Personenbezogene Daten in den Griff bekommen

Autor/Redakteur: Thomas Ehrlich, Country Manager DACH bei Varonis Systems/gg

Nach wie vor haben noch zahlreiche Unternehmen Schwierigkeiten bei der Umsetzung der DSGVO und stehen vor großen Herausforderungen im Umgang mit den personenbezogenen Daten (PII). Deren Identifikation ist dabei überhaupt erst die Grundlage dafür, weiteren Anforderungen nachkommen zu können, etwa dem Recht auf Löschung. Und auch ein effektiver Schutz der sensiblen Informationen ist nur möglich, wenn man weiß, was überhaupt geschützt werden muss. Die zentrale Frage für Unternehmen lautet also zunächst: Wo haben wir personenbezogene Daten gespeichert?

Bild: Varonis

Zunächst muss jedoch geklärt werden, was überhaupt personenbezogene Daten sind. Namen, Adressen, Telefonnummern, Sozialversicherungs- und Ausweisnummern sind die klassischen Beispiele für PII. Die DSGVO definiert diese als sämtliche Informationen, die etwas über eine Person aussagen. Entsprechend kommen auch beispielsweise E-Mail-Adressen, Nutzernamen, Standorte, IP-Adressen und biometrische Informationen hinzu, wenn diese einer Person (mit vertretbarem Aufwand) zugeordnet werden können. Erschwert wird die Identifizierung der Daten dadurch, dass die EU aus 28 Mitgliedsstaaten mit 24 Amtssprachen besteht – mit unterschiedlichen Formaten für Nummernschilder, Telefonnummern oder Ausweise.

Daten – überall

Das größte Problem beim Aufspüren von personenbezogenen Daten liegt darin, dass diese oftmals an Orten gespeichert sind, mit denen (ursprünglich) nicht gerechnet wurde. Vielfach herrscht noch die Annahme vor, dass diese Daten ausschließlich in den entsprechenden Datenbanksystemen (wie etwa im CRM oder in HR-Systemen) vorgehalten werden. In der Praxis finden Daten aber immer einen Weg aus diesen Datenbanken heraus und landen auf Mail- und Datenservern – beispielsweise in Word-Dokumenten, Excel-Tabellen oder Präsentationen. Und selbstverständlich fallen auch diese – verstreuten, unstrukturierten – Daten unter die DSGVO. An sich wären personenbezogene Daten nicht schwierig zu identifizieren. Aber selbst wenn man nach speziellen personenbezogenen Informationen sucht, muss man zumindest wissen, wo man suchen muss.