Führung durch die Sammlung von Personendaten

Im Rahmen meiner Mandate komme ich häufig mit dem Thema Datenschutz in Berührung. Insbesondere bei der Diskussion um die Nutzung von Cloud Infrastrukturen im Ausland ist das Thema Datenschutz ein Dauerbrenner. Meine wesentlichen Erkenntnisse für die Speicherung von Personendaten findest Du in diesem Blog.

In der Schweiz trat 1993 ein Datenschutzgesetz in Kraft, dass den Umgang mit Personendaten regelt. Das Gesetz entstand damals auch als Reaktion auf die Fichenaffaire, als die Bundespolizei «Unschweizerische» en Masse registrierte und Banalste Alltäglichkeiten feinsäuberlich auf  Karton notierte.

Möchte eine Organisation heute ein Informationssystem nutzen und Personendaten speichern, ist sie von Rechts wegen verpflichtet die folgenden, einfachen Regeln einzuhalten. Dabei ist es unerheblich, ob die Organisation das System nur mietet, beispielsweise als SaaS Lösung, ein lizensiertes System On Premise betreibt, oder eine Individualentwicklung nutzt.

Regeln im Umgang mit Personendaten

 

Grundsätzlich müssen die über Personen erhobenen Daten zweckmässig sein, also mit dem Geschäft der Organisation in Beziehung stehen. Daten, die nicht zweckmässig sind, dürfen nicht gespeichert werden, beispielsweise dürfte ein Online Shop für Mode das Geschlecht einer Person speichern, nicht aber ihre ethnische Zugehörigkeit. Es gilt das Prinzip der Datenarmut, d.h. es sollte so wenig wie möglich gespeichert werden. Der Kunde muss ausserdem der Speicherung seiner Daten explizit zustimmen. Opt-in statt Opt-out lautet die Devise, wenn man sicher gehen möchte.

Eine Organisation sollte jederzeit um die auf ihren Systemen gespeicherten Daten wissen. Hierzu gehören zum einen die Art und Inhalte der Daten, als auch die Orte ihrer physischen Speicherung. Ein Katalog der verwendeten Storage Systeme und Metadaten heisst Dateninventar, und ist dem Datenschutz ein Mittel der Governance.

Die gespeicherten Daten müssen vor unberechtigtem Zugriff geschützt werden. Die Daten dürfen nur den Mitgliedern der Organisation offen stehen. Eine Veröffentlichung von Personendaten durch Unterlass von Zugriffsschutz ist ein Straftatbestand. Ebenso sollte eine Organisation darauf zielen ihre Mitglieder im Datenschutz zu schulen, so dass sensible Daten nicht aus Versehen an Dritte weiter gegeben werden. Dies geschieht zum Wohle der Kunden.

Die Menschen haben ein Auskunftsrecht gegenüber der Organisation, die alle über die Person gespeicherten Daten kostenlos zugänglich machen muss. Üblicherweise wäre dies eine Profilseite auf der ein Besucher beispielsweise seine Einkäufe selber einsehen kann. Da diese Leistung kostenlos sein muss, ist eine vollständige Digitalisierung dieses Prozesses zu empfehlen, damit keine unnötigen Kosten entstehen.

Kunden und Angestellte haben ein Recht auf Vergessen. Wenn ein Kunde die Organisation verlässt, so darf es die Löschung aller über ihn gespeicherten Daten verlangen, solange es kein begründetes Interesse dagegen gibt. Ein Kunde kann beispielsweise nicht verlangen, dass seine aktuellen Rechnungen gelöscht werden, weil die für die Buchhaltung noch relevant sind. Die Löschung der Daten muss kostenlos erfolgen, weswegen auch hier eine Digitalisierung empfohlen wird. Wer mittels Dateninventar genau weiss, welche Daten auf welchem System abgelegt werden, ist somit bei der Löschung schon einen grossen Schritt weiter.

Speicherung im Ausland

Wer seine Daten nicht in der Schweiz speichern möchte kann dies auch im Europäischen Ausland tun, da hier Gesetzgebungen gelten, die mit dem Schweizer Standard vergleichbar sind. Tatsächlich hat die EU im vergangenen Jahr 2016 eine neue Richtlinie zum Datenschutz erlassen, die 2018 in Kraft treten wird. Die Richtlinie zielt darauf ab, ein Gleichgewicht zwischen einem hohen Schutz der Privatsphäre und dem freien Verkehr personenbezogener Daten zu schaffen.

Aus diesem Grund bieten heute viele der grossen Silicon Valley Unternehmen eine Speicherung von Daten in der EU an. Für die Speicherung in den USA gibt es seit Anfang des Jahres einen neuen Privacy Shield,  der die bisherige Safe-Harbor Regelung für Daten ersetzt. Allerdings empfehle ich die Verwendung von Storage Systemen in den USA schon nicht aus Gründen der Latenz.

Fazit

Die Regeln rund um den Schutz von Personendaten sind einfach, aber in verteilten und heterogenen IT Architekturen und Systemlandschaften schwierig umzusetzen. Neben einem aktuellen Dateninventar empfehle ich den Einsatz eines ganzheitlichen Rechtekonzepts, dass von der Geschäftsebene aus die Zugriffsrechte bis auf konkrete Services herunter bricht. Für diese Konzepte bieten sich sowohl Rollen- (RBAC) als auch Attributbasierte (ABAC) Ansätze an.

Wer sein Rechtekonzept im Griff hat, der wird mit niedrigeren Unterhaltskosten als auch höherer Sicherheit belohnt. Dies sind beides Vorteile, die man gerne an die Kunden weitergeben möchte.

Eine Antwort auf „Führung durch die Sammlung von Personendaten“

Kommentar verfassen