EU-DSGVO

Über die Erkennung, Suche und Verwaltung von persönlichen Daten

, München, GFI | Autor: Herbert Wieler

Über die Erkennung, Suche und Verwaltung von persönlichen Daten

Pfade durch den DSGVO-Dschungel

Die europäische Datenschutz-Grundverordnung (EU-DSGVO) rückt unaufhaltsam näher. Je mehr man sich mit den Richtlinien beschäftigt, umso verwirrender und dichter scheint der Datenschutz Dschungel zu werden.

Aber am 25. Mai 2018 tritt für alle Organisationen, die personenbezogenen Daten von EU-Bürgern erfassen oder verarbeiten (unabhängig davon, ob die Organisation in der EU vertreten ist oder nicht) die Verordnung in Kraft.

Die folgenden Zeilen sollen ein paar Hinweise aufzeigen, um sich besser durch den Dschungel kämpfen zu können.

Die EU-DSGVO enthält eine Vielzahl von Anforderungen in Bezug auf die personenbezogenen Daten. Diese umfassen u.a.:

  • Die Bereitstellung von Informationen für die betroffenen Personen in Bezug auf die Erfassung der Daten
  • Den Zugriff auf die Daten der betroffenen Personen und deren Kopien in einem gängigen Format
  • Die Richtigstellung ungenauer oder unvollständiger sensibler Daten
  • Die Einschränkung bei der Verarbeitung und/oder Löschung von Daten (unter bestimmten Umständen) und auf Anfrage der betroffenen Personen
  • Die Sicherung der persönlichen Daten in Ruhe und in Bewegung, sowie den Schutz zur fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit

Um überhaupt eine der oben genannten DSGVO-Anforderungen erfüllen zu können, müssen zunächst in einem ersten Schritt die Daten ermittelt werden, die eine Organisation erfasst, gespeichert oder verarbeitet hat. Das bedeutet, dass man feststellen muss, welche Daten, die in der Verordnung als personenbezogenen Daten definiert sind, davon betroffen sind und wo sie gespeichert werden – einschließlich deren Kopien. Zudem muss die Möglichkeit bestehen, diese sensiblen Daten in einem gemeinsamen Dateiformat zu exportieren und gleichzeitig sicher zu verwahren.

Man erkennt, dass dies nicht so einfach ist, wie es auf den ersten Blick scheint. Der Schlüssel dazu ist ein gutes Datenidentifikations- und Datenklassifizierungssystem und die Verwendung von verfügbaren Security Tools, die bei der Implementierung behilflich sind.

Was sind sensible, personenbezogene Daten?

Bevor man mit der Datenklassifizierung fortfahren kann, muss man erst die Arten von Daten verstehen, die in den Anforderungskatalog der DSGVO passen. Gemäß Artikel 4 der Verordnung sind personenbezogene Daten alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person (betroffene Person) beziehen; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch in Bezugnahme auf einen Identifikator wie beispielsweise ein Name, eine Identifikationsnummer, ein Standort, einen Online-Identifikator oder durch mehrere Faktoren, die für eine physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person stehen könnten.

Wie man hier sehen kann, wird dies mit der Formulierung "sowohl direkt als auch indirekt" sehr schnell zu einer sehr weit gefassten Definition. Einige der Dinge, die unter diese Definition fallen, bestehen aus Informationen, die wir normalerweise nicht als persönliche Daten ansehen, wie zum Beispiel eine IP-Adresse, eine ID eines mobilen Geräts oder ein Web-Cookie.

Aber das ist nicht alles. Um die Angelegenheit noch weiter zu komplizieren, werden nicht alle Arten von personenbezogenen Daten gleich behandelt. Artikel 9 der Datenschutz-Grundverordnung befasst sich mit einer besonderen Kategorie personenbezogener Daten, die üblicherweise als sensible, personenbezogene Daten bezeichnet werden. Diese Art von Daten erfordert einen zusätzlichen Schutz und besteht aus Daten, die sich auf die rassische oder ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gewerkschaftsmitgliedschaft sowie Gesundheit oder Sexualleben beziehen. Die Daten zu Straftaten werden zudem in einer gesonderten Bestimmung in Artikel 10 behandelt.

Was sind keine persönlichen Daten?

Ein Schlagwort, das in der DSGVO erscheint, ist die Pseudonymisierung. Das bezieht sich auf das Anwenden von beispielsweise der Verschlüsselung, dem Hashing oder anderen technologischen Mitteln, um eine sofortige Identifikation der persönlichen Daten einer bestimmten Person zu verschleiern. Die DSGVO legt den Unternehmen eine Pseudonymisierung, sowie die Verschlüsselung als spezifische empfohlene Maßnahmen zum Schutz personenbezogener Daten nahe.

Es ist sehr wichtig zu verstehen, dass pseudonymisierte Daten im Rahmen der Datenschutz-Grundverordnung immer noch als personenbezogene Daten klassifiziert werden, was bedeutet, dass sie immer noch den meisten der oben genannten Anforderungen unterliegen. Es gibt jedoch einige Ausnahmen oder gelockerte Anforderungen für pseudonymisierte Daten, in Bezug auf die Mitteilungspflicht bei Datenschutzverletzungen und einer höheren Flexibilität bei der Erstellung von Datenprofilen, ohne der expliziten Zustimmung der betroffenen Person.

Die einzigen Daten, die im Rahmen der Verordnung nicht als personenbezogene Daten gelten, sind Daten, die in keiner Weise an eine bestimmte Person gebunden sind. Im Sinne der Datenschutz-Grundverordnung werden Unternehmen und Organisationen nicht als "Personen" betrachtet, auch wenn solche Einrichtungen unter bestimmten Gesetzen diesen Status haben könnten, so dass Informationen über solche Organisationen wahrscheinlich nicht unter die Definition von "personenbezogenen Daten" fallen würden. Aber Vorsicht, dies würde nur dann gelten, wenn die Organisation so groß wäre, dass man keine direkten Informationen über die Person, innerhalb des Unternehmens, identifizieren könnte. Das ist nicht wirklich realistisch!?

Wo sind die persönlichen Daten?

Sobald man in dem Dschungel der Datendefinitionen ein klares Bild bekommen hat, was nun persönliche Daten sind (und was nicht), kann man mit der Umsetzung beginnen. Das ist aber leichter gesagt als getan. Digitalisierte personenbezogene Daten können an vielen verschiedenen Stellen auf unterschiedlichen Speicherorten eines oder mehrerer Systeme gefunden werden. Datenbanken sind wahrscheinlich der naheliegendste Ort für solche Daten, aber persönliche Informationen können auch in Dokumenten, Tabellenkalkulationen, E-Mail-Nachrichten und anderen Dateitypen gefunden werden.

Wie findet man diese Daten, wenn sie in einem Meer von anderen, nicht personenbezogenen Daten versteckt sind? Es ist für einen Menschen sicherlich nicht machbar, jede Datei zu lesen, um sie auf persönliche Daten hin zu überprüfen. Sie benötigen eine Möglichkeit, den Prozess mit Algorithmen zu automatisieren, die in der Lage sind, personenbezogene Daten zu erkennen und von anderen Daten zu unterscheiden.

Wie identifiziert man personenbezogene Daten?

Zum Glück folgen viele Arten von persönlichen Daten einem identifizierbaren Muster. Zum Beispiel haben Reisepassnummern, Telefonnummern, Kreditkartennummern usw. eine bestimmte Anzahl von Ziffern oder Zeichen. In den USA folgen Sozialversicherungsnummern dem Muster aus drei Ziffern, einem Strich, zwei Ziffern, einem weiteren Strich und vier Ziffern. Wir sprechen jedoch über die Europäische Union, und das bedeutet, dass wir es mit vielen verschiedenen Ländern zu tun haben, und die Muster, auf die sich einige der Identifikatoren beziehen, für jedes Land wieder unterschiedlich sind.

Diese Identifikatoren können Führerscheine, Nummernschilder, Mehrwertsteuercodes, Gesundheitsidentifikationsnummern und verschiedene andere nationale ID-Nummern enthalten. Die Suche nach all diesen verschiedenen Mustern kann eine große Herausforderung darstellen.

Eine leistungsstarke und umfassende Suchtechnologie ist erforderlich, um alle personenbezogenen Daten, die von einer Organisation gesammelt, gespeichert und verarbeitet werden, aufzuspüren. Mehrere Suchtypen werden benötigt. Reguläre Ausdrücke können verwendet werden, um Sequenzen zu finden, die den bekannten Mustern verschiedener Arten von persönlichen Daten folgen (z. B. Nummern, die mit der Anzahl der Ziffern für EU-Pässe übereinstimmen). Andere Algorithmen können nach Schlüsselwörtern suchen, die in Kombination mit der Ziffernfolge einen bestimmten Typ von persönlichen Daten wie beispielsweise einen Ländercode oder einen Namen anzeigen.

Wer suchet der findet: integrierte Softwaretools und Funktionen verwenden

Die Software, mit der Sie Ihre Daten speichern und verarbeiten, enthält höchstwahrscheinlich auch einige Tools, mit denen Sie nach persönlichen Daten suchen können. Die Microsoft-Cloud-Services Azure, Office 365, Enterprise Mobility + Security (EMS), Dynamics 365, Azure SQL Database und SharePoint enthalten beispielsweise verschiedene Suchfunktionen, mit denen man nach persönlichen Daten suchen könnte.

Mit Azure Active Directory, Azure Data Catalog, Power Query (für Hadoop-Cluster in Azure HDInsight), Azure Search und anderen verwandten Tools, lassen sich persönliche Daten in Microsoft Azure Umgebungen finden .

Sobald Sie die persönlichen Daten gefunden haben, können Sie andere Tools wie Azure Information Protection verwenden, um die Datenklassifizierung zu implementieren und dauerhafte Labels auf die persönlichen Daten anzuwenden. Auch über REST-API oder mit dem Azure-Datenkatalog, lassen sich registrierte, persönliche Daten mit Anmerkungen versehen.

Office 365-Kunden könnten die Inhaltssuche in Advanced eDiscovery verwenden, um personenbezogene Daten in Exchange Online, SharePoint Online, OneDrive for Business und Skype for Business zu finden und zu identifizieren. Mit Office 365 Labels ist es möglich, persönliche Daten zu klassifizieren und Verschlüsselungs- und Zugriffsbeschränkungen anzuwenden. Das Advanced Data Governance-Tool dient weiter zum Automatisieren von Richtlinien und zur Aufbewahrung und Löschung von Daten.

Um persönliche Daten auf lokalen Computern und lokalen Servern zu finden, bieten sich die Funktionen von Windows Search, PowerShell und andere Betriebssystemfunktionen an.

Das Suchen persönlicher Daten in SQL-Datenbanken kann mithilfe der SQL-Sprache zum Abfragen von Datenbanken und zum Anpassen von Tools oder Services erfolgen. Der Microsoft Compliance Manager kann Cloud-Service-Kunden dabei helfen, die notwendige Compliance von einer Oberfläche aus zu verwalten.

Verwaltung und Schutz personenbezogener Daten

Sobald personenbezogene Daten identifiziert und klassifiziert wurden, müssen sie gemäß den DSGVO-Anforderungen verwaltet und geschützt werden. Hier kommen Monitoring-, Management- und Sicherheitssoftware, sowie verschiedene Security Services ins Spiel. GFI bietet beispielsweise verschiedene Sicherheitslösungen an, um das Netzwerk sicher zu halten, Patches zu installieren, Datenverstöße durch Schwachstellen-Exploits zu verhindern, das Risiko von Datenlecks zu verringern – auch im Zusammenhang mit BYOD-Systemen und tragbaren Speichergeräten – und verdächtige Aktivitäten zu erkennen, die eine Verletzung personenbezogener Daten signalisieren könnten.

Fazit

Um die DSGVO-Vorschriften einhalten zu können, die auf den Schutz personenbezogener Daten abzielen, müssen diese zunächst gefunden und dann klassifiziert werden. Aber das ist nur der erste Schritt. Sobald die Daten identifiziert wurden, müssen entsprechende Security-Kontrollen implementiert werden, um auch die weitere Vertraulichkeit und Integrität der Daten sicherstellen zu können. Danach sollte man sich auch über die Benachrichtigungspflicht bei einem evtl. eingetretenen Datenschutzvorfall Gedanken machen.

Die Funktionen, die in Betriebssystemen und Cloud-Services integriert sind, helfen schon mal die zu schützenden Daten zu finden. Die Kombination aus integrierten Sicherheitsfunktionen, die mit erweiterten Management- und Monitoring-Lösungen entsprechend konfiguriert sind, unterstützt den nächsten Schritt, die erforderliche Compliance zu erreichen.