Personenbezogene Daten orten und löschen

Zentrale Maßnahmen

von Peter GeiserPeter Schäuble - 11.08.2017
Die Einführung eines E-Discovery-Systems allein garantiert noch nicht, dass die Datenschutzpflichten ausreichend erfüllt werden. Im praktischen Betrieb sind die folgenden Maßnahmen von zentraler Bedeutung:
  • Jede Änderung in den Datensammlungen automatisch im Suchindex aktualisieren
  • Konzeptsuche nutzen
  • In der Suchanfrage und in den Datensammlungen Abweichungen bei der Namensschreibweise berücksichtigen
  • Digitalisierte Dokumente mit OCR (Optical Character Recognition) in maschinenlesbaren Text umwandeln
  • Benutzer dürfen nur Informationen finden, für die sie die Zugriffsrechte haben
  • Daten zentralisieren: Die eigenen Daten sollten auf möglichst wenige Standorte und Services verteilt sein. So verkleinert sich der Kreis der Personen und Systeme mit Zugang zu sensiblen Informationen.

Daten löschen

Mit den Daten wird täglich gearbeitet: Sie werden bearbeitet, weitergegeben oder gelöscht. Beim Löschen verschwinden die Daten aber nicht vollständig. Sie sind zwar in den jeweiligen Anwendungen nicht mehr sichtbar, doch weiterhin vorhanden. Bei einem Export der Daten kann es passieren, dass auch vermeintlich gelöschte Einträge an Dritt­systeme übertragen werden: Wenn diese den Status „nicht sichtbar“ ignorieren, werden die Daten wieder sichtbar.
Noch schwieriger wird es, wenn unstrukturierte Daten etwa in Textdokumenten vorkommen. Wird ein solches Dokument gelöscht, so ist es aus Betriebssystemsicht in vielen Fällen nach wie vor auffind- und lesbar. Technisch ist also Löschen beinahe nicht möglich. Wollen sich Dateninhaber schützen, braucht man deshalb vertragliche Vereinbarungen mit dem Datenbearbeiter.

Fazit

Um die Bestimmungen der Datenschutz-Grundverordnung adäquat zu erfüllen, müssen die Dateninhaber die Übersicht über ihre Daten haben und ihre Infrastruktur den neuen Anforderungen anpassen. Denn Anfragen zu per­sonenbezoge­nen Daten werden bestimmt bei ihnen eintreffen. Nur mit der richtigen Vorbereitung können Dateninhaber dann auch schnell reagieren.
In der Praxis werden Unternehmen wohl eine Programmierschnittstelle einführen, die eine automatisierte Erfüllung der Auskunftspflicht ermöglicht. Gut umgesetzt, kann der Umgang mit Personendaten sogar zu einem USP von Unternehmen werden.