Voyagerix - stock.adobe.com

GDPR/DSGVO: Wenn Nutzer ihre Daten anfordern

Ab Mai 2018 hat jeder EU-Bürger das Recht, genau zu erfahren, was Firmen über ihn gespeichert haben. Die Anfragen müssen in der Regel innerhalb eines Monats beantwortet werden.

Ab Mai 2018 wird in der EU das Recht der Bürger, von jeder Firma oder Behörde Auskunft zu verlangen, welche personenbezogenen Daten zu welchem Zweck diese gespeichert hat, klarer definiert und ausgeweitet. Dies ist eine von vielen Neuerungen, die sich aus der DSVGO ergeben und jeder Privatperson ein Stück Kontrolle, und – wenn man so will – Macht über die eigenen Daten zurückgeben – ein wichtiger Schritt in der digitalen Welt, die Daten sammelt und kreativ in Umsatz verwandelt.

Und diese Macht wird genutzt werden, wie unterschiedlichste Umfragen unter europäischen Bürgern voraussagen. Die Gründe hierfür sind zahlreich: Die einen wollen wissen, ob eine Firma unter Umständen mehr Daten sammelte als erlaubt.

Andere wollen erfahren, wieviel beispielsweise ihr Social-Media-Dienst über sie weiß. Dritte hoffen darauf, Firmen Verstöße nachzuweisen und entschädigt zu werden. Die Motivation ist unterschiedlich, das Ergebnis in allen Fällen dasselbe. Die Menge der Anfragen wird ab Mai 2018 sicher zunehmen. Firmen sollten sich unbedingt darauf vorbereiten, eine Flut dieser sogenannten SAR-Anfragen (Subject Access Requests) zu beantworten. Und zwar innerhalb eines Monats.

Eingespannt zwischen extremen Entwicklungen

Die Aufgabe mag auf den ersten Blick trivial klingen, sie ist allerdings eng an eines der am weitesten verbreiteten Probleme in der EDV gekoppelt, das nahezu in jeder Firma weltweit vorkommt – unstrukturierte Daten und ihr explosionsartiges Wachstum.

Zuerst ist es wichtig zu verstehen, dass alle personenbezogenen Daten eines EU-Bürgers bei den meisten Firmen in Datenbanken erfasst sind, die klaren Strukturen und Vorgaben folgen. Hier herrscht Ordnung und Überblick. Daher meinen einige Verantwortliche, das Problem sei doch verhältnismäßig überschau- und damit gut beherrschbar, wie der GDPR Report Chapter 2 von Veritas (PDF) zeigt.

Im Alltag eines Unternehmens ist es aber durchaus üblich, dass personenbezogene Daten an anderer Stelle auftauchen, etwa als Marketing Lead in einer Excel-Datei, als Teilnahmebestätigung auf bestimmten Events oder in Form von echten Kundendaten, mit denen neue Applikationen entwickelt oder getestet werden, um einige Praxis-Beispiele zu nennen.

Niemand in der IT-Abteilung wird ausschließen wollen und können, dass sich personenbezogene Daten in der großen Menge der unstrukturierten Daten verbergen. Zumal sie manchmal nicht alle Speicherorte kennen, an denen Firmendaten liegen. Es ist üblich, dass in den Unternehmen Cloud-Dienste genutzt wurden, die von der IT nicht autorisiert wurden. Die Frage ist also nicht nur, wie viele personenbezogene Daten in den unstrukturierten verborgen sein könnten, sondern auch wo.

Dabei wächst die Menge der unstrukturierten Daten in jedem Unternehmen im Schnitt um 49 Prozent jährlich, wie Untersuchungen belegen. Firmen wissen in der Regel nicht, was sich in diesen Datenbergen, die sich jedes Jahr anhäufen, tatsächlich verbirgt. Ihr Inhalt bleibt im Verborgenen oder im Dunkeln, man spricht daher in diesem Fall von Dark Data.

Der massive Datenberg, in dem sich also personenbezogene Daten verbergen können, wächst also jedes Jahr an, während auf der anderen Seite Firmen eine Flut von Anfragen bekommen, in denen sie innerhalb von einem Monat einem Bürger umfassend zeigen müssen, welche Daten sie von ihm speichern. Hier stoßen extreme Entwicklungen aufeinander, die man mit manuellen Prozessen oder selbstgestrickten Werkzeugen kaum bewältigen kann. Es sind einfach zu viele Daten, die in der Kürze der Zeit ausgewertet werden müssen.

Was tun gegen die SAR-Flut?

Zuerst muss der Inhalt der unstrukturierten Daten erfasst werden, und zwar von allen existierenden Daten aus der Vergangenheit bis zu den neuen Daten, die jeden Tag entstehen. Sonst wäre der Effekt dieser Übung in kurzer Zeit verpufft.

Der stärkste Ansatz ist die so genannte Klassifizierung der Daten, moderne Varianten dieser Technik nutzen mehrere hundert klare technische Indikatoren, die eindeutige inhaltliche Merkmale in den Daten erkennen und sie entsprechend und vor allem recht fehlerfrei automatisch mit so genannten Tags kategorisieren. Auf diese Weise werden beispielsweise länderspezifische personenbezogene Daten wie die deutsche Führerscheinnummer als solche erkannt und als personenbezogenes Datum gekennzeichnet.

Wird diese Technik in Bereichen eingesetzt, in denen sich unstrukturierte Daten konzentrieren – E-Mail, File Server oder Backup – lassen sich die Daten fast lückenlos erfassen und schon bei ihrer Entstehung richtig einstufen, ohne dass der Anwender in der Pflicht wäre, seine Daten selbst einzuordnen. Dieser manuelle Ansatz ist viel zu fehleranfällig und verwässert die gesetzten Standards. Mit dem Technologie-Ansatz kann ein Unternehmen seine bisherigen Dark-Data-Anteile ebenfalls durchleuchten und gezielt personenbezogene Daten identifizieren.

Mathias Wenig, Veritas

„Die Frage ist nicht nur, wie viele personenbezogene Daten in den unstrukturierten verborgen sein könnten, sondern auch wo.“

Mathias Wenig, Veritas

Es ist genauso wichtig, dass die Technik ad hoc nach spezifischen Personendaten suchen kann, um alle verlangten Daten im Rahmen der Auskunftspflicht zu erfassen und entsprechend zu paketieren. Dazu gehört auch, die Daten anderer Personen, die bei dieser Anfrage möglicherweise miterfasst wurden, aus dem Paket löschen zu können, um den Datenschutz zu wahren.

Zuletzt ist entscheidend, dass die eingesetzte Software auch komplexen Firmenstrukturen und internen Abläufen gerecht wird. Im Alltag ist es sehr wahrscheinlich, dass verschiedene Personen und Teams an der Klassifizierung der Daten arbeiten und sich um die SARs kümmern. Damit die Prozesse aufeinander abgestimmt sind, muss die Software flexibel Workflows abbilden und über ein spezielles Rechte-Management verfügen. Kluge Zusätze wie Redaktions- und Notizfunktionen, mit denen verschiedene Analyseteams Daten markieren, Notizen anhängen und ihre Ergebnisse konsistent weitergeben können, sind wichtig, um die Aufgaben schneller beenden zu können.

Unternehmen und Behörden brauchen Werkzeuge, mit denen sie Daten prüfen, filtern und verwalten können – unabhängig von ihrem Speicherort. Denn die strengen Zeitvorgaben aus der DSVGO verlangen nach Geschwindigkeit in jedem dieser Sisyphos-Momente.

Über den Autor:
Mathias Wenig ist Senior Manager TS und Digital Transformation Specialist bei Veritas.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Datenschutz-Grundverordnung: Einstufung personenbezogener Daten häufig unklar

GPDR: Tools & Ratgeber zur Umsetzung der EU-DSGVO

EU-DSGVO: Welche Daten sind eigentlich personenbezogen?

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close