Auch nach fünf Jahren DSGVO:Es bleibt schwierig im Datenuniversum
26. Mai 2023
Die Vereinheitlichung des Datenschutzes in der EU war eine Zäsur in Sachen informationelle Selbstbestimmung. Die DSGVO (Datenschutz-Grundverordnung) schreibt Unternehmen seit dem 25. Mai 2018 vor, Verantwortung für die personenbezogenen Daten zu übernehmen. Doch auch fünf Jahre später sind die Menschen in der EU noch weit davon entfernt, unter der datenschützenden Hand der Justitia ruhig schlafen zu können.
Viele Unternehmen scheitern nach wie vor am Datenschutz., und die Gründe dafür sind breit gefächert. Eine der größten Schwierigkeiten des Informationszeitalters ist zweifelsohne die Datenflut. Jedes Bewerbungsverfahren, jede Kundenmail und jeder Webseitenbesuch füllt die Speicher von Unternehmen mit personenbezogenen Daten. Die Zahl ihrer Quellen ist aber nur der Beginn der Problematik, denn Daten laufen selten zentral in einem einzigen, überschaubaren Speicher zusammen.
In den meisten Unternehmen ist das Gegenteil der Fall. Die sensiblen Informationen verteilen sich gewöhnlich über deren gesamte IT-Infrastruktur – vom Cloud-Speicher über stationäre Rechenzentren bis hin zu den einzelnen Clients, auf denen Mitarbeiter sie lokal speichern. Softwareseitig ergeben sich weitere Herausforderungen, denn Unternehmen setzen für gewöhnlich zahlreiche Tools ein, von Mail-Programmen über Kommunikations-Apps bis hin zu Datenbanken und Cloud-Diensten. Sie sammeln und speichern nicht nur unzählige Daten, sondern tun das auch noch in vielen verschiedenen Formaten.
Warum Unternehmen am Datenschutz scheitern, ist mit einem Gleichnis schnell verdeutlicht: Man stelle sich eine Bibliothek vor. Der Bibliothekar soll nun im Zuge einer Säuberungsaktion aus sämtlichen Büchern das Wort „Datenschutz“ herausstreichen – und zwar in jeder Sprache und aus jedem Buch, selbst wenn es gerade verliehen oder gar nicht mehr im Register ist.
Ungefähr so geht es Datenschutzbeauftragten, wenn Personen von ihrem Recht Gebrauch machen wollen, nicht mehr in den Datensätzen eines Unternehmens aufzutauchen. Mit herkömmlichen Suchmöglichkeiten und Hilfsmitteln ist es praktisch unmöglich, eine restlose Entfernung zu gewährleisten. Das macht Unternehmen angreifbar, selbst wenn sie nach bestem Wissen und Gewissen handeln.
Ein zusätzliches Problem ist die auf unbestimmte Zeit schwer zu durchbrechende Abhängigkeit von US-Clouds und -Anwendungen. Datenschützer monieren immer, dass eine DSGVO-konforme Nutzung solcher Software-Suites – gerade in Behörden und Bildungseinrichtungen – nicht möglich sei. Einen Hoffnungsschimmer verspricht Projekt Gaia-X, das die EU 2019 initiierte. Dabei geht es um die Entwicklung einer „konkurrenzfähigen, sicheren und vertrauenswürdigen Dateninfrastruktur für Europa“. Um die ambitionierte Idee wurde es zuletzt jedoch verdächtig still.
Unternehmen müssen sich also selbst helfen. Einer der Grundpfeiler dafür ist, Mitarbeiter zu sensibilisieren: Der Datenschutz und der gewissenhafte Umgang mit personenbezogenen Informationen müssen in Fleisch und Blut übergehen. Ebenso wichtig ist es, die vorhandenen Daten mithilfe von Software zu indexieren und auffindbar zu machen. Nur so können Unternehmen sie im Zweifel auch löschen. Dabei spielen Enterprise-Search-Lösungen eine entscheidende Rolle. Nur sie finden restlos alle persönlichen Daten jedweden Formats und unabhängig von deren Speicherort.
Die DSGVO hat in den letzten fünf Jahren viel bewegt. Ein nächster Schritt ist in Vorbereitung, denn die Europäische Kommission plant, die Datenschutz-Grundverordnung zu überarbeiten. Welche Früchte das DSGVO-Update am Ende tragen wird, bleibt abzuwarten. Der Datenschutz kann jedenfalls nur gewinnen, wenn er weiter im Gespräch bleibt.
Franz Kögl ist Chief Executive Officer der IntraFind Software AG.
