Datenschutz-Grundverordnung: Kontrolle über das Datenuniversum

Gesetzesänderungen der EU und der Schweiz erfordern, dass personenbezogene Daten geortet und gelöscht werden können. Doch wie geht das?

» Von Kaspar Geiser & Peter Schäuble *, 14.06.2017 07:00.

weitere Artikel

Die neue Datenschutz-Grundverordnung der EU (General Data Protection Regulation, GDPR) fordert, dass personenbezogene Daten auf Wunsch sofort gefunden und unter gewissen Voraussetzungen gelöscht werden. Die Unternehmen müssen deshalb künftig genau wissen, wo ihre Daten liegen, wie schützenswert diese im Einzelnen sind und wie sie verarbeitet werden. Da sich im Zeitalter von SaaS, Cloud Computing und Outsourcing die Daten schnell verteilen, ist diese Kontrolle nicht leicht zu erlangen. Parallel zum GDPR revidiert die Schweiz ihr Datenschutzgesetz, der Inhalt des Vorentwurfs ist bereits bekannt. Auch dieses Gesetz nimmt Dateninhaber und -verarbeiter stärker in die Verantwortung.

Überblick verschaffen

Mit der GDPR fallen deutlich mehr Daten in den Verantwortungsbereich einer Firma als bisher. Die Verordnung erfasst auch Daten, die der Inhaber intuitiv nicht zu den eigenen Daten zählt. Es ist also unausweichlich, dass sich Unternehmen eine Übersicht über ihre Daten verschaffen und diese klassifizieren. Dabei sollten zumindest folgende Fragen geklärt werden:

  • Sind die Geschäftsdaten am richtigen Ort?
  • Sind sie geschützt?
  • Sind alle Kopien und Speicherorte bekannt?
  • Ist vollständig klar, wer Zugriff auf die Daten hat?

Daten klassifizieren

Schutzmassnahmen lassen sich einfacher ermitteln, wenn die Daten klassifiziert sind, wenn also bestimmt wird, zu welcher Datenkategorie sie gehören. Besonders sensibel und schützenswert sind insbesondere Personendaten mit Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gesundheit oder Sexualleben. Was schützenswert ist, unterscheidet sich jedoch von Unternehmen zu Unternehmen. Hat der Dateninhaber die Liste der Datenkategorien und deren Schutzbedarf erstellt, müssen alle zu schützenden Daten gefunden und einer Kategorie zugeordnet werden.

Daten finden

Die Herausforderung besteht darin, Personendaten über verschiedene Systeme hinweg zu finden. Dies macht den Einsatz eines eDiscovery-Systems nötig, das personenbezogene Daten schnell aufspürt. Dabei tauchen oft Daten auf, die keinen unmittelbaren Bezug zur Geschäftstätigkeit des Unternehmens aufweisen. Dazu gehören auch Daten, die unabsichtlich aufgrund einer falschen Systemkonfiguration gesammelt wurden. Zudem betrifft die Verordnung nicht nur Dateninhaber, sondern auch Datenverarbeiter. Dateninhaber wissen in der Regel, welche Daten sie zu welchem Zweck sammeln. Datenverarbeiter hingegen bearbeiten, speichern oder bewahren Daten, ohne sie jedoch selbst zu verwenden oder zu verändern. Beide werden auf eDiscovery angewiesen sein.

Nächste Seite: Nur scheinbar anonyme Daten

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.