EIN.BLICK

Alexa, wo sind die Daten?

Viele Unternehmen haben große Anstrengungen unternommen, um die Anforderungen der Datenschutz-Grundverordnung (DSGVO) möglichst effektiv umzusetzen. Doch wie kann der Reifegrad der implementierten Prozesse und Maßnahmen überprüft werden? Ein DSGVO-Compliance- Assessment verschafft Einblick in Datenberge. 
Von Roland Pucher

DSGVO-Projekte sind stark prozessorientiert und die zu schützenden personenbezogenen Daten durchdringen zahlreiche IT-Systeme und oftmals die gesamte Organisation. Für Unternehmen war es eine immense Herausforderung eine entsprechende Compliance zum Stichtag 25. Mai 2018 herzustellen. Ein Verzeichnis von Verarbeitungstätig- keiten (VdV) sollte in den meisten Unter-nehmen mittlerweile zumindest teilweise implementiert sein. Zur Erhebung der Verarbeitungstätigkeiten werden häufig Interviews geführt, um bestehende  Prozesse zu identifizieren und anschlie-ßend entsprechend den Vorgaben der DSGVO anzupassen. Aber auch nach der Implementierung eines VdV und der Schaffung DSGVO-konformer Prozesse wird die folgende Frage meist nur unzureichend beantwortet: 

Wo sind die personenbezogenen Daten der einzelnen Kunden oder Mitarbeiter gespeichert, sollten diese ein Auskunftsersuchen stellen?

„Alexa“ wird auf diese Frage keine passende Antwort liefern können. Durch die Anpassung der Prozesse an die DSGVO werden neue Daten und Dokumente strukturiert abgelegt und sind, zumin-dest in der Theorie, leichter auffindbar. Was ist aber mit den Altlasten, wie zum Beispiel dem berüchtigten Netzwerklaufwerk „Z: (Daten)“, welches seit mehr als zehn Jahren in vielen Unternehmen existiert und von den Mitarbeitern meist als „Datengrab“ genutzt wird? Solche Datengräber mit unstrukturierten Daten (z.B. Office-Dokumenten und E-Mails) sind im Zusammenhang mit der DSGVO und deren Anforderungen der Super-GAU. Denn in der Regel weiß niemand genau, was dort abgelegt wurde und Millionen Dokumente, also Terrabyte an Daten, manuell zu durchforsten käme einer Sisyphusarbeit gleich.

MITHILFE COMPUTERFORENSISCHER TECHNOLOGIE EINBLICK SCHAFFEN

Zieht man das zuvor erwähnte Netz-laufwerk „Z: (Daten)“ als Beispiel für ein DSGVO-Compliance-Assessment zum Auffinden von personenbezogenen Daten in einer unstrukturierten Datenmenge heran, so geht man in mehreren Schritten vor: 

  1. Auswahl der Daten: Im ersten Schritt wird die Ausgangsdatenmenge ausgewählt. Umfasst das Netzlaufwerk Terrabyte an Daten? Dann sollte die Datenmenge zunächst sinnvoll aufgeteilt werden und das Assessment im Sinne eines kontinuierlichen Verbesse-rungsprozesses (PDCA-Zyklus) durchge-führt werden. Eine praktikable Aufteilung könnte beispielsweise auf Ordner- oder Abteilungsebene erfolgen. Der Vorteil hierbei liegt in der raschen Durchlaufzeit. Ergebnisse stehen für die unternehmensinternen Datenschutzverantwortlichen schneller zur Verfügung und Änderungen können einfacher umgesetzt werden.
  2. Datenaufbereitung: Die unstrukturierten Daten des Netzlaufwerks werden nun mittels bewährter eDiscovery-Technologie aufbereitet. Abhängig von den enthaltenen Datei-typen kann es hilfreich sein, irrelevante Dokumente von der weiteren Aufberei-tung auszuschließen. Darunter fallen ausführbare Dateien, Systemdateien oder Multimediadateien, die Musik und Videos beinhalten. Sollten diese Daten doch benötigt werden, können sie nachträglich jederzeit wieder inkludiert beziehungsweise integriert werden. Die Software extrahiert aus jeder Datei die erforderlichen Informationen (Dateiname, Ersteller, Datum, Pfad etc.) und kann den Inhalt der Dokumente durchsuchen. Mithilfe einer automati-sierten Texterkennung kann sogar der Text von gescannten Rechnungen oder anderen Bilddaten erfasst werden.
  3. Analyse und Klassifizierung: Nach der Datenverarbeitung werden die Dokumente klassifiziert. Eine solche Klassifizierung kann beispielsweise anhand von Kundennamen, Kunden- nummern, IBANs oder ähnlichen Kriterien erfolgen. Eine sorgfältige Auswahl der Kriterien zur Klassifizierung der Dokumente ist entscheidend. Üblicherweise erfolgt dieser Schritt in enger Abstimmung mit der Compliance- Abteilung bzw. dem Datenschutzbeauftragten. Die Klassifizierung erfolgt mithilfe listen- basierter Suchbegriffe bzw. anhand einer musterbasierten Suche.
  4. Reporting: Das Ergebnis des Assessments ist im einfachsten Fall ein Diagramm zur Visualisierung der identifizierten personenbezogenen Daten, kumuliert nach Speicherorten – eine so genannte Heatmap. Ob interaktives Dashboard oder CSV-Datei mit detaillierten Ergebnissen: der Report liefert die Information, wo personenbezogene Daten identifiziert wurden und an welchen Orten diese Daten gespeichert sind.  

SUMMARY: Die Durchführung eines DSGVO-Compliance-Assessment ist zwar nicht einfach, lohnt sich aber, da Licht in das Dunkel der unstrukturierten Netzlaufwerke und sonstiger schwer zu verwalten-den Datenablagen gebracht wird. Neben der Klassifizierung der vor-handenen Datenberge erleichtert ein DSGVO-Compliance- Assessment die Identifikation von Dokumenten und reduziert den Aufwand im Zusammenhang mit Auskunftspflichten und Löschanforderungen. Auch unabhängig von den Anforderungen durch die DSGVO sollte jedes Unternehmen wissen, welche Daten – egal ob mit oder ohne Personenbezug – an welchen Orten gespeichert sind.

 

Diesen Artikel finden Sie auch in unserem Kundenmagazin ein.Blick. Das komplette Magazin können Sie hier kostenlos bestellen: magazin@at.gt.com. Darin finden Sie unter anderen Interviews mit Felix Gottwald, Spitzensportler, mit Josef Schwarzegger von Porr und spannende Artikel z.B. über Digitale Detektive. 

Für Fragen steht Ihnen Roland Pucher, roland.pucher@at.gt.com gerne zur Verfügung!

Blättern Sie hier durch das PDF.  [ 4878 kb ]

[ 4878 kb ]