Die Erstellung einer Datenlandkarte und die Inventarisierung personenbezogener Daten zur Datenkenntnis stehen ganz oben auf der To-do-Liste von Unternehmen, die die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) erfüllen möchten. Datenkenntnis ist unerlässlich, um die konforme Datenerfassung und -verarbeitung zu überprüfen.
Einige Anbieter versprechen Datenschutz Compliance wird durch die optimierte Durchführung von E-Mail-Umfragen unter Stakeholdern erleichtert, um den Datenbestand eines Unternehmens zu ermitteln. Durch die Bereitstellung von Fragebogenvorlagen in juristischer Sprache versprechen sie eine einfachere Informationsbeschaffung für Datenschutz-Folgenabschätzungen und damit verbundene Compliance-Probleme. Die meisten Menschen haben jedoch Schwierigkeiten, juristische Fragen zu interpretieren, und sich bei der Datensuche auf Erinnerungen zu verlassen, ist per Definition unzuverlässig.
Doch wie erlangt man genaue Datenkenntnisse, wenn man mit ungenauen Datenerhebungen beginnt? Wenn das Hauptziel der DSGVO der Datenschutz ist, können Sie Ihre Daten dann schützen, wenn Sie nicht zuverlässig wissen, wo sie sich befinden? Wahrscheinlich nicht… Sehen wir uns einige Gründe dafür an:
Umfragen mangelt es an Genauigkeit:
Umfragen basieren auf menschlicher Interpretation und Erinnerung. Menschen sind selbst im besten Fall fehlbar und ungenau, aber wenn es um die Dokumentation von Bestand, Standort und Verwendung von Daten geht, sind sie das Gegenteil von datenbasierten Archivierern. Ohne ein Datenaudit lässt sich nicht überprüfen, wo Daten erhoben, gespeichert oder verarbeitet werden. Und ein Datenaudit erfordert einen Scan, keine Umfrage.
Umfragen können Veränderungen nicht erfassen:
Man sagt, Daten seien das neue Öl. Und während diese Metapher sicherlich zutrifft, wenn es um den Wert und die Art und Weise geht, wie Daten die moderne Internetwirtschaft antreiben, trifft sie auch auf ihr Versickern und Fließen zu. Daten sind nicht statisch. Sie bewegen sich, werden aggregiert, transformiert, geteilt und analysiert. Veränderung ist die einzige Konstante bei Daten. Leider kann niemand die Veränderungen von Daten vollständig erfassen, ohne sie vorher zu untersuchen. Eine Umfrage ohne umfassende Analyse kann daher die Veränderungen in der Datenerhebung und -verarbeitung nie vollständig erfassen.
Umfragen werden nicht abgeschlossen:
Neben mangelnder Datentreue sind Umfragen auch auf die Bereitschaft und Motivation ihrer Teilnehmer angewiesen. Mangelhafte oder unvollständige Angaben sind ein Problem für jeden umfragebasierten Ansatz. Noch schlimmer ist jedoch, dass keine Angaben vorliegen. Viele Menschen gehen einem normalen Job nach, und das Ausfüllen von Umfragen mit undurchsichtigen, juristischen Begriffen ohne direkten Nutzen steht bei ihnen wahrscheinlich nicht ganz oben auf der Prioritätenliste. Datenschutz mag zwar ein Unternehmensanliegen sein, aber die Berichterstattung über Daten ist möglicherweise nicht das Anliegen aller Mitarbeiter.
Umfragen dauern lange:
Die Erstellung einer Datenlandkarte durch Umfragen kann, selbst im besten Fall unter der Annahme, dass diese repräsentativ sind, leicht Wochen oder Monate dauern. Die Begleitung mehrerer Stakeholder durch einen Umfrageprozess ist oft nicht ressourceneffizient und führt wahrscheinlich nicht zu aktuellen Ergebnissen. Zwar kann der Nachweis einer bestehenden Initiative gegenüber den Aufsichtsbehörden diese zunächst abschrecken, doch werden sie nicht zögern, wenn die Fortschritte bei der Erstellung einer Datenflusslandkarte hinter denen der Konkurrenz zurückbleiben.
Umfragen können das Recht auf personenbezogene Daten nicht erfüllen:
Einem umfragebasierten Datenbestand fehlen die spezifischen Details, um die grundlegende Frage der Datenschutzbestimmungen zu beantworten: Wo speichert ein Unternehmen Daten zu jedem Kunden oder Mitarbeiter? Ist die Datenübersicht von den Datenverarbeitungsaktivitäten getrennt, kann sie weder als Leitfaden für IT und Sicherheit dienen, um eine Auskunftsanfrage (DSAR) zu erstellen, noch auf Änderungen oder Löschungen zu reagieren. Ein vorhandener Prozess-Workflow für DSARs ändert nichts an der Belastung der IT, manuelle Schritte durchzuführen und benutzerdefinierte Abfragen für DSARs zu erstellen, selbst wenn die Zeit für eine Antwort knapp wird.
Wenn eine Umfrage also nicht genau darlegt, wie Daten erhoben oder verarbeitet werden, wozu ist sie dann gut? Wenn das Ziel der Umfrage der tatsächliche Schutz personenbezogener Daten ist, lautet die direkteste Antwort wahrscheinlich: „Nicht viel.“ Aus einer Umfrage generierte Datenkarten und -inventare können zwar als Grundlage für eine Datenschutz-Folgenabschätzung dienen, deren Zuverlässigkeit jedoch stets fraglich bleibt.
Umfragen werden Scans für einen präzisen und effektiven Schutz personenbezogener Daten und Privatsphäre niemals überlegen sein. Datenerfassung erfordert Datenerfassung. Dies erfordert eine Methode zur Erstellung präziser Inventare und Karten mithilfe prüffähiger Datenscans. Wenn das Ziel der DSGVO-Konformität der Schutz von Daten und die Wahrung der Privatsphäre ist, muss dies auf präziser Datenkenntnis basieren – und in diesem Bereich kann eine Umfrage einem Scan nicht das Wasser reichen.
Autor
