Was hat Datenqualität mit der DSGVO zu tun?

Ist Ihnen das vielleicht auch schon mal passiert? Sie haben sich bei einem Unternehmen gemeldet, den Katalog abbestellt und um Löschung ihrer Daten gebeten. Sie bekommen Bescheid, dass das erledigt wurde und 3 Wochen später ist der selbe Katalog wie immer in ihrem Briefkasten? Der Grund dafür kann schlechte Datenhygiene sein. DSGVO-Konformität bzw. der Schutz ihrer Privatsphäre ist heute für viele Menschen ein wichtiges Gut. Das heißt, dass das Unternehmen bei einem versehentlichen Verstoß gegen die DSGVO durchaus mit einer Meldung bei der Aufsichtsbehörde rechnen muss. Das hat zum einen durchaus knackige Strafen zur Folge – je nach Schweregrad und Wiederholung bis 4% seines gesamten weltweiten Umsatzes zum anderen schädigt es den Leumund.

Im folgenden zählen wir Ihnen die Hauptgründe auf, warum die Umsetzung der DSGVO bedingt, eine gute Data Quality Strategie zu haben. Wie immer bei uns mit Fokus auf B2B.

1. Was ist Datenqualität?

Datenqualität  wird im Allgemeinen anhand unterschiedlicher Merkmale definiert – wir orientieren uns im Wesentlichen an der Liste von Wikipedia

1. Korrektheit: Die Daten sollen mit der Realität weitgehend übereinstimmen
2. Vollständigkeit: Ein Datensatz muss alle notwendigen Attribute enthalten.
3. Relevanz: Der Informationsgehalt muss den Informationsbedarf erfüllen.
4. Aktualität: Alle Datensätze müssen dem aktuellen Zustand der abgebildeten Realität entsprechen.
5. Zuverlässigkeit: Die Entstehung der Daten muss nachvollziehbar sein.
6. Redundanzfreiheit: Es dürfen innerhalb eines Datensatzes keine Dubletten vorkommen.
7. Konsistenz: Kein Widerspruch zu anderen Datensätzen
8. Verständlichkeit: Die Datensätze müssen in ihrer Begrifflichkeit und Struktur vom Informationsempfänger verstanden werden.
9. Zugänglichkeit/Verfügbarkeit: Das oder die verwendeten Systeme müssen geeignet sein, die Daten verfügbar zu halten.

Jetzt prüfen wir, wo wir Forderungen in diese Richtung in der DSGVO finden:

2. Forderung nach Datenqualität in den allgemeine Grundsätze der DSGVO:

Art 5 EU DS-GVO (1) d besagt, dass Daten “sachlich richtig und auf dem neuesten Stand sein” müssen. 

Was bedeutet das für die eigenen Daten?

Diese Aussage im Gesetzestext beinhaltet bereits Punkt 1, 2 und 4: richtige, vollständige und aktuelle Daten.

Gerade im B2B Bereich altern Daten – insbesondere personenbezogene Daten – enorm schlecht. So sind z.B. 4 von 10 Führungskräften wechselwillig und viele tun es. Arbeitnehmer wechseln laut einer Stepstone-Studie von 2017 alle 4 Jahre ihren Job. Die Wahrscheinlichkeit, dass eine B2B – Adressdatenbank viele sachlich nicht richtige personenbezogene Daten aufgrund von Jobwechseln oder Abteilungswechseln beinhaltet, ist enorm hoch. Zum aktiven Arbeitsplatzwechsel kommen Firmenumzüge, -verkäufe, Umfirmierungen, Insolvenzen etc. dazu.

Erschwerend hinzu kommt, dass bei Arbeitsplatzwechsel oder Insolvenz der Zweck für die Speicherung dieser personenbezogenen Daten entfällt (siehe hierfür Art 5 EU DS-GVO (1) b) und eine weitere Speicherung deshalb unzulässig ist, doch dazu weiter unten mehr.

Schwupps hat man gleich gegen mehrere Grundsätze der DSGVO gestoßen, einzig und allein dadurch, dass man nichts gemacht hat.

Schauen wir uns Artikel 5 weiter an:

Art 5 EU DS-GVO (1) e besagt, dass die Daten “in einer Form gespeichert sein [müssen], die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. “

Damit wird die Erfüllung eines weiteren Aspekts von Datenqualität gefordert:  Punkt 3, die Daten müssen relevant sein.

Zunächst hört sich das ganze recht einfach an: Zweck erloschen → Daten löschen. Total easy. Warum sollte das ein Problem sein? Bei gutem Datenmanagement und guter Nutzung eines ERPs ist das tatsächlich kein all zu großes Problem. Dann weiß ein Unternehmen i.d.R. , wo überall Daten einer betroffenen Person gespeichert sind.

Problematisch ist das ganze dann, wenn

• es isolierte Datenbanken gibt z.B. durch mehrere nicht verknüpfte Touchpoints (z.B. eigene Systeme im Marketing, im Vertrieb und in der Buchhaltung) -> Punkt 5: Zuverlässigkeit der Daten
• versehentlich Dubletten durch Tippfehler angelegt wurden -> Punkt 6: Redundanzfreiheit
• versteckte Dubletten entstanden sind (z.B. durch Namensänderung, Umzug, Verschmelzung, Geschäftsnachfolge) -> Punkt 6 und 7 (Konsistenz)
• personenbezogene Daten durch Eingabefehler (z.B. Ortsteilangabe statt Ortsname, Name in falsches Feld gefüllt) falsch zugeordnet wurden. -> Punkt 5 bis 7

Oder mit anderen Worten: Punkt 5, 6 und 7 aus unserer Liste oben müssen beachtet werden. Die Entstehung der Daten muss klar nachvollziehbar sein, sie dürfen nicht redundant sein und keine widersprüchlichen Daten enthalten.

Wenn jetzt eine betroffene Person ihre Rechte wahrnehmen möchte, sind Unternehmen bei älteren und/oder nicht ideal gepflegten Datenbeständen ohne regelmäßiger Bereinigung gar nicht in der Lage, dem vollumfänglich nachzukommen.

3. Rechenschaftspflicht über Qualitätsmaßnahmen

Art 5 EU DS-GVO (2): Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können

Klarer kann es in einem Gesetz nicht stehen:  Man braucht eine Datenstrategie. Regelmäßige Bereinigungen und Dublettenchecks sind unerlässlich, um die Einhaltung der geforderten Punkte nachweisen zu können.

4. Rechte betroffener Personen

Betroffene Personen haben unterschiedliche Rechte. Die Personen, die für die Speicherung personenbezogener Daten verantwortlich sind, müssen sicherstellen, dass alle personenbezogenen Daten einfach auffindbar sind in ihren Systemen.

Art 12 EU DS-GVO (1): Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen…und Mitteilungen, die sich auf Verarbeitung beziehen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen Sprache zu übermitteln.” (vgl. )

Im Grunde ist es wieder die Aussage: Kümmert euch um eine geeignete Datenstrategie und stellt damit die Datenqualität sicher! Ganz konkret wird hier  Punkt 8 und 9 unserer Liste gefordert.

Im Wesentlichen ist das Problem bei der Umsetzung der Rechte betroffener Personen dasselbe wie in Passus 2 dieses Beitrages: isolierte Datenbanken, unterschiedliche Touchpoints, Veränderungen bei den Kunden führen zu nicht erkannten Dubletten oder sogar Fehlzuordnungen. Es ist so u. U. nicht möglich, eine vollständige Auskunft zu erhalten oder die Daten vollständig aus einem System zu löschen oder zu sperren.

Hier nur in Kürze die einzelnen Rechte Betroffener, die unmittelbar durch ein geeignetes Datenqualitätsmanagement abgedeckt werden müssen:

… auf Auskunft

Art 15 EU DS-GVO (2) Art. 15 DSGVO: Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

…

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

… auf Berichtigung

Art. 16 EU DS-GVO: Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

… auf Löschung

Art. 17 EU DS-GVO (1): Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

… auf Datenübertragbarkeit

Art. 20 DSGVO : Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, …

 

5. Pflichten der Verantwortlichen

Im Kapitel 4 der DSGVO wird noch einmal klar herausgearbeitet, dass Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen müssen, um nachweisen zu können, dass und wie personenbezogene Daten geschützt werden. 

6. Fazit

Jetzt können wir die Liste aus Punkt 1 nochmal überprüfen:

1. Korrektheit: Die Daten sollen mit der Realität weitgehend übereinstimmen. – Check
2. Vollständigkeit: Ein Datensatz muss alle Vollständigen Attribute erfüllen. – Check
3. Relevanz: Der Informationsgehalt muss den Informationsbedarf erfüllen. – Check
4. Aktualität: Alle Datensätze müssen dem aktuellen Zustand der abgebildeten Realität entsprechen. – Check
5. Zuverlässigkeit: Die Entstehung der Daten muss nachvollziehbar sein. – Check
6. Redundanzfreiheit: Es dürfen innerhalb eines Datensatzes keine Dubletten vorkommen. – Check
7. Konsistenz: Kein Widerspruch zu anderen Datensätzen – Check
8. Verständlichkeit: Die Datensätze müssen in ihrer Begrifflichkeit und Struktur vom Informationsempfänger verstanden werden. – Check
9.  Zugänglichkeit/Verfügbarkeit der Daten: Das oder die verwendeten Systeme müssen geeignet sein, die Daten verfügbar zu halten. – Check

Im Grunde ist ein Unternehmen ohne regelmäßige Datenbereinigungen und Dublettenchecks kaum in der Lage, DSGVO – konform zu handeln.