Datenschutz: Sind Ihre Datenbanken DSGVO-konform?

Gutes Datenschutzmanagement ist der Hygienefaktor der IT-Resilienz. Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) in Deutschland und ganz Europa (EU) – sozusagen die Putzordnung für Ihre Resilienz-Wohnung. Die DSGVO regelt den Umgang von Unternehmen mit personenbezogenen Daten. Bei der DSGVO handelt es sich um eine Verordnung – sie muss also nicht mehr in nationales Recht übertragen werden. Sie gilt auch für Unternehmen aus Ländern außerhalb der Europäischen Union, wenn diese Daten von EU-Bürgern verarbeiten. Die eigentliche Intention, vor allem die personenbezogene Datenverarbeitung der großen Tech-Unternehmen (Google, Facebook, Twitter) zu regulieren, trifft auch alle mittelständischen Unternehmen. Ja, selbst kleine Webseiten von Bloggern.

Personenbezogene Daten sind Daten, die nicht vollständig anonym erhoben werden und damit einer bestimmten Person zugeordnet werden können. Das sind der Name, das Einkommen, Adressen, Geburtsdatum, E-Mail-Adressen, selbst Fotos und das Surf- und Klickverhalten von Menschen.

Dabei ist es egal, woher diese personenbezogenen Daten stammen – ob aus Online-Formularen, aus CRM-Maßnahmen, aus Datenaufkäufen oder aus dem internen HR-System – wenn sie von EU-Bürgern stammen, fallen sie unter die DSGVO. Die Pflichten für Unternehmen hören mit der Aktualisierung der Datenschutzerklärung auf der Webseite nicht auf. Ebenso sollten Firmen ihre Datenbanken auf den Prüfstand stellen.

Personenbezogene Daten vorhanden? Unternehmen sind in der Pflicht

Mit der DSGVO gilt die Umkehr der Beweislast. Das bedeutet, wenn nun eine Person eine Auskunft darüber will, ob und wieso Ihr Unternehmen Daten dieser Person verarbeitet, müssen Sie nachweisen können, dass sie entweder wirklich keine Daten einer Person verarbeiten oder dass die angeforderte Kopie dem Datenstand dem Zeitpunkt der Anfrage entspricht und vollständig ist. Dabei müssen alle Daten von internen IT-Systemen und von allen Auftragsverarbeitern berücksichtigt werden. Im Falle einer Beschwerde eines Betroffenen bei den Aufsichtsbehörden, müssen Sie nachweisen, wann welche Auskünfte erteilt wurden und welche Korrekturen oder Löschungen vorgenommen wurden.

Eine weitere wichtige Anforderung der DSGVO ist das Recht auf Vergessenwerden. Auf Verlangen des Kunden müssen Sie personenbezogene Daten unverzüglich löschen – sofern keine vertragliche oder gesetzliche Grundlage mehr besteht. Ferner müssen personenbezogene Daten gelöscht werden, für die der Verwendungszweck nicht mehr existiert. Etwa, wenn ein Vertrag abgelaufen oder ein Mitarbeiter aus dem Unternehmen ausgeschieden ist.

Personenbezogene Daten dürfen nur dann genutzt werden, wenn dafür eine Rechtsgrundlage vorliegt, zum Beispiel in Form einer persönlichen Einwilligung. Für die Nutzung von Daten minderjähriger Kinder (unter 16) muss übrigens von Anfang an auch eine Einwilligung der Eltern vorliegen.

Grundlegende Fehler vermeiden: Anfangs haben wir definiert, was personenbezogene Daten sind. Oftmals sind sich Unternehmen sicher, dass sie keine unberechtigt gespeicherten personenbezogene Daten haben. Problematisch ist, dass ebenso Datensatz-Fragmente und fehlerhafte Datensatz-Duplikate, in denen zum Beispiel der Name falsch, aber die E-Mail-Adresse richtig geschrieben ist, zum Gegenstand werden können. Die Herausforderung besteht also darin – gerade in nicht immer akkurat gepflegten Datenbanken– verteilte Personendaten inklusive aller Mehrfach- und Falsch-Einträge aufzuspüren und vollständig aufzulisten. Denn letztlich sind alle Daten betroffen, die es ermöglichen, eine Person durch Recherche zu identifizieren.

Eine geeignete Datenschutz-Software oder ein Datenqualitäts-Tool kann Unternehmen dabei unterstützen eine höhere Transparenz hinsichtlich ihrer Datenschutz-Compliance zu gewinnen.

1. Zu Beginn wird eine Datenbank-Analyse auf deren DSGVO-Konformität durchgeführt. Diese Daten-Inventur erfolgt im Idealfall systemübergreifend. Dabei werden Sie häufiger auf die Herausforderungen treffen, dass alte Datenbanken existieren, die nicht mehr administrierbar sind und personenbezogene Daten nicht gelöscht werden können. In einem solchen Fall wird geprüft, wie die Softwarearchitektur aussieht und welche Verknüpfungen innerhalb der Software und zu anderen relevanten Datenbanken bestehen.
2. Bei der darauffolgenden Datenbank-Analyse prüfen Sie mit Hilfe der Software, welche Datenarten vorhanden sind, ob alle relevanten Felder gefüllt sind und ob das Format korrekt ist.
3. Im nächsten Schritt wird definiert, welche personenbezogenen Daten gelöscht oder beauskunftet werden müssen. Aufgrund der definierten Anforderungen wird ein Datenmodell erstellt, mit dem die Bereinigung (Löschung oder Pseudonymisierung) und – wenn gewünscht – das Beauskunften erfolgt. Idealerweise wird hier direkt ein regelmäßiger Prozess zur Bereinigung definiert und in einem Löschkonzept verankert. Das Ganze ist ein flexibler iterativer Prozess, der den Kunden mit einbezieht, transparent und nachvollziehbar ist.

Daten sind der Treibstoff der digitalen Transformation. Sie sind wertvoll und der Umgang mit ihnen ist durch die DSGVO reglementiert. Daten und die fassenden Datenbanken müssen entsprechend gepflegt werden. Erst dann können sie einem Unternehmen neue Potenziale eröffnen und werden nicht unabsichtlich zum Bußgeld-Problem. Die Analyse sowie die anschließende Sicherung sind notwendig und dafür prädestiniert, digital automatisiert zu werden. Ein Mittel sind Datenqualität-Tools. Diese Lösungen stellen die Datenqualität durch tägliche Analysen im Hintergrund sicher.

Legen Sie ein Datenlöschkonzept an

Selbst wenn verstanden wurde, dass Personen, deren Daten von Unternehmen verarbeitet wurden, ein Recht auf Löschung zusteht: Vielen Datenverarbeitenden ist noch nicht klar, wann, wie und unter welchen Umständen Daten systematisch gelöscht werden müssen. Um dieses Risiko – und damit hohe Bußgeldzahlungen – nicht unbewusst einzugehen, sollten Datenschutzbeauftragte nicht nur die Inhalte der DSGVO kennen, sondern auch in der Lage sein, ihren Kolleginnen und Kollegen jederzeit Hilfestellung geben zu können.

Eine bewährte Strategie ist, eine eigene Initiative für ein Löschkonzept zu starten. Diese implementiert eine Silo-übergreifende Löschroutine im Unternehmen, die auch von Nicht-Datenschutzverantwortlichen verstanden und angewandt werden kann. Hier erfahren Sie, wie ein solches Löschkonzept aussieht.