Das Recht auf Vergessen werden ist einer der kompliziertesten Aspekte bei der DSGVO-Konformität. Wenn man sich jedoch darauf vorbereitet, wird sich die Data Governance in ganz Europa deutlich verbessern.
Am bekanntesten ist das Recht auf Vergessenwerden in Verbindung mit einem Beschluss, nach dem veraltete oder irrelevante personenbezogene Daten von EU-Bürgern auf Antrag aus Suchmaschinenergebnissen entfernt werden müssen.
Nach der neuen DSGVO sind demnächst alle Unternehmen zu Ähnlichem verpflichtet. Verlangt jemand, dass man seine persönlichen Informationen vom System entfernt, muss das Unternehmen sämtliche Instanzen solcher Daten finden und löschen – es sei denn, dies verstieße gegen ein anderes Gesetz. Die DSGVO betrifft den Schutz personenbezogener Daten (Namen, Telefonnummern, Kontoangaben usw.) Für viele Unternehmen ist das Aufstellen von Prozessen zum Auffinden, verwalten und Löschen eine wahre Mammutaufgabe.
Wo fange ich an?
Der erste Schritt ist, die Verordnung zu verstehen, worum es geht. Zu prüfen ist, wie man sich zu anderen Bestimmungen verhält. Transaktionsdaten etwa müssen möglicherweise eine gewisse Zeit lang aufbewahrt werden. So sollte man das Risikomanagement, die IT-Systeme und die Richtlinien prüfen, um herauszufinden, wo bereits Compliance herrscht und was geändert werden muss. Sobald man ein Bild davon habt, welche Daten gelöscht werden müssen, gilt es zu ermitteln, welche Art von personenbezogenen Daten man besitzt und wo diese gespeichert sind.
Am häufigsten sind es personenbezogene Daten von Mitarbeitern, Zulieferern und (potenziellen) Kunden. Einige der Orte, wo diese gespeichert sind, wie CRM-Datenbanken, sind offensichtlich. Andere Daten hingegen sind schwieriger zu finden, z. B. in Berichtdateien auf Laptops oder Dateiservern. Es gibt jedoch benutzerfreundliche Lösungen, mit denen man nach ruhenden DSGVO-Daten suchen kann, die sich in Dateien verstecken, und zwar sowohl auf Laptops als auch auf Dateiservern oder in der Cloud.
Weiterhin muss man verstehen, wie DSGVO-Daten im eigenen Unternehmen verbreitet werden, z. B. über Kontaktlisten für das Telemarketing. Man kann diesen Datenfluss aufdecken, indem man Abteilungen konsultiert, in denen kritische Daten gespeichert werden. Selbst wenn die Daten das Unternehmen verlassen, ist man weiterhin dafür verantwortlich. Man muss also wissen, an wen man sie verschickt hat, um Anträge auf Datenlöschung erfüllen zu können.
Der DSGVO Countdown läuft
Indem man verfolgt, überwacht und sucht, wo sich DSGVO-Daten befinden, wird man erkennen, wie Konformität hergestellt werden kann, was bereits getan wird, und wo es Lücken gibt. Mit diesen Erkenntnisse erarbeitet man einen Plan, der einem erlaubt, die DSGVO einzuhalten. Am besten konzentriert man sich auf drei zentrale Bereiche: Personen, Prozesse und Technologien.
Personen sind einerseits die größte Stärke, andererseits aber auch die größte Schwachstelle. Menschen machen Fehler, speichern Informationen am falschen Ort und nutzen alternative Methoden, durch die die IT-Abteilung die Kontrolle über die Daten verliert. Unternehmen müssen herausfinden, auf welchem Wege Daten weitergegeben werden. Zudem müssen sie Aufklärung betreiben und Veränderungen berücksichtigen, um etwaige Schwachstellen zu schließen.
Prozesse betreffen nicht nur die Vorbereitung auf etwaige Anträge zur Datenlöschung und das Aufstellen von Maßnahmen bei Erhalt eines solchen Antrags. Damit man dem Antrag nachkommen kann, müssen möglicherweise noch andere Prozesse aktualisiert und eingeführt werden. Beim Herstellen von Compliance geht es im Grunde um einen guten Umgang mit Daten und die Vermeidung von Risiken.
Technologien können durch die Automatisierung manueller Schutzmechanismen zur Wahrung der DSGVO-Konformität beitragen. Mit Hilfe von Technologien können Sicherheitspolicen durchgesetzt und Daten sichtbar gemacht werden, die in das und aus dem Unternehmen fließen. Die Einrichtung eines adaptiven Sicherheitssystems ist unproblematisch. Anschließend werden Informationen, die der DSGVO unterliegen, bei der Datenübertragung entsprechend der eigenen Richtlinie herausgefiltert, und zwar automatisch und konsequent. Dadurch wird menschliches Versagen (z. B. der Versand einer E-Mail an den falschen Empfänger) ausgeschlossen. Außerdem müssen Prozesse, wie Apps zur automatischen Erstellung von Kundenberichten, nicht geändert werden.
Gute Data Governance für alle
Die DSGVO wurde als Hilfsmittel für einen guten Umgang mit Daten konzipiert und schützt sowohl Kunden als auch Mitarbeiter. Sie verlangt bewährte Methoden, die ohnehin befolgt werden sollten. Für diejenigen, die dies noch nicht tun, ist die DSGVO ein Weckruf. Sicher, bei Verstößen drohen Bußgelder und Imageverlust. Wenn man es jedoch richtig angeht, winken Belohnungen wie ein größeres Vertrauen der Kunden und Partner.