Vernehmlassungsantwort zum eID-Gesetz des Bundes
10. Oktober 2022

Datenschutz mittels intelligenter Software meistern

Das revidierte Datenschutzgesetz (DSG) tritt am 1. September 2023 in der Schweiz in Kraft. Unternehmen müssen bis zu diesem Datum technische und organisatorische Massnahmen umgesetzt haben, um Personendaten gemäss den neuen rechtlichen Vorgaben zu schützen. Bei Verstössen gegen das Datenschutzgesetz drohen Strafen bis zu 250.000 CHF in der Schweiz. Hinzu kommt die steigende Gefahr von Cyberangriffen, bei denen immer öfter Kunden- und Mitarbeiterdaten erbeutet werden, die nicht ausreichend geschützt und an nicht geeigneten Speicherorten abgelegt wurden. Dies führt zu Reputationsschäden und im schlimmsten Fall zum Abwandern der verärgerten Kunden.

Ein Blick in den Werkzeugkasten

Schweizer Unternehmen, welche auch in der EU tätig sind, haben bei der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) bereits die ersten Schritte zur Verbesserung des Datenschutzes gemacht. Datenschutzverantwortliche wurden ernannt und Mitarbeiterschulungen durchgeführt. Das Erstellen des Verzeichnis der Bearbeitungstätigkeiten ist der erste Schritt, um eine Übersicht über die Personendaten in der Organisation zu erhalten. In der Unternehmenspraxis beschreiben diese Verzeichnisse einen idealen SOLL-Zustand, während in der Praxis viele Kopien der Personendaten in einer Vielzahl von IT-Systemen verteilt sind. Kopien in E-Mailsystemen, Fileservern und in der Cloud sind hier nur einige Beispiele.

Um Datenschutz in der Praxis effektiv und effizient umzusetzen, ist eine toolbasierte Unterstützung in folgenden Bereichen notwendig:

  • Tools für den Betrieb des Datenschutzmanagementsystems: Die relevanten Informationen wie Verzeichnis der Bearbeitungstätigkeiten, interne Weisungen, technische und organisatorische Massnahmen werden in einem Dokumentationstool verwaltet, damit alle Informationen stets aktuell bleiben und den relevanten Mitarbeitern zur Verfügung stehen.
  • Tools für die Verwaltung der rechtlichen Aufbewahrungsfristen und Löschprozesse: Die Organisation muss Personendaten nach Ablauf der gesetzlichen Aufbewahrungsfristen löschen. Hierzu müssen die Fristen dokumentiert und entsprechende Löschprozesse umgesetzt werden.
  • Tools für die Prävention im Kontext Cybersicherheit und Datenschutz: Für sämtliche internen und externen Speichersysteme soll regelmässig geprüft werden, ob die Speicherung der Personendaten den internen Vorgaben entspricht. Falls sensitive Personendaten von Mitarbeitenden am falschen Ort gespeichert wurden (z.B. Transferverzeichnis), muss dies erkannt und korrigiert werden. Nur wenn das Unternehmen seine Daten kennt und eine Ordnung der Daten schafft, können die Sicherheitsmassnahmen zielgerichtet geplant werden. Der Hersteller Microsoft fasst dies in dem eingängigen Merksatz zusammen „Know your data – Govern your data – Protect your Data“.
  • Tools für die Abwicklung der Datenschutzprozesse: Das Datenschutzgesetz gibt betroffenen Personen (z.B. Kunden und Mitarbeitern) das Recht, eine Auskunft zu erhalten, welche sie betreffenden Personendaten von der Organisation gespeichert werden und wann diese gelöscht werden. Das Unternehmen steht somit in der Pflicht, die internen Systeme nach den relevanten Personendaten zu durchsuchen und die Auskunft innerhalb von 30 Tagen zu geben. Dies ist ohne automatisierte Such- und Klassifikationstools praktisch nicht möglich. In den folgenden Abschnitten erläutern wir die Methoden und Tools hierfür.
Datenschutzgesetz, DSGHerausforderung und Use-Case
Artikel 5 Datenschutzgesetz, DSG
Verletzung der Datensicherheit: eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden;
Problemfall:
Mitarbeiter legen Kopien der Personendaten in Cloudspeicher ab, welcher nicht die Datensicherheitsanforderungen für Personendaten erfüllt.
 
Use-Cases Suche und Klassifikation:
Finden und Identifizieren von Personendaten in Filesystemen, Mail und Cloudspeichern, die vordefinierten Kriterien entsprechen.
Artikel 5 Datenschutzgesetz, DSG: besonders schützenswerte Personendaten
Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,
Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,
 genetische Daten,
Biometrische Daten, die eine natürliche Person eindeutig identifizieren,
Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sank­tionen,
Daten über Massnahmen der sozialen Hilfe;
 
Problemfall:
Schützenswerte Personendaten sind verteilt in verschiedenen IT-Systemen abgelegt.

Use-Cases Suche und Klassifikation:
Dokumente werden gemäss ihrem textuellen Inhalt klassifiziert (z.B. Lebenslauf, Rechnung, Kontoauszug, Arbeitszeugnis).
Ausgewählte Informationstypen wie Kreditkartennummer, AHV-Nummer, Gesundheitsdaten werden in den Dokumenten anhand von Mustern (z.B. Codes) erkannt.
 
Art. 25c Datenschutzgesetz: Auskunftsrecht
1 Jede Person kann vom Verantwortlichen Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden.
2 Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, da­mit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transpa­rente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt:
a.      die Identität und die Kontaktdaten des Verantwortlichen;
b.      die bearbeiteten Personendaten als solche;
c.      der Bearbeitungszweck;
d.      die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
e.      die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden;
f.      gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht;
g.      gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 19 Absatz 4.
Problem:
Unternehmen müssen Daten und Dokumente einer Person in verteilten, heterogenen IT-Systemen finden und für die Herausgabe bzw. Löschung aufbereiten.

Use-Cases Suche und Klassifikation:
Suche, Klassifikation und Identifikation von Dokumenten, welche den Personennamen bzw. Identifikationsmerkmale enthalten.
Bei Personennamen sind verschiedene Schreibvarianten und etwaige Schreibfehler zu berücksichtigen.
 
DSG Datenschutzgesetz und ausgewählte Use Cases

Die in der Tabelle aufgeführten Use Cases haben eins gemeinsam: Die relevanten Daten sind meist quer über viele Systeme (Daten-Silos) und Unternehmenseinheiten verteilt. Vor allem unstrukturierte Daten, das heisst Dokumente und andere textuelle Objekte, sind dadurch nur mit grossem Aufwand sicher und lückenlos zu finden. Dabei geht die Suche nach Dokumenten, die relevante persönliche Daten enthalten und die ggf. auf Anfrage gelöscht werden müssen, weit über eine einfache Stringsuche sowie über die Erkennung von Schreib- oder Formatvarianten einer Personenangabe hinaus.

In der Praxis kommt erschwerend hinzu, dass Daten nur noch zu einem bestimmten Zweck gespeichert werden dürfen. Erlischt dieser, müssen auch die damit verknüpften personenbezogenen Daten gelöscht werden. Ein einfaches Beispiel hierfür ist der Rekrutierungsprozess in Unternehmen. Ist ein Bewerbungsverfahren abgeschlossen, müssen die Daten der Bewerber gelöscht werden, da der Zweck nicht mehr gegeben ist. Kommt es zu einer Einstellung, ist ein neuer Zweck zur Datenverarbeitung gegeben.

Für unterschiedliche Geschäftsbereiche existieren weitere Vorgaben für die Aufbewahrung von Daten. HR-Abteilungen sind auch hier ein gutes Beispiel. Verlässt ein Mitarbeiter das Unternehmen, ist der Verarbeitungszweck nicht mehr gegeben. Allerdings dürfen diese Daten nicht einfach gelöscht werden, da es gesetzlich vorgeschriebene Aufbewahrungsfristen gibt. Diese können je nach Geschäftsbereich erheblich variieren.

Softwarelösungen für das effiziente Finden von Personendaten

Wie aus dem oben Gesagten klar wird, ist der Prozess für das Auffinden von Dokumenten äusserst komplex – und demzufolge langwierig und vor allem fehleranfällig, wenn er manuell und ohne Unterstützung von Tools durchgeführt werden muss. Das Problem wird dadurch verschärft, dass die Daten in Silos abgelegt sind, die unterschiedlichen Stakeholdergruppen zugeordnet sind und die Aufwände deshalb noch zusätzlich koordiniert werden müssen. Unter diesen Vorzeichen sind Fristen für die Beantwortung von Auskunftsbegehren und für die Löschung von entsprechenden Daten ein Problem.

Die Lösung liegt in der (Teil-) Automatisierung der Prozesse zum Auffinden von Personendaten in verteilten Datenbeständen. Im Folgenden zeigen wir zwei Plattformen, die auf diese Anforderungen eingehen. Welcher der beide Ansätze sich im konkreten Fall besser eignet, hängt von verschiedenen unternehmensseitigen Erfordernissen und von der vorhandenen IT-Landschaft ab.

MS Purview: Compliance für M365 und Azure

Microsoft hat seine bisherigen Compliance Module in 2022 unter der Produktfamilie „Purview“ zusammengefasst. Hier stellt Microsoft zusätzlichen Komponenten bereit, um M365 und Azure um Compliance Funktionen zu erweitern. Der Fokus liegt auf internationalen Compliancevorgaben und den weltweiten Datenschutzvorgaben. Für die Bearbeitung von Auskunftsbegehren steht Anwendern das Modul Priva zur Verfügung. Der Einsatz von Microsoft Purview bietet sich für Unternehmen an, die bereits voll auf Microsoft-Plattformen setzen. MS Purview beinhaltet aber auch Schnittstellen zum Importieren von Inhalten aus Drittsystemen in die Microsoft-Umgebung. Da die Purview Produktfamilie neu am Markt und über komplexe Funktionen verfügt ist davon auszugehen, dass zuerst grosse Unternehmen mit hohen regulatorischen Vorgeben diese Dienste nutzen werden. 

k2 PID Cockpit: Identifikation von Personendaten

Einen etwas anderen Ansatz verfolgt das k2 PID Cockpit, welches in Kooperation des Kompetenzzentrum Records Management (KRM) und der Basler Karakun AG entstanden ist. Diese auf Künstlicher Intelligenz basierende Softwarelösung ermöglicht es Anwendern, personenbezogene Daten in heterogenen IT-Umgebungen effizient zu ermitteln.

Hierfür kann das k2 PID Cockpit alle Datenquellen durchsuchen, die über eine Schnittstelle (API) angesprochen werden können oder umgekehrt die API des Cockpits ansprechen können. Dabei ist es nicht relevant, ob es sich bei der Quelle um Standardsoftware oder proprietäre Anwendungen und strukturierte oder unstrukturierte Daten handelt. Das System erkennt je nach Konfiguration branchen- und firmenspezifische Texttypen und lässt sich je nach Bedarf auf lokalen Servern oder in der Cloud betreiben.

Die Vorteile für die Anwender liegen in der Einfachheit und den damit verbundenen Zeit- und Kosteneinsparungen. Durch automatisierte, transparente KI-Prozesse werden zudem Fehler minimiert, die Ergebnisse von Suchen reproduzierbar und konsistent.

Fazit

Mit der nächstes Jahr am 1.9.2022 in Kraft tretenden revidierten Version des DSG und den steigenden Risiken in Bezug auf Cybersecurity kommt in Sachen Datenschutz einiges an Arbeit auf Schweizer Unternehmen zu. Unternehmen müssen durch geeignete Prozesse sicherstellen, dass die Art, wie sie personenbezogene Daten sammeln, speichern und verarbeiten, den regulatorischen Vorgaben entspricht. Zudem müssen sie jederzeit in der Lage sein, alle gespeicherten Daten zu einer Person zu finden und diese auf Verlangen oder nach Beendigung des Speicherungszwecks zu löschen. Software-Tools können die Unternehmen bei diesen Pflichten erheblich unterstützen und dabei Zeitaufwände minimieren und Fehler verhindern.

Kontakt Autoren: Dr. Daniel Burgwinkel (krm) und Dr. Holger Keibel (karakun.com)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

gdpr-image
This website uses the Google reCaptcha Service. By using this website you agree to our Data Protection Policy.
Read more