dürfen. Die Entscheidung muss informiert und freiwillig erfolgen. Hinweise im Kleingedruckten reichen nicht aus.
Oder die Datenverarbeitung ist nötig, um
2) …einen Vertrag zu erfüllen, dessen Vertragspartei die betroffene Person ist oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen – etwa eine Kreditprüfung bei jemandem, der einen Kauf abschließen möchte,
3) …eine andere rechtliche Verpflichtung des Verantwortlichen (Compliance) zu erfüllen,
4) …lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen – man denke an eine Patientenakte,
5) …Staatspflichten zu erfüllen.
6) Der letzte Fall tritt ein, wenn die Datenverarbeitung ein Kerngeschäft des Unternehmens ist – allerdings nur so lange, wie die Grundrechte der betroffenen Person nicht verletzt werden.
Diese letzte Passage ist problematisch, denn das „legitime Interesse“ kollidiert mit den Grundrechten der Bürger, etwa dem Recht, dass ohne Einverständnis keine Datenverarbeitung stattfindet, oder dem Recht auf Vergessen – wer es verlangt, kann Unternehmen dazu zwingen, alle Daten über ihn zu löschen. Wer Marketingsysteme betreibt, muss seine Einverständnisprozesse daher in jedem Fall prüfen. Ohne ein umfängliches Audit wird es nicht gehen, was weit über die Aufgaben eines bescheidenen Storage-Admins hinausgeht – das ist ein Job für die Rechtsabteilungen. Admins müssen dem Marketing jedoch klarmachen, welche Daten sie haben, wo diese Daten liegen und wie die verschiedenen Systeme diese Daten verarbeiten.
Zugänge prüfen
Die EU-DSGVO zwingt Unternehmen nicht nur dazu, die Daten korrekt zu erheben, sondern auch, diese vor unautorisiertem Zugriff zu schützen. Die dazu getroffenen Vorkehrungen sind besonders zu dokumentieren – für den Fall eines Audits. Storage-Admins sollten herausfinden, wer auf gespeicherte Daten zugreifen und sie extrahieren kann – und natürlich Zugriffskontrollen einrichten, die sich auf Nutzung und Extraktion der Daten erstrecken.
Der Speicher muss das abkönnen
Die EU-DSGVO kann anstrengend werden. Doch sie ist auch ein willkommener Anlass, um die eigenen Storage-Prozesse und die Strategie gründlich zu prüfen. Eine seltene Gelegenheit, um Änderungen und Erneuerungen mit der Kraft der gesamten EU im Rücken durchzusetzen. Schließlich will kein Unternehmen in langwierige und teure Rechtsstreitigkeiten geraten, nur weil die eigenen Speichersysteme nicht up-to-date waren.
Diese vier Tipps klingen einfach, doch sie sind grundlegend, um bis Ende Mai 2018 auf der sicheren Seite zu sein. Auch wenn Storage-Admins nicht alleine für die Compliance verantwortlich sind, spielen sie eine wichtige Rolle.