This post is also available in: English (Englisch)
Man kann über die DS-GVO sagen was man will, in ihr steckt wertvolles Gedankengut zum Datenschutz. Es gibt allerdings einige Bestimmungen und Ideen, die so gar nicht mehr mit der heutigen Realität übereinstimmen. Das grösste Defizit zeigt das Gesetz im Zusammenhang mit der Datentransparenz und der Information Governance. Genauer müssten wir von Informationstransparenz sprechen. Datentransparenz könnte man noch halbwegs als machbar bezeichnen, Informationstransparenz ist hingegen eine hohe Kunst. Wir bearbeiten mit dem KRM seit Jahren das Feld der Information Governance und wissen, was es bedeutet, als Organisation seine Informationen im Griff zu haben. Heute beherrschen die meisten Organisationen vielleicht 20% ihrer Daten.
Was bedeutet nun Transparenz im Kontext der Personendaten? Gemäss DS-GVO müssen Sie als Verantwortlicher ein Verfahrensverzeichnis bzw. Verarbeitungsverzeichnis erstellen. Darin müssten sie ihre Personendaten bzw. die Anwendungen erfassen, in welchen sie Personendaten speichern. Zusätzlich müssen sie erfassen was damit geschieht, welche Auswertungen erstellt werden, an wen die Daten gelangen u.a.m.
Man stelle sich vor, jede Excel Datei, die in einzelnen Unternehmen erfasst wird, muss nach diesen Prinzipien erfasst werden. Sie sagen, das geht? O.k., das ist mindestens theoretisch noch machbar. Sofort erinnert man sich an die guten alten Karteikästen, denn dafür wurden Verarbeitungsverzeichnisse konzipiert. Spannend wird es dann, wenn solche Daten mit externen Daten kombiniert werden, ohne dass sie dies bewusst tun (vgl. das Beispiel der Rekrutierung in FK 2). Informationsbildung geschieht vielfach unbewusst, aus Zufall, durch Unachtsamkeit, „on the fly“.
Dies geschieht zum Beispiel immer dann, wenn digitale Adressbücher ausgetauscht werden. Das beste Beispiel dazu ist Microsoft Outlook. Durch den Trend zur Speicherung der Daten in der Cloud werden Personendaten im Hintergrund permanent synchronisiert (haben Sie sich schon gewundert, dass Personen aus Ihrem Adressbuch plötzlich in LinkedIn erscheinen?). Dies zu kontrollieren ist selbst für den Experten kaum möglich. Geschweige denn herauszufinden, wo dies überall geschieht.
Die Grundprinzipien der Datentransparenz sind in der DS-GVO auf der Basis der Achtzigerjahre stecken geblieben. Hier hat die EU schlicht ihre Hausaufgaben nicht gemacht. Information Governance ist eine Disziplin, die seit ca. 15 Jahren durch verschiedene Organisationen, Lehre und Forschung entwickelt und propagiert wird. Der intelligente Umgang mit der Datenhaltung, das Informationsmanagement, ist nun durchaus keine neue Disziplin. Sie wurde aber in der DS-GVO völlig ignoriert.
Leider ist aber auch die Informationsverarbeitung in den meisten Organisationen auf diesem Niveau stehen geblieben: Die meisten Unternehmen gehen mit ihren Daten um wie WGs mit ihren Kühlschränken, siehe Video). Der Hauptharst der Daten liegt nach wie vor entweder im Dateisystem verborgen oder das Mailsystem wird als Datenverwaltungssystem missbraucht . Die heutige Vernetzung der Systeme hat dazu geführt, dass kaum jemand die Informationsbildung durchschaut. Wenn man Verarbeitungsverzeichnisse erstellt, dann sind sie selbst in einfachen Verhältnis fast nutzlos. Sobald es aber um komplexe Cloud-Anwendungen und verteilte Systeme geht, nicht mehr realisierbar. Selbst die 60/40 Lösung ist eine grosse Herausforderung, 80/20 unbezahlbar. Da jedoch die Mehrheit der Organisationen nach wie vor ohne richtiges ECM/DMS System auszukommen versucht, wird die Beherrschung der Daten das ein fast unmögliches Unterfangen. Ohne eine systematische Vorgehensweise im Umgang mit Unternehmensdaten wird die Beherrschbarkeit der Daten ein Wunschtraum bleiben.
Auch das Informationsmanagement befindet sich gegenwärtig in einer Phase der Veränderung. Einerseits werden die analytischen Werkzeuge („Data Analytics“) immer besser, andererseits sind sie noch viel zu wenig gut, um unstrukturierte Datenhaufen ausreichend (im Kontext Compliance: lückenlos!) erfassen zu können. Das bedeutet, dass man ohne Metadaten auch in Zukunft nicht auskommen wird. D.h., dass eine Unternehmenstaxonomie zwingend auch die Metadaten „DS-GVO relevant“ berücksichtigen muss. Dies kann unterschiedliche Formen annehmen, der Schritt ist aber zwingend und muss anschliessend auch noch durch die Systeme abgebildet werden können.
Der hilflose Versuch, gemäss DS-GVO eindimensionale Verarbeitungsverzeichnisse zu führen, führt zu absurden Ergebnissen. Dieser Ansatz ist schon im Rahmen des Qualitätsmanagements kläglich gescheitert („führe alle Deine Dokumente in einem Verzeichnis“). Solche Verzeichnisse sind schon zum Publikationszeitpunkt hoffnungslos veraltet und natürlich lückenhaft (eine Abdeckungsquote von 50% würde ich als hoch bezeichnen).
In der DS-GVO hat es diverse Widersprüche, was die Transparenz der Verarbeitung angeht. Einerseits sollte die vollständige Transparenz der Verarbeitung gewährleistet werden, was nur mit Protokollierung, d.h. Datenerzeugung geht, andererseits gilt der Grundsatz der Datensparsamkeit. Wie soll man zum Beispiel die Datenlöschung jederzeit nachvollziehbar machen? Wenn ich festhalten möchte, dass ich eine E-Mail-Adresse gelöscht habe, muss ich diese protokollieren, um den Nachweis der Löschung erbringen zu können. Der immer währende Anspruch auf Transparenz bedeutet nämlich auch, dass die Aufbewahrungspflichten gestiegen sind. Und ich meine hier nicht die Pflichten, die aus anderen Gesetzen entstanden sind, sondern die Pflichten aus dem Datenschutzrecht selbst. Das Datenschutzgesetz selbst ist die Quelle neuer Datenberge!
Um hier nicht missverstanden zu werden: Ich befürworte die bessere Dokumentation der Informationsverarbeitung, denn sie bildet die Basis für eine gute Information Governance und damit einer zielgerichteten wirtschaftlichen und gesetzeskonformen Haltung von Information.
Umfassende Informationen und Grundlagen zur Information Governance finden Sie auf der Website des KRM.