DSGVO und personenbezogene Daten

Die DSGVO und personenbezogene Daten gehören untrennbar zusammen. Aber was bedeutet dies für die Daten Verwaltung? Müssen Datenbanken neu organisiert werden? Damit befassen wir uns in diesem Beitrag. Wir zeigen auf, welche Massnahmen notwendig sind, um die neuen Anforderungen zu erfüllen.

Die Datenschutzverordnung der EU (DSGVO) stellt die neuen Anforderungen an die Daten Verwaltung indirekt. Sie ist ein juristischer und kein technischer Text. Deshalb gibt sie keine Vorgaben, wie die Anforderungen erfüllt werden sollen. Jedoch genau damit müssen sich fast alle Organisationen auseinandersetzen.

Wir beantworten folgende Fragen:

  • Welches sind die neuen Anforderungen?
  • Was ist zu tun, um sie zu erfüllen?

Artikel 15 der DSGVO

An den  Anfang unserer Ausführungen stellen wir den wichtigen Artikel 15 der DSGVO. Dieser hält das Auskunftsrecht der betroffenen Person fest. Zum Auskunftsrecht gehört selbstverständlich auch die Auskunftspflicht. Jede Organisation, die personenbezogen Daten einer Person verwaltet, ist dieser Pflicht unterworfen. Und daraus leiten sich die Anforderungen an die Daten Verwaltung ab.

Das Auskunftsrecht und die Auskunftspflicht sind unten schematisch dargestellt.

 

DSGVO, personenbezogene Daten, Personendaten
Schematische Darstellung der Auskunftsrecht und -pflicht gemäss DSGVO

Die betroffene Person hat also die folgenden Rechte:

  • Einsicht in die verwalteten Daten
  • Auskunft über
    • Kategorien der Daten, die verarbeitet werden
    • den Verarbeitungszweck
    • Herkunft der Daten
    • Empfänger, gegenüber denen die Daten offengelegt werden
    • Geplante Dauer der Speicherung
  • Recht auf Löschung der Daten
  • Hinweis, wenn eine automatisierte Entscheidungsfindung besteht
  • Hinweis auf das Bestehen eines Beschwerderechts.

Die neuen Aufgaben der Datenverwaltung

Diese Rechte der betroffenen Person stellt die Organisation, welche die Daten verwaltet vor neue Aufgaben. Ohne Massnahmen und zusätzlichen Aufwand können sie nämlich die Auskunftspflicht nicht erfüllen.

Es sind zwei neue Aufgaben. Sie sind sehr unterschiedlich. Dementsprechend sind es auch die notwendigen Massnahmen.

1. Metadaten zu den Daten der betroffenen Person verwalten

Die erste Massnahem betrifft zusätzliche Informationen, die über eine Person verwaltet werden müssen.

Bisher hatte eine Kundendatenbank in der Regel nur die eigentlichen Kundendaten abgespeichert. Es waren keine Datenfelder vorgesehen, welche die Herkunft der Daten, die Dauer der Speicherung der Daten oder die Empfänger der Daten enthielten. Dies ist heute jedoch notwendig.

Die Datenbank mit Personenbezogenen Daten braucht deshalb neue Datenfelder. Es sind so genannte Metadaten. Sie speichern die Daten über die Personendaten ab. Also Daten über Daten. Beispielsweise gehören zu jedem Datensatz Informationen über Verarbeitungszweck, Herkunft, Empfänger der Daten, geplante Dauer der Abspeicherung.

Für die Verwaltung von Kundendaten ist häufig ein CRM (customer relationship management) System eingesetzt. Glücklicherweise haben die CRM Hersteller in Deutschland sehr rasch reagiert. Sie haben ihre Systeme angepasst. Die Datenfelder für die Metadaten sind vorhanden. Sie müssen jedoch noch richtig befüllt werden.

2. Eindeutige Zuordnung aller Daten zur betroffenen Person

Die DSGVO verpflichtet die Organisation, Auskunft über die Daten der betroffenen Person zu geben. Das heisst, dass die Daten auch bekannt sein müssen. Und zwar alle, die zur Person gehören.

Darum geht es bei der zweiten Massnahme. Es gilt somit sicherzustellen, dass alle vorhandenen Daten der richtigen Person zugeordnet sind. Dies ist eine notwendig. Da sonst bei einer Abfrage nicht alle Daten gefunden werden.

Alle Daten aus zwei Datenbanken

Diese Aufgabe ist bei zwei unabhängigen Datenbanken ein Problem. Sie verwalten Daten derselben Person. Die Daten über eine Person sind verteilt Zwei Möglichkeiten stehen offen.

Entweder wir fragen beide Datenbanken ab. Danach fügen wir die Daten der Person irgendwie zusammen. Oder wir führen einen eindeutigen Identifikator über beide Datenbanken ein. Dann erhalten wir mit einer Abfrage alle Daten aus beiden. Welche Lösung wirtschaftlicher ist, hängt von der Anzahl Anfragen ab.

Alle Daten aus einer Datenbank

Betrachten wir noch den Fall einer Datenbank. Alle personenbezogenen Daten sind dort abgelegt. Aber auch hier gibt es Unsicherheiten. Es ist nicht selbstverständlich, dass bei einer Abfrage alle Daten der betroffenen Person gefunden werden.

Schwierigkeiten gibt es nämlich dann, wenn Fehler in der Datenbank vorhanden sind. Denn Tippfehler oder Verwechslungen bei der Eingabe der Daten sind häufig. Dadurch entstehen doppelte Datensätze, die Dubletten. Und schon sind die Daten einer betroffenen Person auf zwei Datensätze verteilt. Eine Abfrage bringt hier deswegen nur einen Teil der Daten der betroffenen Person. Abhilfe schafft nur die Bearbeitung der Dubletten. Sie werden entfernt und die Daten zusammengeführt.

 

Jürg Simonett

Dipl. El. Ing. ETH, Dr. sc. techn.

CEO
Senior Consultant bei System- und Datenintegrationsprojekten
bei CrowTen seit 1996

Jürg Simonett