Seit Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft. Fiel die Höhe und die Anzahl der verhängten Bußgelder in den ersten Monaten noch moderat aus, häufen sich derzeit die Meldungen über Strafzahlungen im Millionenbereich. Als besonders herausfordernd für Unternehmen stellt sich die Forderung nach der fristgerechten Aufbewahrung und Löschung von personenbezogenen Daten heraus. Hierfür ist ein leistungsfähiges System für das Enterprise Information Management (EIM) ein wertvolles Werkzeug.
Ein Bußgeld von 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung – der Eingang des Bescheids der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Maja Smoltczyk, dürfte bei der Deutsche Wohnen SE für einigen Unmut gesorgt haben. Die harte Strafe kassiert die Wohngesellschaft, weil sie die Daten ihrer Mieterinnen und Mieter nicht gesetzeskonform archivierte. Weil dieses Vergehen bereits in 2017 durch die Behörde angemahnt worden war und bei einer Zweitprüfung in 2019 nur geringfügige Verbesserungen festgestellt wurden, führte kein Weg an einer Strafe vorbei. Doch welche Anforderungen stellt die DSGVO an Unternehmen und wie können sie erfüllt werden?
Die DSGVO macht zahlreiche Vorgaben zum Datenschutz, deren Umsetzung technologische wie auch organisatorische Maßnahmen verlangen. Drei der wichtigsten Herausforderungen für Unternehmen auf dem Weg zu einem gesetzeskonformen Datenschutz sind:
Damit alle Mitarbeiter eines Unternehmens im Sinne der DSGVO handeln können, müssen sie ausreichend sensibilisiert und geschult sein. Das allein reicht aber natürlich nicht aus, ebenso entscheidend ist es, die entsprechende Technologie zur Verfügung zu stellen. Ein Enterprise Information Management System (EIM) kann ein wertvolles Werkzeug für den Datenschutz sein, wenn es die entsprechenden Leistungsmerkmale besitzt.
Drei Herausforderungen der DSGVO
Die DSGVO schreibt vor, dass die Datenverarbeitung für Betroffene transparent sein muss. Das bedeutet, dass eine von außen nachvollziehbare Dokumentation der Datenverarbeitung gegeben sein muss. Außerdem nennt die Verordnung eine Reihe von Informationen und Auskünften, die auf Anfrage erteilt werden müssen. Und zwar in der Form, dass Betroffene sie verstehen, vollumfänglich informiert sind und eine angemessene Entscheidungsgrundlage dazu haben, was mit ihren Daten passieren soll. Diese Informationen können Verantwortliche aber nur liefern, wenn die eigene Datenverarbeitung auf Prozessebene vollständig dokumentiert ist.
Die Schutzziele der Informationssicherheit lauten Vertraulichkeit, Integrität und Verfügbarkeit. Die DSGVO fordert zur Erreichung dieser Ziele die nötigen technisch-organisatorische Maßnahmen (TOMs) zu ergreifen. Außerdem müssen Systeme im Notfall schnell wiederhergestellt werden können und belastbar sein. Wie genau die TOMs gestaltet sein müssen, ist nicht festgelegt. Empfehlenswert als sinnvoller Schutz sind aber Maßnahmen wie Pseudonymisierung, Anonymisierung und Verschlüsselung. Eine enge Zusammenarbeit mit der IT und dem Informationssicherheitsbeauftragten ist bei der Vergabe von TOMs deshalb dringend anzuraten.
Die DSGVO schreibt außerdem das „Recht auf Vergessenwerden“ vor. Diese Löschpflicht für personenbezogenen Daten greift, wenn der jeweilige Verarbeitungszweck erloschen ist. Dem stehen jedoch zahlreiche Aufbewahrungsfristen gegenüber, die eine Vernichtung bis zum Ende der jeweiligen Frist verbieten. Komplizierter wird die Situation zusätzlich dadurch, dass beispielsweise Name und Anschrift eines Kunden häufig in unterschiedlichen Verfahren mit unterschiedlichen Aufbewahrungsfristen verwendet werden. Damit solche Daten später zielgerichtet gelöscht werden können, ist es also notwendig, die Speicherorte der jeweiligen Verfahren sorgfältig zu dokumentieren. Solange die Aufbewahrungsfrist abläuft, muss der Zugriff auf personenbezogene Daten begrenzt werden, wobei Ausnahmen möglich bleiben müssen, etwa im Falle einer Wirtschaftsprüfung. Effektive Mittel, dies zu erreichen, sind die gezielte Vergabe von Nutzerberechtigungen oder das Setzen von Sperrkennzeichen.
EIM als wertvolles Werkzeug für den Datenschutz
Grundvoraussetzung für die Erfüllung der Bestimmungen der DSGVO ist vor allem eines: eine übersichtliche und strukturierte Datenhaltung. Ein leistungsfähiges EIM-System bietet genau das. Speziell bei der wohl größten Herausforderung für Unternehmen – der Einhaltung der gesetzlichen Löschfristen – ist es wertvoll, weil es die Dokumente, die personenbezogenen Daten enthalten, strukturiert und revisionssicher vorhält. Papierbasierte Dokumente werden bis auf wenige Ausnahmen überflüssig. Würden die Dokumente mehrfach existieren oder wahllos abgespeichert, wäre es praktisch unmöglich, alle Exemplare eines Dokuments ausfindig zu machen und zu vernichten. Doch auch bei der Gewährleistung einer transparenten Datenverarbeitung sowie der Einhaltung der Schutzziele der Informationssicherheit ist ein EIM hilfreich.
Unter anderem an der Vernichtung der Daten ist die Deutsche Wohnen gescheitert. In einer Mitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit zum ausgesprochenen Bußgeld ist die Rede von einer Speicherung personenbezogener Daten, die ohne vorherige Prüfung, ob sie zulässig oder erforderlich ist, passierte. Zudem wurde „für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendet, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen“.
Eines der wichtigsten Leistungsmerkmale eines EIM ist es, Dokumente und Daten zuverlässig und mit geringem Aufwand zu verwalten und übersichtlich abzulegen. Darüber hinaus bieten Systeme wie nscale von der Ceyoniq Technology die Möglichkeit, Lösch-, Sperr- und Aufbewahrungsfristen festzulegen. Nur so können Löschkonzepte zur Einhaltung der DSGVO zuverlässig und komfortabel umgesetzt werden.
Des Weiteren können in führenden EIM-Lösungen Sichtbarkeitsregeln für einzelne Benutzer definiert werden. Auch festgelegte Rollen, wie etwa Vertrieb oder Geschäftsführung, können mit verschiedenen Kompetenzen ausgestattet werden. Auf diese Weise ist die Erstellung auch von komplexen Berechtigungskonzepten möglich. Die Nutzung eines EIM lohnt also nicht nur in Bezug auf das sichere Löschen, sondern bietet auch eine Zugriffsbegrenzung während der Aufbewahrungsfrist. Die flexiblen Berechtigungskonzepte sorgen dafür, dass der Zugriff auf die Dokumente nur Personen möglich ist, die diese für ihre Arbeit benötigen.
Fazit
Die Anschaffung eines EIM-Systems allein reicht jedoch nicht aus, um DSGVO-konform zu sein. Eine Software ist ohne Frage ein wertvolles Hilfsmittel, das jedoch auch zielgerichtet eingesetzt werden muss. Denn welche Daten wie geschützt werden müssen, unterscheidet sich von Unternehmen zu Unternehmen. Bei der Analyse und der Erstellung eins Schutzkonzeptes kann die Unterstützung durch einen erfahrenen Partner von großem Wert sein. Die Zusammenarbeit mit Experten, die nicht nur über technologisches, sondern auch über juristisches Fachwissen verfügen, ist daher empfehlenswert. Zudem ist die Verbindung ERP und DSGVO ist von großer Bedeutung, da sie Unternehmen dabei unterstützt, effiziente Geschäftsprozesse zu etablieren und gleichzeitig die Datenschutzbestimmungen einzuhalten.