Diese Fragen zur DSGVO sind für Unternehmen wichtig (Teil 2)

3. Wie separiere ich personenbezogene Daten für weitere Verarbeitung, zum Beispiel Big-Data-Analysen? Nach diesem ersten Schritt verfügt man über einen Katalog der personenbezogenen Daten. Unter Umständen ist es notwendig, personenbezogene Daten zu separieren. Unternehmen müssen Informationen über ihre Kunden anonymisieren, wenn sie sie nach bestimmten Aspekten analysieren wollen, ohne die Vorgaben der EU-DSGVO zu verletzen und ohne die Erlaubnis aller Betroffenen einzuholen.

So ist es führenden Online-Händlern beispielsweise möglich, Vorschläge wie „andere Kunden kauften auch …“ zu unterbreiten. Krankenkassen anonymisieren die Daten ihrer Versicherten, bevor sie diese EU-DSGVO-konform analysieren. So können sie etwa herausfinden, wie hoch die Wahrscheinlichkeit ist, dass ein Versicherter, der Krankheit 1 und Krankheit 2 hat, auch Krankheit 3 bekommen wird.

4. Wie lösche ich Daten EU-DSGVO-konform und protokolliere dies korrekt? Es gibt verschiedene Gründe, personenbezogene Daten zu löschen. So können interne beziehungsweise gesetzliche Vorschriften die Löschung verlangen oder Personen fordern sie. Die Vorgehensweise ist unterschiedlich.

Für die durchgängige Einhaltung der Vorschriften und der Dokumentation der Einhaltung eignen sich Programme für Information Lifecycle Management (ILM). In diesen werden unter anderem Verfallsdaten und Prozesse definiert, mit denen automatisiert Daten mit einem gewissen Alter gelöscht werden und darüber ein Protokoll für etwaige Nachweise erstellt wird.

Möchte dagegen eine Person, etwa ein Kunde, dass seine Daten gelöscht werden, umfasst diese Anfrage oft mehr als eine einzige Tätigkeit. Zudem müssen dann alle involvierten Tätigkeiten ebenfalls dokumentiert werden. Solche Anfragen lassen sich automatisiert mit einer EDV-gestützten Fallbearbeitung bearbeiten, beispielsweise mit Hilfe des IBM Case Managers. Diesem überträgt man den Fall. Er nimmt den Fall an, informiert die relevanten Personen und triggert die notwendigen Prozesse, bis schließlich der Kunde die gewünschte Auskunft erhält.

Diese Vorgänge können so weit automatisiert werden, dass der Case Manager  den Kundennamen automatisch an StoredIQ oder eine ähnliche Lösung weiterleitet. Diese sucht dann im Unternehmensdatenbestand nach Daten, Dateien und Informationen über diesen Kunden. Dateien, die solche Informationen enthalten, werden verschoben und ein Mitarbeiter wird über die bevorstehende Löschung informiert. Er prüft, ob etwas gegen die Löschung spricht, etwa anderweitig verpflichtende Aufbewahrungsfristen. Ist dies nicht der Fall, stimmt er der Löschung der entsprechenden Informationen zu. Diese wird protokolliert und der Kunde erhält eine Information, welche Daten das Unternehmen über ihn vorliegen hatte, die jetzt gelöscht wurden.

5. Was passiert mit aufzubewahrenden Daten? Personenbezogene Daten dürfen nur zu dem Zweck verarbeitet werden, für den sie erhoben wurden. Zum Datenschutz gehört auch die Datensicherheit. Das heißt, Unternehmen müssen personenbezogene Daten mit technischen und organisatorischen Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung und Verlust schützen.

Die EU-DSGVO fordert, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter dazu geeignete technische und organisatorische Maßnahmen umsetzt. Dazu sind der Stand der Technik zu berücksichtigen, aber auch die Implementierungskosten, die Art, die Umstände sowie der Zweck der Datenverarbeitung. Ebenfalls relevant sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten. Fazit: Aufzubewahrende Daten müssen also mit Hilfe der aktuell vorhandenen technischen Lösungen sicher sein gegen Bearbeitung, Veränderung, Zerstörung, Diebstahl und Verlust.

6. Wer ist für die korrekte Behandlung personenbezogener Daten verantwortlich? Verantwortlich dafür, dass die Datenschutz-Grundverordnung eingehalten wird und personenbezogene Daten richtig aufbewahrt, bearbeitet und gelöscht werden, ist die Geschäftsleitung des für die Datei verantwortlichen Unternehmens. Denn sie gibt auch Budget, Strategie und Zweck der Datenverarbeitung vor. Diese Verantwortung lässt sich nicht delegieren. Lediglich die Aufgaben, die zur Einhaltung der DSGVO dienen, können etwa an den IT-Leiter oder einen Datenschutzbeauftragten weitergegeben werden. Auch wenn ein Auftraggeber und ein Dienstleister an Daten arbeiten, bleibt die Verantwortung bei demjenigen, der Strategie und Zwecke der Verarbeitung vorgibt.