Befindet sich Ihr größtes DSGVO-Risiko in einem Aktenschrank?
Von Ike Kavas, Übersetzung von Susanne Kandler
Als Sie das letzte Mal ein neues Girokonto eröffneten, Ihren Immobilienkredit refinanzierten oder ein Darlehen für das Studium beantragten, füllten Sie eine Menge Formulare aus, in denen alles – von der Sozialversicherungsnummer bis zur persönlichen Kredithistorie – dokumentiert wurde.
Hätten Sie dieses Verfahren im Internet abgeschlossen – zumindest nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) der EU – hätten Sie sich höchstwahrscheinlich durch ein Pop-up geklickt, dem die aktuelle Datenschutzrichtlinie der Bank zu entnehmen ist. Die neuen EU-Vorschriften versprechen Bürgern Autonomie über ihre personenbezogenen Daten, einschließlich das „Recht auf Vergessenwerden“. Von Unternehmen, die in Europa Geschäfte machen –unabhängig davon, wo sich deren Firmensitz befindet –, verlangt das Gesetz eine umfassende Rechenschaft über alle Kundendaten. Bei Nichteinhaltung der gesetzlichen Vorgaben winken saftige Geldbußen.
Datenschutz und sensible Daten
Nachdem der Facebook-Skandal wegen Cambridge Analytica die wahre Verletzlichkeit des Datenschutzes im Internet offenbart hat, ist es nur verständlich, dass wir die DSGVO – und ähnliche Gesetze, die jüngst in Australien und Kalifornien verabschiedet wurden – als Schutz einer rein digitalen Sphäre betrachten. Denn schließlich wurden wir nicht auf die aktuelle Datenschutzrichtlinie der Bank oder unser Recht auf die Kontrolle über unsere angegebenen Daten hingewiesen, als wir damals ein Girokonto eröffneten. Doch der Entwurf der DSGVO entstand bereits etliche Jahre, bevor der Datenschutz im Internet eine brisante Aktualität erhielt, und er gilt für alle Daten.
Sie haben das Recht auf die Kontrolle jener Daten, die Sie dem Bankmitarbeiter in den Formularen überließen. Und die Bank ist dafür verantwortlich, sorgsam damit umzugehen.
Der Umgang mit sensiblen Daten in Papierform ist in einer Vielzahl von Branchen weit verbreitet, von der Autofinanzierung bis hin zu Krankenkassen. Ob es sich nun um handschriftliche Aufzeichnungen oder elektronische Daten handelt – personenbezogene Daten in den Dokumenten, die in große proprietäre Datenbanken gescannt werden, sind ein ebenso großes DSGVO-Risiko wie die Daten, die wir im Internet bei elektronischen Zahlungen, in Online-Formularen und durch unser Suchverhalten preisgeben.
Milliarden dezentral gespeicherter Dokumente
Bestehende Einrichtungen im Rechts-, Versicherungs- und Gesundheitswesen haben unendlich große Datenbanken voller Dokumente. Eine Großbank räumte mir gegenüber ein, dass sie über 100 Milliarden Dokumente verfügt, die auf diverse Datenbanken verteilt sind. Diese sind zwar sicher, doch unstrukturiert und weitgehend nicht ausgewiesen. Sogar bei Unternehmen mit wesentlich kleineren Datenbeständen sind die in solchen Dokumenten versteckten Daten – sogenannte „dunkle Daten“ – bekanntermaßen schwer aufzufinden und zu extrahieren. Nachdem die Datenschützer sprichwörtlich vor der Tür stehen, suchen Unternehmen bei ausgefeilten, mit künstlicher Intelligenz ausgestatteten Technologien für maschinelles Lernen Hilfe, um ihre sensiblen Dokumente zu hüten.
Obwohl viele US-amerikanische Organisationen mit Niederlassungen in Europa die von der DSGVO vorgeschriebenen Datenschutzregeln bei Kunden in aller Welt und nicht nur in der EU anwenden, gibt es wenig Hinweise darauf, dass Organisationen beim Umgang mit Dokumenten besondere Vorsicht walten lassen.
Ergreifen Sie Maßnahmen
Es gibt einen sprunghaften Anstieg proaktiver Maßnahmen zur Sicherstellung der Informationssicherheit, wie die Anweisung, keine Unterlagen offen auf dem Schreibtisch liegen zu lassen, oder Sicherheitstechnologie bei unternehmenseigenen Druckern. Diese Initiativen sind notwendig, wenn man bedenkt, dass einem Bericht der britischen Aufsichtsbehörde zufolge, der „Verlust von Unterlagen in Papierform“ die häufigste Ursache von Sicherheitsverstößen im Rechtswesen darstellt. Etwa die Hälfte der gemeldeten Vorfälle im Zeitraum 2015-2016 geht darauf zurück.
Doch es ist unerlässlich, dass Unternehmen die richtigen Tools und Ressourcen haben, auch reaktiv Maßnahmen zu ergreifen. Die DSGVO setzt zu einem großen Teil voraus, dass Unternehmen in der Lage sind, die Daten ihrer Kunden bei Bedarf zu finden, zu extrahieren oder sogar zu bearbeiten. Wie kann man „vergessen“, dass ein Kunde jemals existiert hat, wenn man nicht alle Informationen vorweisen kann, die dieser jemals preisgegeben hat?
Ganz gleich, ob es sich um die DSGVO, den kalifornischen Consumer Privacy Act von 2018 oder künftige Datenschutzgesetze handelt, die sich in den kommenden Jahren rund um den Globus verbreiten werden – die Einhaltung der Datenschutzgesetze ist eine umfassende Aufgabe. Sie umfasst Daten in der digitalen und in der physischen Sphäre – die Gesamtheit ausgefeilte Internet-Verschlüsselung und IT-Infrastrukturen, neuste Lösungen für intelligente Erfassung von Dokumenten und Inhalten sowie die altmodische Disziplin, die Unterlagen in Ordnung zu halten. Es ist eine enorme Aufgabe.
Ob es nun von den Gesetzgebern beabsichtigt war oder nicht, so tragen die Datenschutzgesetze in erheblichem Maße dazu bei, das Vertrauen zwischen den Verbrauchern und den Unternehmen wiederherzustellen, die deren Daten erheben.
Vertrauen ist im Geschäftsleben entscheidend. Es zahlt sich aus, hier alles richtig zu machen.
