Dateninfrastruktur für die rechtssichere Verarbeitung von Kundendaten Gewappnet für die EU-DSGVO
3. August 2017
Eine aktuelle Umfrage des Branchenverbandes BITKOM belegt: Bisher hat nur jedes dritte Unternehmen begonnen, sich auf die kommende Europäische Datenschutzgrundverordnung (EU-DSGVO) einzustellen. 20 Prozent haben sich noch gar nicht mit den neuen Richtlinien auseinandergesetzt. Ihnen läuft die Zeit davon, wollen sie bis Mai 2018 die Vorbereitungen zur Einhaltung der neuen Regularien abgeschlossen haben.
Komplexe Anforderungen
Die in der EU-DSGVO festgelegten Regelungen und Einschränkungen sollen den Schutz der Daten und die Persönlichkeitsrechte der EU-Bürgerinnen und Bürger gewährleisten. Das Gesetz zieht für die meisten Unternehmen jedoch weitreichende Änderungen und teils sehr komplexe Anforderungen sowohl an Prozesse als auch an ihre IT-Systeme nach sich.
Somit wird die Verarbeitung personenbezogener Daten künftig erst nach größeren Hürden und unter stärkerer Regulierung möglich. Zusätzlich werden zahlreiche neue Informations– und Dokumentationspflichten eingeführt, die von Unternehmen auch IT-seitig umgesetzt werden müssen.
Unternehmen sollten daher jetzt ihre Dateninfrastruktur auf den nötigen Stand bringen. Es gilt, insbesondere die notwendigen Prozesse zu schaffen, die mit der Verarbeitung von personenbezogenen Daten zusammenhängen. Hierunter fallen neben Mitarbeiterdaten vor allem Daten von Geschäftspartnern und Kunden. Fünf wesentliche Punkte zeigen, welchen Herausforderungen sich Unternehmen vor allem beim Umgang mit Kundendaten stellen müssen.
Die fünf Punkte
Unternehmen müssen Kunden zeitnah Auskunft über gespeicherte Daten geben: Im Vordergrund der EU-DSGVO steht unter anderem die Selbstbestimmung über den Datenumgang. Bereits nach jetzigem Datenschutzrecht hat der Kunde oder Dateneigentümer die Möglichkeit, vom Unternehmen eine detaillierte Auskunft über die zu seiner Person gesammelten und verarbeiteten Daten zu verlangen. Neu ist, dass Unternehmen solche Anfragen künftig innerhalb eines Monats abschließend bearbeiten und beantworten müssen. Diese sehr enge Frist kann um maximal zwei Monate erweitert werden – aber nur, wenn triftige Gründe wie zum Beispiel ein extrem hohes Aufkommen an Anfragen vorliegen. Ohne eine entsprechende Informationslogistik und Lösungen zur schnellen Extraktion und Konsolidierung der Daten aus der Systemlandschaft sind diese Tätigkeiten mit einem sehr hohen manuellen Aufwand verbunden und die Fristen kaum zu halten. Bei einer Überschreitung der Frist muss der Kunde proaktiv informiert und vom Unternehmen ebenfalls über die rechtlichen Schritte aufgeklärt werden, die er nun ergreifen kann.
Unternehmen müssen Kundendaten in einem „maschinenverarbeitbaren“ Format vorlegen: Außerdem kann der Kunde jederzeit die Übertragung der Daten von einem Dienst zum anderen verlangen – soweit dies technisch machbar ist. Das Unternehmen hat dann sowohl für die Portierung als auch für die Erfüllung des Auskunftsrechtes die Daten in einem gängigen, „maschinenverarbeitbaren“ Format zur Verfügung zu stellen. Sind die Kundendaten im Unternehmen jedoch dezentral organisiert oder in Silos gehalten, wird diese Anforderung aufgrund der Dezentralität und fehlender einheitlicher Extraktionsmöglichkeiten schwer zu erfüllen. Abhilfe schafft hier eine Kombination aus ETL- und Konsolidierungslösungen. Diese sind in der Lage, Kundendaten aus einzelnen System zu extrahieren, die einzelnen Datenströme zu einem zu konsolidieren und dann im benötigten Zielformat auszugeben.
Unternehmen müssen den Kunden eindeutig identifizieren können: Sowohl beim Recht auf Vergessen werden als auch beim Recht auf Portabilität ist es wichtig, dass ein Kunde eindeutig identifiziert werden kann – und das über alle Kanäle und Touchpoints mit dem Unternehmen hinweg. Dies ist notwendig, um ein komplettes Bild über die zu einem Kunden gesammelten und verarbeiteten Daten zu erhalten und diese, sofern notwendig, auch löschen zu können. Die negativen Folgen von inkonsistenten Stammdaten gehen also weiter als nur falsche Ansprache und doppelte Haltung von Informationen. Sie führen auch dazu, dass Prozesse behindert werden und gesetzliche Anforderungen nicht umgesetzt werden können.
Die Kundendaten müssen hohe Qualität aufweisen: Eine zentrale Proklamation der EU-Verordnung bezieht sich auch auf die Qualität der verarbeiteten Daten. Diese müssen stets aktuell und korrekt sein. Zusätzlich steht dem Kunden ebenfalls ein Recht auf Korrektur zu. Auch um diesen Anforderungen Genüge zu tun, sind ein zentrales Datenmanagement und etablierte Prozesse für die Verarbeitung notwendig. Etwa können Unternehmen die vom Kunden übertragenen Daten in Echtzeit validieren – Datenqualitätslösungen prüfen dann die Korrektheit und Vollständigkeit der Adresse oder des Namens automatisiert.
Datenlecks sind meldepflichtig: Schließlich müssen Kunden von Unternehmen zukünftig bei Datenlecks innerhalb von maximal 72 Stunden informiert werden. Die Information muss dabei Details über die Schwere des Lecks, die Art der korrumpierten Daten sowie potenzielle Gegenmaßnahmen enthalten, die der Kunde ergreifen kann. Auch für diese Informationspflicht sind vollständige und korrekte Stammdaten unerlässlich. Invalide E-Mail-Adressen, unvollständige Postadressen und fehlende Telefonnummern machen es Unternehmen unmöglich, dieser Pflicht nachzukommen. Es muss also frühzeitig sichergestellt werden, dass die postalische Adresse, Telefonnummern und E-Mail-Adressen korrekt, komplett und valide sind.
Kernpunkte der Infrastruktur
Zu den Kernpunkten einer passenden Infrastruktur gehören die folgenden Aspekte:
• Zur Erfüllung des Auskunftsrechtes müssen Daten in einem gängigen, maschinenverarbeitbaren Format zur Verfügung gestellt werden können.
• Einführung eines zentralen Data Managements, das Daten aus einzelnen Systemen extrahiert, Datenströme zu einem konsolidiert, validiert und im benötigten Zielformat korrekt ausgibt.
• Etablierung einer Informationslogistik zur Bearbeitung und Einhaltung entsprechender Fristen für die Erfüllung der Anfragen des Kunden.
Die eigentliche Grundverordnung trat bereits 2016 in Kraft, eine Übergangfrist gilt bis Mai 2018. Bis dahin müssen die Vorbereitungen in Unternehmen abgeschlossen sein. Da sowohl Änderungen in IT-Systemen als auch Prozessanpassungen oftmals einen längeren Vorlauf benötigen, ist es empfehlenswert, umgehend mit Maßnahmen zur Umsetzung zu beginnen.
Denn Verstöße gegen die Datenschutzverordnung werden streng geahndet. So können Bußgelder zukünftig von bis zu 20 Millionen Euro oder von bis zu vier Prozent des Jahresumsatzes drohen – und auch eine persönliche Haftung der Geschäftsführung ist nicht ausgeschlossen.
Deswegen gelten die folgenden Regeln für eine ideale Architektur zur EU-DSGVO: Sie
• kennt alle Touchpoints, über die Kundendaten in die Hoheit und damit den Verantwortungsbereich des Unternehmens gelangen,
• kennt alle Verarbeitungsprozesse und Prozessverantwortlichen,
• kennt alle externen Verarbeitungen (auch in der Cloud),
• kennt alle Datensenken (Bestimmungsorte der Daten),
• kann einen Kunden über alle Systeme hinweg eindeutig identifizieren, idealerweise auf Basis eines im Customer- MDM gebildeten Golden Records,
• kann aktuelle Kontaktinformationen für einen Kunden zur Verfügung stellen,
• kann Attribute in den einzelnen Systemen hinsichtlich ihrer Kritikalität für den Unternehmenszweck bzw. die Geschäftsbeziehung zum Kunden beurteilen (und damit bewerten, ob eine Löschung möglich und nötig ist oder nicht),
• kann konsistente und aktuelle Daten in allen Senken vorweisen,
• stellt dem Kunden einfache Möglichkeiten zur Verfügung, um seine Stammdaten zu aktualisieren,
• stellt Möglichkeiten der einfachen Datenextraktion zur Erfüllung der Auskunftspflichten zur Verfügung,
• folgt den Prinzipien „Data protection by design“ und „Data protection by default“ (rhh)
Thorsten Schremmer
ist Solution und Product Manager bei Uniserv.
Sabine Heukrodt-Bauer
ist Gründerin der auf IT-Recht spezialisierten Kanzlei RESMEDIA Mainz.
