{"id":588,"date":"2018-09-24T10:04:36","date_gmt":"2018-09-24T09:04:36","guid":{"rendered":"https:\/\/wildhaber.com\/?p=588"},"modified":"2018-09-24T10:52:45","modified_gmt":"2018-09-24T09:52:45","slug":"fehlkonzeption-4-datentransparenz-ist-machbar","status":"publish","type":"post","link":"https:\/\/wildhaber.com\/index.php\/fehlkonzeption-4-datentransparenz-ist-machbar\/","title":{"rendered":"DS-GVO Fehlkonzept Nr. 4: L\u00fcckenlose Datentransparenz ist machbar"},"content":{"rendered":"\n
\"\"
Der WG K\u00fchlschrank<\/figcaption><\/figure>\n\n\n\n

Man kann \u00fcber die DS-GVO sagen was man will, in ihr steckt wertvolles Gedankengut zum Datenschutz. Es gibt allerdings einige Bestimmungen und Ideen, die so gar nicht mehr mit der heutigen Realit\u00e4t \u00fcbereinstimmen. Das gr\u00f6sste Defizit zeigt das Gesetz im Zusammenhang mit der Datentransparenz und der Information Governance. Genauer m\u00fcssten wir von Informationstransparenz sprechen. Datentransparenz k\u00f6nnte man noch halbwegs als machbar bezeichnen, Informationstransparenz ist hingegen eine hohe Kunst. Wir bearbeiten mit dem KRM<\/a> seit Jahren das Feld der Information Governance<\/strong> <\/a>und wissen, was es bedeutet, als Organisation seine Informationen im Griff zu haben. Heute beherrschen die meisten Organisationen vielleicht 20% ihrer Daten.<\/strong><\/p>\n\n\n\n

Was bedeutet nun Transparenz im Kontext der Personendaten? Gem\u00e4ss DS-GVO m\u00fcssen Sie als Verantwortlicher ein Verfahrensverzeichnis bzw. Verarbeitungsverzeichnis erstellen. Darin m\u00fcssten sie ihre Personendaten bzw. die Anwendungen erfassen, in welchen sie Personendaten speichern. Zus\u00e4tzlich m\u00fcssen sie erfassen was damit geschieht, welche Auswertungen erstellt werden, an wen die Daten gelangen u.a.m.<\/p>\n\n\n\n

Man stelle sich vor, jede Excel Datei, die in einzelnen Unternehmen erfasst wird, muss nach diesen Prinzipien erfasst werden. Sie sagen, das geht? O.k., das ist mindestens theoretisch noch machbar. Sofort erinnert man sich an die guten alten Karteik\u00e4sten, denn daf\u00fcr wurden Verarbeitungsverzeichnisse konzipiert. Spannend wird es dann, wenn solche Daten mit externen Daten kombiniert werden, ohne dass sie dies bewusst tun (vgl. das Beispiel der Rekrutierung in FK 2<\/a>). Informationsbildung geschieht vielfach unbewusst, aus Zufall, durch Unachtsamkeit, \u201eon the fly\u201c.<\/strong><\/p>\n\n\n\n

Dies\ngeschieht zum Beispiel immer dann, wenn digitale Adressb\u00fccher ausgetauscht\nwerden. Das beste Beispiel dazu ist Microsoft Outlook. Durch den Trend zur\nSpeicherung der Daten in der Cloud werden Personendaten im Hintergrund permanent\nsynchronisiert (haben Sie sich schon gewundert, dass Personen aus Ihrem\nAdressbuch pl\u00f6tzlich in LinkedIn erscheinen?). Dies zu kontrollieren ist selbst\nf\u00fcr den Experten kaum m\u00f6glich. Geschweige denn herauszufinden, wo dies \u00fcberall\ngeschieht.<\/p>\n\n\n\n

Die Grundprinzipien der Datentransparenz sind in der DS-GVO auf der Basis der Achtzigerjahre stecken geblieben. Hier hat die EU schlicht ihre Hausaufgaben nicht gemacht. Information Governance<\/strong> ist eine Disziplin, die seit ca. 15 Jahren durch verschiedene Organisationen, Lehre und Forschung entwickelt und propagiert wird. Der intelligente Umgang mit der Datenhaltung, das Informationsmanagement<\/strong>, ist nun durchaus keine neue Disziplin. Sie wurde aber in der DS-GVO v\u00f6llig ignoriert.<\/strong><\/p>\n\n\n\n

Leider ist aber auch die Informationsverarbeitung in den meisten Organisationen\u00a0 auf diesem Niveau stehen geblieben: Die meisten Unternehmen gehen mit ihren Daten um wie WGs mit ihren K\u00fchlschr\u00e4nken, siehe Video<\/a>)<\/strong>. Der Hauptharst der Daten liegt nach wie vor entweder im Dateisystem verborgen oder das Mailsystem wird als Datenverwaltungssystem missbraucht . Die heutige Vernetzung der Systeme hat dazu gef\u00fchrt, dass kaum jemand die Informationsbildung durchschaut. Wenn man Verarbeitungsverzeichnisse erstellt, dann sind sie selbst in einfachen Verh\u00e4ltnis fast nutzlos. Sobald es aber um komplexe Cloud-Anwendungen und verteilte Systeme geht, nicht mehr realisierbar. Selbst die 60\/40 L\u00f6sung ist eine grosse Herausforderung, 80\/20 unbezahlbar. Da jedoch die Mehrheit der Organisationen nach wie vor ohne richtiges ECM\/DMS System auszukommen versucht, wird die Beherrschung der Daten das ein fast unm\u00f6gliches Unterfangen. Ohne eine systematische Vorgehensweise im Umgang mit Unternehmensdaten wird die Beherrschbarkeit der Daten ein Wunschtraum bleiben. <\/p>\n\n\n\n

Auch das Informationsmanagement befindet sich gegenw\u00e4rtig in einer Phase der Ver\u00e4nderung. Einerseits werden die analytischen Werkzeuge („Data Analytics“) immer besser, andererseits sind sie noch viel zu wenig gut, um unstrukturierte Datenhaufen ausreichend (im Kontext Compliance: l\u00fcckenlos!) erfassen zu k\u00f6nnen. Das bedeutet, dass man ohne Metadaten auch in Zukunft nicht auskommen wird.<\/strong> D.h., dass eine Unternehmenstaxonomie<\/a> zwingend auch die Metadaten „DS-GVO relevant“ ber\u00fccksichtigen muss. Dies kann unterschiedliche Formen annehmen, der Schritt ist aber zwingend und muss anschliessend auch noch durch die Systeme abgebildet werden k\u00f6nnen. <\/p>\n\n\n\n

Der hilflose Versuch, gem\u00e4ss DS-GVO eindimensionale Verarbeitungsverzeichnisse zu f\u00fchren, f\u00fchrt zu absurden Ergebnissen. Dieser Ansatz ist schon im Rahmen des Qualit\u00e4tsmanagements kl\u00e4glich gescheitert (\u201ef\u00fchre alle Deine Dokumente in einem Verzeichnis\u201c). Solche Verzeichnisse sind schon zum Publikationszeitpunkt hoffnungslos veraltet und nat\u00fcrlich l\u00fcckenhaft (eine Abdeckungsquote von 50% w\u00fcrde ich als hoch bezeichnen).<\/p>\n\n\n\n

In der DS-GVO hat es diverse Widerspr\u00fcche, was die Transparenz der Verarbeitung angeht. Einerseits sollte die vollst\u00e4ndige Transparenz der Verarbeitung gew\u00e4hrleistet werden, was nur mit Protokollierung, d.h. Datenerzeugung geht, andererseits gilt der Grundsatz der Datensparsamkeit. \u00a0Wie soll man zum Beispiel die Datenl\u00f6schung jederzeit nachvollziehbar machen? Wenn ich festhalten m\u00f6chte, dass ich eine E-Mail-Adresse gel\u00f6scht habe, muss ich diese protokollieren, um den Nachweis der L\u00f6schung erbringen zu k\u00f6nnen. Der immer w\u00e4hrende Anspruch auf Transparenz bedeutet n\u00e4mlich auch, dass die Aufbewahrungspflichten gestiegen sind. Und ich meine hier nicht die Pflichten, die aus anderen Gesetzen entstanden sind, sondern die Pflichten aus dem Datenschutzrecht selbst. Das Datenschutzgesetz selbst ist die Quelle neuer Datenberge!<\/strong><\/p>\n\n\n\n

Um hier nicht missverstanden zu werden: Ich bef\u00fcrworte die bessere Dokumentation der Informationsverarbeitung, denn sie bildet die Basis f\u00fcr eine gute Information Governance<\/strong> und damit einer zielgerichteten wirtschaftlichen und gesetzeskonformen Haltung von Information. <\/p>\n\n\n\n

Umfassende Informationen und Grundlagen zur Information Governance finden Sie auf der Website des KRM<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Man kann \u00fcber die DS-GVO sagen was man will, in ihr steckt wertvolles Gedankengut zum Datenschutz. Es gibt allerdings einige … Continue reading >DS-GVO Fehlkonzept Nr. 4: L\u00fcckenlose Datentransparenz ist machbar<\/span><\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":583,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7,31,5,15,1],"tags":[],"class_list":["post-588","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-dsgvo","category-information-governance","category-politik-gesellschaft","category-unkategorisiert"],"_links":{"self":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/588","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/comments?post=588"}],"version-history":[{"count":22,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/588\/revisions"}],"predecessor-version":[{"id":620,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/posts\/588\/revisions\/620"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/media\/583"}],"wp:attachment":[{"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/media?parent=588"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/categories?post=588"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wildhaber.com\/index.php\/wp-json\/wp\/v2\/tags?post=588"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}