DSGVO Qualitätssicherung: Kundendaten richtig löschen

  |   CX Services ,
DSGVO Qualitätssicherung

Hier mal einen Haken gesetzt, dort mal ein Formular ausgefüllt – aber wofür genau habe ich eigentlich schon meine Einwilligung gegeben? Mit der neuen Regelung der DSGVO können Kunden ab sofort alle Infos zu ihren Daten anfragen und löschen lassen. Egal ob die Anfrage per Mail, per Post oder per Telefon kommt, der Umgang mit der Auskunftspflicht für Unternehmen ist eine echte Herausforderung. Oft liegen die Daten in den unterschiedlichsten Backend-Systemen und -Strukturen. Spätestens seit 25. Mai müssen diese auch miteinander sprechen, damit nirgendwo ungewünschte Überreste der Daten bleiben. Und damit das funktioniert, wird in den Großkonzernen bereits seit Monaten getestet.

 

Gerade bei großen Automobilkonzernen liegen die Hauptkundendaten oft in einer anderen Datenbank bzw. einem Backend-System als die Daten, bei denen es um die Fahrzeuge des Kunden geht. Wenn ein Kunde anruft, um z.B. das Löschen seiner Daten einzufordern oder Auskunft über seine Daten zu erhalten, gilt es, die richtigen Kundendaten aus der jeweiligen Datenbank oder dem Backend-System zu ziehen. Diese Anforderung kann nur über eine Middleware erfüllt werden, die als Schnittstellenservice für die Kommunikation zwischen den Systemen fungiert. Ohne Frontend arbeitet die Schnittstelle als Übersetzungsbüro, um Anfragen von A nach B weiterzuleiten und die Antwort (Response) wieder von B zurück zu A zu übergeben. Die fachlichen Anfragen müssen demnach in einer Sprache umgesetzt oder implementiert werden, die die Backend-Systeme verstehen und umgekehrt. Der Vorteil dieser Schnittstellenstruktur liegt dabei im doppelten Boden. Falls Systemausfälle oder Downtime im Schnittstellenservice auftreten, sind Nebenwirkungen für Mitarbeiter und Kunden gering. Tatsächlich lassen sich weiterhin Anfragen von Kunden im Frontend sammeln, bis der Schnittstellenservice wieder einsatzbereit ist und die Informationen an das Backend-System weiterleiten kann.

 

 

DSGVO: Rechte und Pflichten

 

Die Anfragen der Kunden werden als Ticket von den Mitarbeitern des Fachbereichs erfasst. Diese können weitaus komplexer ausfallen, als der einfache Wunsch nach der Löschung sämtlicher Daten. So wird unterschieden zwischen Auskunft „Standard“ (z.B. Fahrzeugdaten, Geburtsdaten, Telefonnummer etc.) und „erweitert“  (z.B. Hobby, Arbeitsplatz, Religion, Familienstand etc.). Tatsächlich kommen die Anfragen von Kunden in der Form:

 

  • Welche Daten von mir wurden bei Ihnen gespeichert?
  • Könnten Sie bitte folgende Daten löschen: X, Y und Z
  • Wurden mein Geburtsdatum und/oder meine Telefonnummer in Ihrem System gespeichert?
  • Ich habe vergessen, ob ich bei der Vertragsabschließung meine Religion angegeben habe – könnte ich das bitte ergänzen?

 

Wie auch immer die Kundenanfrage lautet, wird diese vom Schnittstellenservice an alle Backend-Systeme verschickt, da der Speicherort im ersten Moment nicht bekannt ist.

 

 

Qualitätssicherung: Verarbeitung via Schnittstelle

 

Die Antwort bzw. Response lautet im Fall des Löschvorgangs lediglich „erfolgreich“ (Daten wurden gelöscht) oder „fehlerhaft“ (es muss manuell eingegriffen werden). Weitaus komplexer ist der Prozess bei der Auskunftserteilung. Der Schnittstellenservice muss in der Lage sein, die Response von allen Backend-Systemen zu konsolidieren. D.h. es könnte sein, dass eine E-Mail-Adresse vom Kunden in mehreren hundert Systemen gespeichert ist. Der Schnittstellenservice besitzt daher einen sogenannten Konsolidierer, der E-Mail-Adressen zusammenfasst und diese Information an das System meldet. Darüber hinaus unterscheidet der Konsolidierer auch zwischen zwei unterschiedlichen E-Mail-Adressen, die getrennt angegangen werden müssen. Diese Response von dem Backend-System erfolgt in der Programmiersprache JSON. Hierbei handelt es sich um ein bestimmtes Datei-Format, das der Schnittstellenservice auch an das System weitergeben muss. An diesem Punkt erzeugt die Schnittstelle eine Übersetzung des Dateiformates in eine für Menschen verständliche Sprache.

 

 

Qualitätssicherung: Testablauf

 

 

 

Testmanagement

 

Zuerst erfolgt die Spezifikation eines Testfalles bzw. einer Testphase inkl. konkreter Planung was durchgeführt wird und erwartetem Ergebnis, was das System zurückgeben soll, falls die Software richtig läuft. Es folgt die Testdurchführung, bei der das Ergebnis mit dem erwarteten Ergebnis abgeglichen wird. Bei 100 Prozent Übereinstimmung ist der Test erfolgreich abgeschlossen. Das Auftreten von Fehlern kann dagegen an zwei Stellen erfolgen. Ein Fehler im Schnittstellenservice könnte beispielsweise eine nicht zugestellte E-Mail an den Konzern sein. Ein entsprechender Fehler wird über das Ticket-Processing oder Fehler-Tracking im System erfasst und an die entsprechende Abteilung weitergegeben. Ein Fehler im Backend kann dagegen verschiedene Ursachen haben. Je nachdem, ob es sich um einen tatsächlichen Software-Fehler handelt oder nur um ein Ticket, ist die Vorgehensweise unterschiedlich.

 

  • Inzident: Ein Beispiel hierfür wäre bei einem Internetausfall, wenn die Kommunikation generell fehlgeschlagen ist. In diesem Fall wird lediglich ein Ticket erstellt, was von den Entwicklern geprüft und dann abgelehnt wird.

 

  • Software-Fehler: Bei einem konkreten Fehler im Rahmen der Softwareprüfung wird das Ergebnis in das Tracking oder Bug-System eingespielt. Die Entwicklungsfirma muss diesen Fehler korrigieren und eine neue geänderte Softwareversion in das System einspielen. Das heißt, bei jedem gefundenen Fehler im Rahmen des Testing gibt es ein Update. Die Update-Zyklen können eine völlig unterschiedliche Dauer haben und hängen von der Größe der Fehler ab. Das Spektrum reicht von ein oder zwei Minuten bei kleinen Fehlern bis hin zu zwei Wochen bei einer umfangreichen Fehleranalyse. Allein für diese Schnittstellensoftware wurden insgesamt ca. 50 Testfälle geschrieben.

 

 

Zusammenfassung

 

Die Herausforderung der DSGVO liegt häufig in der Anpassung bereits bestehender technischer Systeme an die detaillierten Auskunftspflichten. Oftmals bestehen zwar schon Schnittstellenservices, jedoch nur in einer sehr vereinfachten Form für den Löschvorgang – so auch in unserem Kundenbeispiel. Um fehlerfrei konsolidieren und zwischen den Backend-Systemen übersetzen zu können, sind Qualitätsmanagement und Testmanagement daher unumgänglich.

Hier mal einen Haken gesetzt, dort mal ein Formular ausgefüllt – aber wofür genau habe ich eigentlich schon meine Einwilligung gegeben? Mit der neuen Regelung der DSGVO können Kunden ab sofort alle Infos zu ihren Daten anfragen und löschen lassen. Egal ob die Anfrage per