Die DSGVO bringt eine Reihe anspruchsvoller Verpflichtungen für Unternehmen mit sich, die von den Rechten der betroffenen Personen bis hin zum Einwilligungsmanagement reichen. Eine der arbeitsintensiveren Verpflichtungen ist die Verpflichtung nach Artikel 30 für Verarbeiter und Verantwortliche personenbezogener Daten, Aufzeichnungen über die Verarbeitungstätigkeiten zu führen. Diese Verpflichtung, die üblicherweise als „Artikel 30-Aufzeichnungspflicht“ bezeichnet wird, verpflichtet Unternehmen dazu, genau Rechenschaft abzulegen über Identitätsdaten Ein Zweck der Aufzeichnungspflicht besteht darin, den Datenschutzbehörden die erforderlichen Nachweise für die Einhaltung der Vorschriften zu liefern. Das übergeordnete Ziel besteht jedoch darin, Unternehmen dabei zu unterstützen, Kunden- und Mitarbeiterdaten besser zu verwalten.
Als Anforderung zur Aufzeichnung der Datenverarbeitung wird Artikel 30 häufig mit „Datenflusskarten“ in Verbindung gebracht, die die Verarbeitung personenbezogener Daten von der Erhebung bis zur Löschung dokumentieren und grafisch darstellen. Richtig umgesetzt, bieten sie Regulierungsbehörden und DSGVO-pflichtigen Unternehmen die Möglichkeit, Verarbeitungsaktivitäten zu kodifizieren und sicherzustellen, dass notwendige Informationen wie Verwendungszweck und Datenkategorie korrekt erfasst werden. Darüber hinaus ermutigt die Verordnung Unternehmen, die Aufzeichnungspflicht zu nutzen, um zusätzliche Informationen zum Schutz von EU-Bürgern und -Einwohnern zu erfassen. Artikel 30 soll eine eindeutige Aufzeichnung der Verarbeitung personenbezogener Daten durch ein Unternehmen erstellen. Es bleibt jedoch eine wesentliche Unklarheit: Woher stammt das Wissen über die verarbeiteten Daten tatsächlich?
Digitale Träume und analoge Kompromisse
Der einfachste Weg für ein Unternehmen, Details zu seinen Datenverarbeitungsaktivitäten zu erfahren, besteht darin, die für die Verarbeitung verantwortlichen Stakeholder zu befragen. Schließlich sollten diese in der Lage sein, zu bestätigen, welche Daten sie erheben, zu welchem Zweck sie erhoben, verwendet und gespeichert werden usw. Und wenn Menschen über ein untrügliches Gedächtnis und perfektes Wissen verfügen würden, würde diese Methode der Informationsbeschaffung und -aufzeichnung eine genaue Darstellung der tatsächlichen Datenverarbeitung darstellen. Leider können sich Menschen nicht perfekt daran erinnern, wo sie ihre Autoschlüssel hingelegt haben, geschweige denn, wo sie ihre Daten gespeichert haben.
Menschen vergessen. Menschen wechseln den Job. Menschen interpretieren Dinge falsch. Besitzer von Anwendungen, die Daten verarbeiten, verlassen sich darauf, dass andere diese Anwendungen entwickeln. „Menschen sind Menschen“, wie Depeche Mode treffend bemerkte. Sie sind keine Computer.
Sich auf Interviews und Umfragen zu verlassen, um herauszufinden, welche personenbezogenen Daten eine Organisation sammelt und verarbeitet, mag zwar besser sein als nichts, aber besser als nichts ist nicht das beabsichtigte Ziel von Artikel 30 der DSGVO. Im Informationszeitalter ist eine genaue Methode zur Ermittlung, wo digitale Informationen tatsächlich gesammelt und verarbeitet werden, unerlässlich. Die Ermittlung, welche Daten auf einem Computer gespeichert und verarbeitet werden, sollte von einem echten Computer durchgeführt werden. Und wie Depeche Mode sagen würden: „Menschen sind keine Computer.“
Nicht vertrauen, überprüfen
Bis zu einem gewissen Grad ähnelt die DSGVO den Finanzvorschriften. Statt sich jedoch auf die Integrität von Finanztransaktionen und betroffenen Institutionen zu konzentrieren, liegt der Fokus auf der Integrität der Datenverarbeitung und den betroffenen Personen. Daten sind für die DSGVO das, was Finanztransaktionen für Basel III sind. Dies ist im Informationszeitalter, in dem Daten die Währung des Handels und der Kommunikation sind, nur angemessen. Und wie bei jeder Finanzregulierung, deren Einhaltung von der genauen Erfassung der ihr zugrunde liegenden Inhalte abhängt, erfordert auch die DSGVO eine genaue Erfassung der Daten, um wirksam und messbar zu sein.
Erinnerungen sind keine Aufzeichnungen. Ohne genaue Datenerfassung gibt es keine Nachvollziehbarkeit, und wie lässt sich ohne Nachvollziehbarkeit die Einhaltung der Vorschriften überprüfen? Damit eine Datenschutzverordnung wie die DSGVO sinnvoll ist, muss die Überprüfung datenbasiert erfolgen. Schließlich kann man nicht schützen, was man nicht findet. BigID ist das erste Produkt auf dem Markt, das Unternehmen nicht nur die Möglichkeit bietet, alle personenbezogenen Daten einer Person zu finden, sondern diese Datenzuordnung auch zu nutzen, um Datenflüsse basierend auf der tatsächlichen Datenverarbeitung aufzuzeichnen. Mit BigID können Unternehmen Datenverarbeitungsaufzeichnungen erstellen und pflegen, die mithilfe modernster maschineller Lernverfahren reale Datensätze und nicht nur Papierfragebögen widerspiegeln.
Die DSGVO verpflichtet Unternehmen zum Schutz der Informationen ihrer betroffenen Personen. Artikel 30 verlangt von Organisationen den Nachweis, dass jeder digitale Prozess, der die Erhebung und Verarbeitung personenbezogener Daten erfordert, ordnungsgemäß dokumentiert wird. Um dies gegenüber den betroffenen Personen tatsächlich nachvollziehbar zu machen, muss die Dokumentation der Datenverarbeitung auf tatsächlichen Daten basieren. BigID bietet Unternehmen erstmals die Möglichkeit, dieser Verpflichtung auf der Grundlage realer und nicht nur abgerufener Datensätze nachzukommen.
Autor
