Effizienter Datenschutz ist eine Frage der Automatisierung
Von Istvan Puskas*
Viele Unternehmen hadern noch immer mit der DSGVO und beklagen den hohen Aufwand, den die Datenschutzvorgaben verursachen. Dabei lassen sich diese mit Software-Lösungen, die bei der Inventarisierung von Daten und der Bearbeitung von Auskunfts- und Löschanfragen helfen, effizient umsetzen.
In den vergangenen Monaten haben die deutschen Datenschutzbehörden erneut zahlreiche Bußgelder wegen Verstößen gegen die DSGVO verhängt. Neben großen Unternehmen wie Volkswagen, der Hannoverschen Volksbank und der Tochtergesellschaft eines E-Commerce-Konzerns, die hohe Summen von mehreren Hunderttausend Euro zahlen mussten, waren auch zahlreiche kleine und mittelständische Firmen betroffen. Die Strafen zeigen, dass sich Unternehmen aller Branchen und Größen nach wie vor schwertun, die Vorgaben der DSGVO umzusetzen.
Das hat natürlich auch mit der voranschreitenden Digitalisierung und der durch Corona veränderten Arbeitswelt zu tun. Unternehmen müssen heute viel größere Datenmengen als noch vor ein paar Jahren beherrschen, die überdies nicht mehr nur auf Systemen innerhalb des Firmennetzwerks lagern, sondern zunehmend in Cloud-Services und von Mitarbeitern im Homeoffice verarbeitet werden. Die komplexen Infrastrukturen und Prozesse haben dazu geführt, dass sich häufig nicht mehr nachvollziehen lässt, wo Daten gespeichert sind, welchen Rechtsvorschriften sie unterliegen und wer auf sie zugreift.
Eigentlich bräuchten Unternehmen dringend standardisierte und automatisierte Prozesse, um die DSGVO-Anforderungen zu erfüllen, doch in der Praxis dominieren weiterhin manuelle Abläufe. Kein Wunder, dass in einer Bitkom-Umfrage nahezu die Hälfte der Befragten einen durch die DSGVO dauerhaft gestiegenen Aufwand für Datenschutz beklagt und fast ein Drittel sogar mit einem weiter zunehmenden Aufwand rechnet.
Manuelle Prozesse kosten Zeit
Treffen Auskunfts- oder Löschanfragen ein, sogenannte Data Subject Access Requests (DSAR), müssen Mitarbeiter in vielen Unternehmen händisch deren Rechtmäßigkeit und die Identität der Anfragenden überprüfen. Anschließend durchforsten sie riesige, verteilte Datenbestände und brauchen unzählige Rückfragen bei Kollegen, um alle benötigten Informationen in langen Listen und Tabellen zusammenzutragen. Teilweise dauert das Tage oder sogar Wochen und Monate – zu lange oft, um die Vorgaben der DSGVO einzuhalten, die für Auskünfte eine Frist von einem Monat vorsieht. Nur in Ausnahmefällen sind drei Monate möglich.
Lassen sich Unternehmen zu viel Zeit mit der Beantwortung von Auskunftsanfragen, riskieren sie Klagen. Noch ist zwar höchstrichterlich nicht geklärt, ob verspätete Auskünfte einen Schadensersatzanspruch begründen, doch das Oberlandesgericht Köln vertrat im Juli 2022 diese Auffassung. Dazu kommt, dass die manuellen Prozesse nicht nur zeitraubend sind und Mitarbeiter binden, die eigentlich andere, wertschöpfende Tätigkeiten übernehmen sollen; sie sind überdies auch fehleranfällig und skalieren schlecht. Spätestens wenn mehrere Anfragen auf einmal bearbeitet werden oder Unternehmen nach Datenschutzverletzungen die Behörden sowie eine Vielzahl von Betroffenen benachrichtigen müssen, gelangen sie an ihre Grenzen.
Istvan Puskas zeigt auf, dass es ohne die Mittel der digitalen Transformation nicht möglich ist, Compliance-Pflichten nachzukommen.
Software entlastet Mitarbeiter
Moderne Software-Lösungen helfen Unternehmen, sämtliche Aktivitäten rund um Auskunfts- und Löschanfragen zu automatisieren oder durch geführte Abläufe zu erleichtern. Die Anwendungen stellen beispielsweise ein einfach anpassbares Portal bereit, über das Verbraucher, Bewerber und andere Personen ihre Anfragen stellen können. Das Portal fragt alle benötigten Angaben für die Prüfung ab und verifiziert sie umgehend, sodass Mitarbeiter im Nachgang keine weiteren Informationen anzufordern brauchen. Anschließend benachrichtigt die Software die zuständigen Mitarbeiter und gibt ihnen konkrete Hinweise zu den erforderlichen Aktionen, listet Fälligkeitstermine auf und informiert auf übersichtlichen Dashboards über den Bearbeitungsstand.
Smarte Suchfunktionen unterstützen die Mitarbeiter bei der Recherche in verteilten Datenbeständen und der Überprüfung von Informationen direkt am Speicherort. Dadurch entfällt das umständliche Kopieren der Daten an eine zentrale Sammelstelle. Sind alle angefragten Informationen ermittelt, lassen sie sich per Klick in einem Dokument zusammenfassen und an den Antragsteller verschicken – alternativ ist der Versand in den ursprünglichen Datenformaten möglich. Automatisierte Workflows erleichtern dabei die Kommunikation mit den Anfragenden. Zudem werden alle Vorgänge dokumentiert, sodass Unternehmen sie für Prüfungen oder Zertifizierungen bei Behörden nachweisen können.
Ohne Dateninventar gehts nicht
Voraussetzung für eine solche software-gestützte Bearbeitung von Auskunfts- und Löschanfragen ist ein gut gepflegtes Dateninventar. Dieses listet alle vom Unternehmen gespeicherten Daten auf, den Speicherort und wer darauf zugreift. Bei der Erstellung helfen ebenfalls moderne Software-Lösungen, die idealerweise nicht nur über alle Standorte und Datenquellen wie Fileserver, Cloud-Services und Mail-Systeme hinweg erfassen, wo Daten abgelegt sind und ob es sich um personenbezogene Daten handelt. Gute Lösungen ermitteln darüber hinaus, welchen Rechtsvorschriften und Aufbewahrungsfristen die Daten unterliegen und in welche Prozesse sie eingebunden sind.
Wie lange der Aufbau eines Dateninventars dauert, hängt von der Größe des Datenbestandes ab. Wichtig ist, dass das Inventar nicht nur eine Momentaufnahme bleibt, sondern kontinuierlich aktualisiert wird, da Daten immer wieder bearbeitet oder kopiert werden oder neue Daten hinzukommen. Damit die Aktualisierungen nicht zu viele Server- und Netzwerkressourcen beanspruchen, nutzen smarte Lösungen statistische Verfahren, um Veränderungen an Daten und Zugriffen zu entdecken. Darüber hinaus unterstützen sie bei der Definition von Löschprozessen und bewerten Datenschutz- und Sicherheitsrisiken – besteht Handlungsbedarf, lösen sie automatisch eine Warnmeldung aus.
Letztlich ist der Versuch, DSGVO-Compliance mit manuellen Prozessen herstellen zu wollen, von vornherein zum Scheitern verurteilt. Angesichts wachsender Datenbestände, komplexer Regularien und steigender Datenrisiken sind Unternehmen auf intelligente Tools angewiesen, um Mitarbeiter zu entlasten und das Risiko von Strafzahlungen zu minimieren.
* Istvan Puskas, Director Sales DACH Corporate bei Exterro
Aufmacherbild / Quelle / Lizenz
Foto von Fernando Arcos: https://www.pexels.com/de-de/foto/weisser-warnkegel-auf-der-tastatur-211151/
Creative Commons Lizenz CC BY-ND 4.0
Sie dürfen:
Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.
Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
Unter folgenden Bedingungen:
Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.