Personenbezogene Daten restlos löschen

Nadel im Heuhaufen

von - 07.02.2018
Ein Beispiel veranschaulicht die Schwere der Aufgabe: Einem Online-Händler widerfährt eine Datenschutzverletzung, von der viele seiner Datenbanken betroffen sind. Eine große Gruppe Kunden – oder auch Mitarbeiter – reagiert darauf äußerst verärgert. Gemeinsam stellen sie ein Auskunftsersuchen zur Datenportabilität und fordern den vollständigen Export all ihrer personenbezogenen Daten innerhalb von zwei Monaten. Das entspricht dem Zeitrahmen, den die Datenschutz-Grundverordnung vorsieht.
Stefano Marmonti
Stefano Marmonti
Director DACH bei MarkLogic
http://de.marklogic.com
Foto: MarkLogic
„Auch wenn die einmalige Ausübung des Rechts auf Vergessenwerden durch einen Kunden einfach klingen mag, ist dies bei Weitem keine simple Sache.“
Angesichts der Datenmengen, die in verschiedenen IT-Systemen gespeichert sind, ist das mit der berühmten Suche einer Nadel im Heuhaufen vergleichbar. Einzelanfragen können vielleicht noch manuell von den Zuständigen in der Verwaltung und im IT-Bereich erfüllt werden. Sollten aber gleichzeitig zehn- oder hunderttausend Ersuchen eingehen, dürfte dieser Ansatz schnell an seine Grenzen stoßen.
Und auch wenn die einmalige Ausübung des Rechts auf Vergessenwerden durch einen Kunden – und damit die Entfernung seiner Daten aus allen Datenbanken – noch vergleichsweise einfach klingen mag, ist dies bei Weitem keine simple Sache. Das Marketing-Team kann den Kunden relativ leicht aus seiner Datenbank löschen. Wahrscheinlich aber existieren noch weitere Daten über diesen Kunden in anderen Systemen. Wird nun eines dieser Systeme intern geändert, können diese Kundendaten plötzlich – und unwissentlich – wieder in die Marketing-Datenbank zurückgelangen. Dies wäre zweifellos Grund genug für verärgerte Kunden, vor Gericht zu ziehen.

Wechselnde Faktoren

Verstärkt wird das Problem des Zustimmungsmanagements durch weitere wechselnde Faktoren. Zunächst einmal ist die aufsichtsrechtliche Regelung der Datenschutz-Grundverordnung noch unklar – und dies dürfte sich auch nach dem Inkrafttreten nicht so schnell ändern.
Und zweitens wurden vermutlich einige personenbezogene Daten mit Dritten geteilt und könnten noch irgendwo auf einem freigegebenen Laufwerk schlummern. Wahrscheinlich ist, dass niemand im Unternehmen das sicher ausschließen kann.
Was können Firmen nun angesichts dieser Ungewissheit tun? Die Datenschutz-Grundverordnung verlangt von Unternehmen den Nachweis, dass alle zumutbaren Maßnahmen ergriffen wurden, um die gesetzlichen Vorgaben zu erfüllen. Beunruhigend ist jedoch, dass sich laut einer aktuellen Umfrage des Datenmanagement-Spezialisten Veritas Technologies bislang lediglich zwei Prozent der Unternehmen umfassend auf die Datenschutz-Grundverordnung vorbereitet haben.
Einige große Unternehmen haben teure Berater hinzugezogen, um eine manuelle Datenzuordnung – ein sogenanntes Data Mapping – vorzunehmen. Dies mag ein sinnvoller erster Schritt sein. Doch von einem nachhaltigen Ansatz kann nicht gesprochen werden, da das Ergebnis als statische Dokumentation etwa in Form von PDF-Dateien vorliegt. Ändert sich nun die Zustimmung oder wird ein Antrag auf Daten­export gestellt, muss diese Dokumentation jedes Mal mit großem zeitlichen Aufwand manuell gesichtet werden. Dadurch wird die Anpassung an wechselnde Vorschriften schwierig und kost­spielig.
Den meisten Unternehmen fehlt es derzeit an Einblick, weil sie kein Data Mapping vorgenommen haben oder an statische PDFs mit Datenzuordnungen gebunden sind, die schon nächste Woche nicht mehr aktuell sein dürften. Um dieses Dilemma anzugehen, entscheiden sich viele Unternehmen deshalb für einen automatisierten Ansatz.
Verwandte Themen