print logo

Keine Panik bei Auskunftsersuchen

Mit der DSGVO kamen die Auskunftsrechte: Wie können sich Unternehmen auf Data Subject Access Requests (DSAR) vorbereiten?
Thomas Ehrlich | 21.03.2019
Auskunftsersuchen stellen eine Herausforderung für Unternehmen dar © www_slon_pics
 
Mit ihren umfassenden neuen Datenschutzbestimmungen und strengen Bußgeldern für unzureichende Sicherheit ist die DSGVO sicherlich eine der bedeutendsten Regelwerke, die die Geschäftswelt seit Jahren getroffen hat. Neue Anforderungen an die Datensicherheit und den Umgang mit Verstößen haben dazu geführt, dass Unternehmen endlich die Cybersicherheit in den Vordergrund stellen mussten, anstatt nur Lippenbekenntnisse abzugeben. Dennoch kämpfen nach wie vor zahlreiche Unternehmen mit der Umsetzung. Dies gilt insbesondere für die Umsetzung der Betroffenenrechte.

Eines der zentralen Elemente der DSGVO ist das Auskunftsrecht für betroffene Personen (Artikel 15). Dieses ist auch von grundlegender Bedeutung für weitere Rechte, etwa das Recht auf Löschung bzw. auf Vergessenwerden. Um von diesen Rechten überhaupt Gebrauch machen zu können, müssen Betroffene ja erst einmal wissen, welche Daten überhaupt (und aus welchen Gründen) gespeichert werden. Entsprechend können sie von den Unternehmen Auskünfte anfordern, welche Daten gespeichert sind, wie sie gesammelt wurden, wie sie verwaltet und verwendet werden (Data Subject Access Requests/DSAR).

Die Herausforderung für Unternehmen ist dabei folgende: 80 Prozent aller Daten eines Unternehmens liegen in unstrukturierten Dateien wie E-Mails, Tabellenkalkulationen und Textdokumenten im Dateisystem. Bei so vielen Daten, die ständig erstellt, bearbeitet und kopiert werden, verlieren selbst die akribischsten Unternehmen irgendwann den Überblick über die von ihnen gespeicherten Daten. So ergab der Datensicherheits-Report 2018, dass durchschnittlich 54 Prozent der Daten eines Unternehmens länger nicht genutzt wurden bzw. veraltet sind, was nicht nur die Speicherkosten erhöht, sondern vielmehr auch das Datenmanagement erschwert. Den meisten Unternehmen fehlt offensichtlich die Technologie, um die riesigen Datenmengen in ihren Systemen erfolgreich zu durchsuchen und die gewünschten Informationen zu finden. Und die Zeit läuft: Innerhalb eines Monats nach Eingang des Antrags müssen die gewünschten Auskünfte erteilt werden, nur in Einzel- bzw. Härtefällen kann diese Frist verlängert werden.

Finden, nicht suchen


Die gängigen System-Suchfunktionen arbeiten in aller Regel nicht sonderlich effizient, haben eine beschränkte Such-Tiefe und Schwierigkeiten bei Inhalten, welche (mehrfach) dupliziert wurden. Und das ist im Unternehmensalltag gängige Praxis: Nehmen wir als Beispiel eine Excel-Tabelle mit Kundendaten. Die Datei wird an eine E-Mail angehängt und mit mehreren Kollegen geteilt, von denen zehn sie auf ihren Systemen speichern. Im folgenden Monat wird ein Teil der Tabelle in einem Bericht verwendet, der auf SharePoint hochgeladen wird, und für 20 Personen zugänglich ist. Plötzlich existiert ein Datensatz an Dutzenden von Orten, darunter verschiedene Dateisysteme, Netzwerkspeicher und E-Mail-Server.

Auch die unterschiedliche Menge an Anfragen stellt Herausforderungen dar. Gerade nach Inkrafttreten der DSGVO verzeichneten viele Unternehmen einen deutlichen Anstieg. Und auch Datenskandale können dafür sorgen, dass innerhalb kurzer Zeit vermehrt Personen Auskünfte einfordern. Dadurch besteht in diesen Hoch-Zeiten die Gefahr, dass hierdurch eigentlich an anderer Stelle benötigte Ressourcen gebunden werden. Spätestens hier kommt die Automation ins Spiel. Sie wird zum Schlüssel, da die Prozesse sowohl schnell als auch gleichzeitig mit großer Genauigkeit ablaufen müssen. Die Betroffenen haben das Recht auf eine vollständige Auskunft. Ist dies nicht gewährleistet, droht auch hier ein Bußgeld. Nun könnte man einwenden, wie es in der Praxis herauskommen soll, dass das Unternehmen einige Daten zu erwähnen „vergessen“ hat? Nun, stellen wir uns den Fall vor, dass jemand von seinem Recht auf Löschung Gebrauch macht, das Unternehmen dem nicht zu 100 Prozent nachkommt (weil es eben einige Daten/Dateien nicht gefunden hat) und später Opfer eines Hacks wird, bei dem auch die vermeintlich gelöschten Informationen auftauchen. Und dass diese Gefahr durchaus real ist, zeigt ein kurzer Blick auf die Datenverstöße der jüngsten Zeit.

Automation bringt aber nur dann etwas, wenn sie alle relevanten Bereiche erreicht. Hier kommt es auf eine Einbeziehung aller Systeme an, auf denen (potenziell) Daten gespeichert werden, also eben nicht nur die eingesetzten Datenbanken, sondern vor allem auch File- und E-Mail-Server sowie Cloud-Speicher. Nur wenn in allen Bereichen eine entsprechende Transparenz gegeben ist, sind Unternehmen in der Lage, den Anforderungen der DSGVO zu genügen.