Anzeige
Anzeige
Anzeige
Anzeige
Recht Auf Daten Loeschung I Stock 821142364 Web
Das Recht auf Löschung stellt viele Unternehmen vor Herausforderungen (Foto: iStock)
DSGVO Datenschutz E-Commerce

DSGVO: Das Recht auf Löschung in den Griff bekommen

Die Einführung der DSGVO hat viele Unternehmen verunsichert. Vor allem das Recht auf Löschung stellt die Firmen im Umgang mit Kundendaten vor Herausforderungen. Thomas Ehrlich von dem auf Datensicherheit spezialisierten Softwareunternehmen Varonis Systems erklärt, wie du die Anforderungen der DSGVO umsetzen kannst.

Anzeige
Anzeige
Anzeige

Keine Anforderung der DSGVO stellt für Unternehmen eine größere Herausforderung dar als das Recht auf Löschung (Artikel 17). In einer Studie von Varonis zum Start der europäischen Datenschutzverordnung sahen hierin 63 Prozent das größte Problemfeld, noch deutlich vor der Einführung bzw. Umsetzung des Verzeichnisses von Verarbeitungstätigkeiten (Artikel 30; 47 Prozent), sowie die Datenschutz-Folgeabschätzung (Artikel 35) und die Meldepflichten aus Artikel 33 (jeweils 44 Prozent).

Doch worin liegen die Schwierigkeiten und was gilt es zu beachten? Die Probleme liegen im Grunde gar nicht am Löschen selbst, sondern darin, sämtliche entsprechende Datensätze zu finden.

Wo haben wir unsere Daten überall gespeichert?

Wie bei den meisten Aspekten der DSGVO werden die Unternehmen, die bereits über ausgereifte Governance- und Sicherheitspraktiken verfügen, weniger Schwierigkeiten haben, Löschanfragen nachzukommen. Dazu müssen sie in der Lage sein, personenbezogene Daten (PII) zu identifizieren und zu klassifizieren.

Das Scannen von Dateisystemen sowie von E-Mails und Datenbanken, die Klassifizierung ihres Inhalts, die Identifizierung von Datenverantwortlichen und die Sicherstellung einer ordnungsgemäßen Autorisierung und Aufbewahrung bilden dabei die Grundlage eines wirkungsvollen Compliance-Programms.

Anzeige

Auch interessant: Unternehmen kommen mit Umsetzung der DSGVO kaum voran

Sind in Unternehmen hier jedoch Defizite vorhanden, sollten sie dringend aktiv werden - mit der 400.000-Euro-Strafe für ein portugiesisches Krankenhaus ist die Schonzeit offensichtlich beendet.

Der erste Schritt, also die Identifizierung der DSGVO-relevanten Daten, ist dabei der schwierigste. Das Scannen und Klassifizieren von Terabyte-großen Datenbeständen zur Identifizierung von personenbezogenen Daten ist (selbst wenn man weiß, nach welchen persönlichen Indentifikatoren man sucht) äußerst kompliziert und zeitaufwändig.

Hinzu kommt, dass man nicht eben den Betrieb hierfür einstellen kann, sondern dass sich auch während des Suchvorgangs Daten ständig ändern.

Welche Informationen sind überhaupt personenbezogen?

Namen, Adressen, Telefonnummern, Sozialversicherungs- und Ausweisnummern sind die klassischen Beispiele für PII. Im Online-Zeitalter kommen jedoch weitere hinzu, beispielsweise E-Mail-Adressen, Nutzernamen, Standorte, IP-Adressen und mittlerweile sogar biometrische Informationen.

Nun gilt es, all diese unterschiedlichen Informationen in ein einheitliches Muster und Regel-Set zu integrieren. Erschwert wird die Situation noch dadurch, dass wir in der EU 28 unterschiedliche Nationen haben – mit unterschiedlichen Formaten für Nummernschilder, Telefonnummern oder Ausweise.

Klassifizierung vs. Indexierung

Wenn es um das Recht zum Löschen geht, gibt es ein weiteres Problem: Nur weil man personenbezogene Daten identifiziert hat, bedeutet das nicht, dass man sie durchsuchen kann. Bei der Klassifizierung wird nach Identifikatoren, die auf bestimmten Mustern basieren, gesucht und eine Liste von Dateien ausgegeben, wie viele Übereinstimmungen für jedes Muster gefunden wurde.

Dabei werden diese Dateien in aller Regel nicht indiziert. Eine Indexierung hingegen ermöglicht eine detaillierte Suche, welche beim Recht auf Löschung benötigt wird. Wenn also ein Verbraucher eine Antragsanfrage (subject access request/SAR) stellt, um seine persönlichen Daten einzusehen oder löschen zu lassen, sollte eine Suche im Index schnell zu Dateien führen, die persönliche Identifikatoren dieses Verbrauchers enthalten können.

Verlagsbox Seminar Datenschutz

Mobile, Social, Big Data - das Online-Marketing lebt von Daten. Aber gehen Sie auch korrekt damit um? Vor allem im Hinblick auf das Inkrafttreten der EU-Datenschutzgrundverordnung am 25. Mai 2018? Machen Sie sich fit in unserem Seminar und melden Sie sich gleich an.

Nach wie vor sind nicht alle Unternehmen „DSGVO-ready“, wie zuletzt eine bitkom-Studie erneut gezeigt hat. Demnach hatten im September 2018 lediglich ein Viertel der Unternehmen die Vorgaben vollständig umgesetzt. Um einen großen Schritt in Richtung Konformität zu gehen und auch das Recht auf Löschung adressieren zu können, sollten Unternehmen bei der Auswahl entsprechender Lösungen diese drei kritischen Aspekte berücksichtigen.

  • Du kannst eigene Muster für DSGVO-relevante Daten erstellen - aber das musst du nicht. Dazu gibt es zahlreiche Anbieter. Achte bei der Auswahl jedoch darauf, dass sie auf der Grundlage realer Datensätze erstellt, getestet und verfeinert wurden – und nicht nur auf Grundlage der von offiziellen Stellen veröffentlichten Spezifikationen. Mit regulären Ausdrücken (RegEx) kommt man nämlich hier nicht weit, da es durch die enorme Bandbreite an alphanumerischen Mustern zu „Kollisionen“ kommen kann. So variieren europäische Pass-Nummern zwischen acht und zehn Ziffern und können etwa auch fälschlich als Telefonnummern identifiziert werden. Aus diesem Grund sind Algorithmen sinnvoll, die nach verschiedenen Keywords in den unterschiedlichsten Landessprachen suchen, welche in einem Kontext mit den identifizierten Daten stehen. Auch der Einsatz von negativen Keywords ist in diesem Zusammenhang sinnvoll, um False Positives zu vermeiden.
  • Datenklassifizierungs- oder Indexierungssoftware, die kein inkrementelles Scannen verwendet, ist nicht zielführend.
  • Die Beantwortung der Frage „Wo sind meine sensiblen Daten?“ führt zwangsläufig zu weiteren Fragen: Wer hat sie dort abgespeichert? Wer greift auf sie zu? Werden sie überhaupt noch genutzt? Sind sie ausreichend geschützt? Diese Fragen können vor allem dann brisant werden, wenn sich sensible Daten in Ordnern befinden, die für alle Mitarbeiter zugänglich sind. Was wie ein ausgedachtes Horrorszenario klingt, ist leider weitverbreitete Realität. So zeigte der Varonis Datenrisiko-Report 2018, dass durchschnittlich 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich sind und in 41 Prozent der Unternehmen sämtliche Mitarbeiter Zugriff auf mindestens 1.000 sensible Dateien haben, wie personenbezogene Daten, Kreditkarten- oder auch medizinische Informationen.

Es gibt viele Arten, sich den Anforderungen der DSGVO zu nähern und diese umzusetzen. Einer davon ist der Artikel 17 mit seinen Verbraucher-Rechten. Diese zwingen die Unternehmen zu handeln und sind konkreter als die (noch) recht vage Aussicht auf Überprüfung durch die zuständigen Behörden. Auch wenn die Datenschutzgrundverordnung nun schon geraume Zeit in Kraft ist, ist es längst nicht zu spät, sie gezielt in Angriff zu nehmen.

Auch interessant: Apple-Chef Cook in Berlin: DSGVO ist Vorbild für globalen Datenschutz

Zum Autor: Thomas Ehrlich ist seit April 2017 Country Manager DACH und Osteuropa von Varonis Systems, dessen Sicherheitslösungen Daten vor Insider-Bedrohungen und Cyber-Attacken durch die intelligente Analyse von Daten, Kontoaktivitäten und Nutzerverhalten schützen und bei der Einhaltung von Compliance-Anforderungen helfen.

Lead 4 Cover 1200X1200
Wie bitte?

Noch nie gab es so viele Möglichkeiten zu kommunizieren. Wie Unternehmen es dennoch schaffen, ihre Botschaft erfolgreich zu vermitteln? Das neue LEAD Bookazine gibt unter anderem Tipps für den Einsatz von Voice-Skills, UX und Change-Management im Arbeitsleben. So gelingt Kommunikation – ohne Missverständnisse.

Anzeige
Anzeige
Verlagsangebot
Anzeige
Anzeige
Aktuelle Stellenangebote
Alle Stellenangebote