In einem Monat durch den Datenberg

15. März 2018

Der Countdown läuft: Nach einer zweijährigen Übergangsfrist tritt in etwa zwei Monaten die Datenschutzgrundverordnung (DSGVO oder GDPR) in Kraft. Vom 25. Mai 2018 an ist sie EU-weit verpflichtend. Eine der vielen Neuerungen, die sich daraus ergeben:

Jeder EU-Bürger hat das Recht zu erfahren, welche Daten über ihn gespeichert wurden und kann darauf bestehen, Informationen löschen zu lassen. So erhält er ein Stück Kontrolle über seine personenbezogenen Informationen zurück. Aktuelle Umfragen zeigen, dass Konsumenten diese Möglichkeit annehmen werden.

Die Social-Media-Dienste rüsten sich bereits: So arbeitet etwa Facebook aktuell an einer Funktion für seinen Messenger-Dienst WhatsApp, um die sogenannten Subject Access Requests (SAR) Anfragen, direkt aus der Software heraus zu beantworten.

 

Doch auch Firmen und Behörden sind vor der zu erwartenden SAR-Flut nicht gefeit. Die Motivation der Anfragen ist breit gefächert: Ob eine reine Auskunft über die Art der gespeicherten Daten, die Frage, wie personenbezogene Informationen innerhalb der Firmen verwendet werden, oder der Anspruch auf Datenlöschung – das Ergebnis ist das gleiche. Ab Mai wird es vermehrt zu SARs kommen. Die Herausforderung seitens der Unternehmen: Ihnen bleiben für eine Beantwortung nur 30 Tage Zeit.

Innerhalb eines Monats Transparenz über gewonnene Daten zu schaffen, diese Aufgabe mag zunächst überschaubar klingen. Es scheint, dass die Mehrheit der Firmen alle personenbezogenen Daten eines EU-Bürgers übersichtlich in Datenbanken erfasst haben. Verantwortliche wiegen sich daher in Sicherheit, die Herausforderung verhältnismäßig schnell und ohne großen Aufwand meistern zu können. Das zeigt auch der GDPR Report Chapter 2 von Veritas. Immerhin gaben 31 Prozent der Befragten an, dass ihre Firma bereits konform zu den neuen Richtlinien handelt. Bei genauerem Hinsehen wird aber deutlich, dass der Schein trügt: Lediglich zwei Prozent der befragten Unternehmen sind tatsächlich dafür gewappnet, die Regelungen zu erfüllen. Beim Rest besteht in vielerlei Hinsicht erheblicher Nachholbedarf.

Datenbanken sind nur die Spitze des Eisbergs

Das gilt vor allem für die technischen Grundlagen. Die EDV kommt nach wie vor schnell an ihre Grenzen. Denn nur selten liegen alle Daten, die es zu berücksichtigen gilt, wirklich an einem Platz. In den meisten Fällen sind sie ohne Struktur über verschiedene Plattformen verteilt. Um ein Beispiel zu nennen: Es ist durchaus üblich, dass personenbezogene Informationen etwa im Marketing landen. Sind Namen erst in einer Kartei erfasst, werden sie zu Events eingeladen. Nach Teilnahme an einem Produktlaunch, werden die betreffenden Personen schnell potenzielle Kandidaten für Beta-Tests neuer Produkte. Kein IT-Verantwortlicher würde daher wahrscheinlich seine Hand für die Daten ins Feuer legen. Wie bei einem Eisberg liegt der Großteil der Daten im Verborgenen – hier handelt es sich um die sogenannten Dark Data.

Gartner definiert diese dunklen Daten als „Daten, die ein Unternehmen zwar in seiner tägliche Arbeit sammelt, verarbeitet und speichert, aber nicht für weitere Zwecke nutzt (wie Analysen, Geschäftsbeziehungen und Monetarisierung)”. Gerade hier können sensible Informationen enthalten sein, die schnell zum Compliance-Albtraum werden. Der Data Genomics Report 2017 von Veritas ergab, dass diese Daten in jedem Unternehmen im Schnitt um 49 Prozent jährlich wachsen. Um sie dennoch aufzuspüren und der unstrukturierten Datenmengen Herr zu werden, sind technologische und organisatorische Maßnahmen notwendig.

Es ist also kein Wunder, dass rund 13 Prozent der Befragten, die angeblich schon DSGVO-compliant sind, im Zuge des GDPR Reports auch angaben, dass ihr Unternehmen weder in der Lage sei, personenbezogene Daten effektiv zu suchen, zu analysieren und alle Referenzen zu einer Person aufzuspüren, noch, eine akkurate Übersicht über alle Speicherorte der Daten bereitzustellen oder Informationsquellen klar zu definieren.

 

Mit der richtigen Technologie in sanfte Fahrwasser

Stoßen die Anfragen und das Daten-Wirrwarr aufeinander, scheitern Unternehmen an einer der wichtigsten Vorgaben aus der DSGVO. Mit manuellen Prozessen oder selbstgestrickten Werkzeugen lässt sich dieses Manöver kaum bewältigen, denn diese sind zu fehleranfällig und verwässern die gesetzten Standards.

Wohin also das Ruder drehen? Zuerst muss der Inhalt der unstrukturierten Daten technologisch erfasst werden. Das schließt alle existierenden Daten aus der Vergangenheit ein, ebenso neue Informationen, die jeden Tag gesammelt werden. Der erste Schritt dafür ist die sogenannte Datenklassifizierung. Moderne Varianten dieser Technik nutzen mehrere hundert technische Indikatoren. Diese erkennen eindeutige inhaltliche Merkmale in den Daten und versehen sie mit entsprechenden Tags. Beispielsweise werden länderspezifische Informationen wie die deutsche Führerscheinnummer als solche erkannt und als personenbezogenes Datum gekennzeichnet.

Wurden die Daten erst einmal kategorisiert, lassen sie sich intelligenter und schneller auffinden, klassifizieren, analysieren und sichten. Objekte mit personenbezogenen Daten oder sensiblen Inhalten sollten zudem priorisiert werden. Besonders bei solchen sensiblen Informationen stehen Unternehmen vor einer weiteren Herausforderung: Im Zuge der Beantwortung von SAR-Anfragen dürfen sie nicht offengelegt werden. Automatisierte Funktionen zur Datenmaskierung können hier Abhilfe schaffen. Im Falle einer konkreten Anfrage werden dann alle verlangten Daten entsprechend paketiert und Daten anderer Personen, die möglicherweise miterfasst wurden, aus dem Paket gelöscht.

Gerade in Bereichen, in denen sich unstrukturierte Daten häufen – beispielsweise für E-Mails, auf dem File Server oder in Backups – ermöglichen es solche Techniken, Informationen nahezu lückenlos zu erfassen. Künftig können sie zudem schon bei ihrer Entstehung richtig kategorisiert werden, ohne dass der Anwender in der Pflicht wäre, sie selbst einzuordnen. Auch bisherige Dark-Data-Anteile lassen sich filtern, um so gezielt personenbezogene Daten zu identifizieren.

Zuletzt kommt es auch auf die Praktikabilität der eingesetzten Software an. Sie muss auch komplexen Unternehmensstrukturen und eingespielten internen Abläufen gerecht werden. Wenn verschiedene Personen oder Teams mit der Klassifizierung der Daten betraut sind und sich um die SARs kümmern, sollten Prozesse eng aufeinander abgestimmt sein. Das bedeutet auch, dass die Software flexibel Workflows abbilden und über ein spezielles Rechtemanagement verfügen muss. Tools wie Redaktions- oder Kommentarfunktionen erleichtern die Zusammenarbeit erheblich. Durch sie lassen sich Arbeitsschritte und Ergebnisse effizient teilen und die Anfragen letzten Endes schneller beantworten.

Frühzeitig die Segel setzen

Für Unternehmen und Behörden wird es höchste Zeit, sich den kommenden Herausforderungen zu stellen und Werkzeuge einzuführen, mit denen sich Daten prüfen, filtern und verwalten lassen – unabhängig von ihrem Speicherort. Ist die DSGVO erst in Kraft, ist Geschwindigkeit gefragt. Wenn Teams und Technik schon jetzt für die Flut der Anfragen gerüstet werden, können Unternehmen gefahrlos den SAR-Hafen ansteuern.

 Mathias Wenig, Senior Manager TS und Digital Transformation Specialist bei Veritas.

 

Lesen Sie auch