Datenschutz-Analyse: Sind Ihre Datenbanken DSGVO-konform?
Lesedauer: 7 Minuten | 823 Wörter | Autor: Bianca Vorholt
Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) in Deutschland und ganz Europa (EU). Die DSGVO regelt den Umgang von Unternehmen mit personenbezogenen Daten. Bei der DSGVO handelt es sich um eine Verordnung – sie muss also nicht mehr in nationales Recht übertragen werden. Die DSGVO gilt auch für Unternehmen aus Ländern außerhalb der Europäischen Union, wenn diese Daten von EU-Bürgern verarbeiten. Die eigentliche Intention, vor allem die personenbezogene Datenverarbeitung der großen Tech-Unternehmen (Google, Facebook, Twitter) zu regulieren, trifft auch alle mittelständischen Unternehmen. Ja, selbst kleine Websiten von Bloggern.
Was sind personenbezogene Daten?
Personenbezogene Daten sind Daten, die nicht vollständig anonym erhoben werden und damit einer bestimmten Person zugeordnet werden können. Das sind der Name, das Einkommen, Adressen, Geburtsdatum, E-Mail-Adressen, selbst Fotos und das Surf- und Klickverhalten von Menschen.
Dabei ist es egal, woher diese personenbezogenen Daten stammen – ob aus Online-Formularen, aus CRM-Maßnahmen, aus Datenaufkäufen oder aus dem internen HR-System – wenn sie von EU-Bürgern stammen, fallen sie unter die DSGVO. Die Pflichten für Unternehmen hören mit der Aktualisierung der Datenschutzerklärung auf der Webseite nicht auf. Ebenso sollten Firmen ihre Datenbanken auf den Prüfstand stellen.
Personenbezogene Daten vorhanden? Unternehmen sind in der Pflicht
Mit der DSGVO gilt die Umkehr der Beweislast. Das bedeutet, wenn nun eine Person eine Auskunft darüber will, ob und wieso Ihr Unternehmen Daten dieser Person verarbeitet, müssen Sie nachweisen können, dass sie entweder wirklich keine Daten einer Person verarbeiten oder dass die angeforderte Kopie dem Datenstand dem Zeitpunkt der Anfrage entspricht und vollständig ist. Dabei müssen alle Daten von internen IT-Systemen und von allen Auftragsverarbeitern berücksichtigt werden. Im Falle einer Beschwerde eines Betroffenen bei den Aufsichtsbehörden, müssen Sie nachweisen, wann welche Auskünfte erteilt wurden und welche Korrekturen oder Löschungen vorgenommen wurden.
Eine weitere wichtige Anforderung der DSGVO ist das Recht auf Vergessenwerden. Auf Verlangen des Kunden müssen Sie personenbezogene Daten unverzüglich löschen – sofern keine vertragliche oder gesetzliche Grundlage mehr besteht. Ferner müssen personenbezogene Daten gelöscht werden, für die der Verwendungszweck nicht mehr existiert. Etwa, wenn ein Vertrag abgelaufen oder ein Mitarbeiter aus dem Unternehmen ausgeschieden ist.
Personenbezogene Daten dürfen nur dann genutzt werden, wenn dafür eine Rechtsgrundlage vorliegt, zum Beispiel in Form einer persönlichen Einwilligung. Für die Nutzung von Daten minderjähriger Kinder (unter 16) muss übrigens von Anfang an auch eine Einwilligung der Eltern vorliegen.
Datenschutz bei Datenbanken
Grundlegende Fehler vermeiden
Anfangs haben wir definiert, was personenbezogene Daten sind. Oftmals sind sich Unternehmen sicher, dass sie keine unberechtigt gespeicherten personenbezogene Daten haben. Problematisch ist, dass ebenso Datensatz-Fragmente und fehlerhafte Datensatz-Duplikate, in denen zum Beispiel der Name falsch, aber die E-Mail-Adresse richtig geschrieben ist, zum Gegenstand werden können. Die Herausforderung besteht also darin – gerade in nicht immer akkurat gepflegten Datenbanken– verteilte Personendaten inklusive aller Mehrfach- und Falsch-Einträge aufzuspüren und vollständig aufzulisten. Denn letztlich sind alle Daten betroffen, die es ermöglichen, eine Person durch Recherche zu identifizieren.
DSGVO-Check für Datenbanken
Eine geeignete Datenschutz-Software oder ein Datenqualität-Tool kann Unternehmen dabei unterstützen eine höhere Transparenz hinsichtlich ihrer Datenschutz-Compliance zu gewinnen. Zu Beginn wird eine Datenbank-Analyse auf deren DSGVO-Konformität durchgeführt. Diese Daten-Inventur erfolgt im Idealfall systemübergreifend. Dabei werden Sie häufiger auf die Herausforderungen treffen, dass alte Datenbanken existieren, die nicht mehr administrierbar sind und personenbezogene Daten nicht gelöscht werden können. In einem solchen Fall wird geprüft, wie die Softwarearchitektur aussieht und welche Verknüpfungen innerhalb der Software und zu anderen relevanten Datenbanken bestehen.
Bei der darauffolgenden Datenbank-Analyse prüfen Sie mit Hilfe der Software, welche Datenarten vorhanden sind, ob alle relevanten Felder gefüllt sind und ob das Format korrekt ist. Im nächsten Schritt wird definiert, welche personenbezogenen Daten gelöscht oder beauskunftet werden müssen. Aufgrund der definierten Anforderungen wird ein Datenmodell erstellt, mit dem die Bereinigung (Löschung oder Pseudonymisierung) und – wenn gewünscht – das Beauskunften erfolgt. Idealerweise wird hier direkt ein regelmäßiger Prozess zur Bereinigung definiert und in einem Löschkonzept verankert. Das Ganze ist ein flexibler iterativer Prozess der den Kunden mit einbezieht, transparent und nachvollziehbar ist.
Datenqualität von Datenbanken prüfen – ohne Stillstand
Daten sind der Treibstoff der digitalen Transformation. Sie sind wertvoll und der Umgang mit ihnen ist durch die DSGVO reglementiert. Daten und die fassenden Datenbanken müssen entsprechend gepflegt werden. Erst dann können sie einem Unternehmen neue Potenziale eröffnen und werden nicht unabsichtlich zum Bußgeld-Problem. Die Analyse sowie die anschließende Sicherung sind notwendig und dafür prädestiniert, digital automatisiert zu werden. Ein Mittel sind Datenqualität-Tools. Diese Tools stellen die Datenqualität durch tägliche Analysen im Hintergrund sicher.
Gründe für den Einsatz der Datenqualität-Software MIOvantage
Mithilfe des Datenqualität-Tools MIOvantage von MIOsoft haben Sie eine vollständige Sicht auf alle bei Ihnen gespeicherten Personendaten. MIOvantage findet Daten, die keinen unmittelbaren Bezug zur Geschäftstätigkeit Ihres Unternehmens haben – etwa, weil sie unabsichtlich aufgrund einer falschen Systemkonfiguration eingeholt wurden. MIOvantage findet zu jeder einzelnen Person sämtliche Daten und Datensegmente.
Das Aufspüren von Daten und Datensegmenten erfolgt im Rahmen eines iterativen Prozesses. Nach der Datenbestandsaufnahme können Sie die Daten bequem korrigieren, zusammenführen oder löschen, und sie können die jeweiligen Personen wegen einer Nutzungseinwilligung gezielt kontaktieren, ohne Gefahr zu laufen, einzelne Personen mehrfach anzuschreiben.
Das könnte Sie auch interessieren:
Videokonferenzsysteme sind inzwischen kaum mehr wegzudenken, um auch in Krisenzeiten die Kommunikation beizubehalten. Doch wie datenschutzkonform sind Meeting-Tools?
