Gutes Datenschutzmanagement ist der Hygienefaktor der IT-Resilienz. Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) in Deutschland und ganz Europa (EU) – sozusagen die Putzordnung für Ihre Resilienz-Wohnung. Die DSGVO regelt den Umgang von Unternehmen mit personenbezogenen Daten. Bei der DSGVO handelt es sich um eine Verordnung – sie muss also nicht mehr in nationales Recht übertragen werden. Sie gilt auch für Unternehmen aus Ländern außerhalb der Europäischen Union, wenn diese Daten von EU-Bürgern verarbeiten. Die eigentliche Intention, vor allem die personenbezogene Datenverarbeitung der großen Tech-Unternehmen (Google, Facebook, Twitter) zu regulieren, trifft auch alle mittelständischen Unternehmen. Ja, selbst kleine Webseiten von Bloggern.
Personenbezogene Daten sind Daten, die nicht vollständig anonym erhoben werden und damit einer bestimmten Person zugeordnet werden können. Das sind der Name, das Einkommen, Adressen, Geburtsdatum, E-Mail-Adressen, selbst Fotos und das Surf- und Klickverhalten von Menschen.
Dabei ist es egal, woher diese personenbezogenen Daten stammen – ob aus Online-Formularen, aus CRM-Maßnahmen, aus Datenaufkäufen oder aus dem internen HR-System – wenn sie von EU-Bürgern stammen, fallen sie unter die DSGVO. Die Pflichten für Unternehmen hören mit der Aktualisierung der Datenschutzerklärung auf der Webseite nicht auf. Ebenso sollten Firmen ihre Datenbanken auf den Prüfstand stellen.
Mit der DSGVO gilt die Umkehr der Beweislast. Das bedeutet, wenn nun eine Person eine Auskunft darüber will, ob und wieso Ihr Unternehmen Daten dieser Person verarbeitet, müssen Sie nachweisen können, dass sie entweder wirklich keine Daten einer Person verarbeiten oder dass die angeforderte Kopie dem Datenstand dem Zeitpunkt der Anfrage entspricht und vollständig ist. Dabei müssen alle Daten von internen IT-Systemen und von allen Auftragsverarbeitern berücksichtigt werden. Im Falle einer Beschwerde eines Betroffenen bei den Aufsichtsbehörden, müssen Sie nachweisen, wann welche Auskünfte erteilt wurden und welche Korrekturen oder Löschungen vorgenommen wurden.
Eine weitere wichtige Anforderung der DSGVO ist das Recht auf Vergessenwerden. Auf Verlangen des Kunden müssen Sie personenbezogene Daten unverzüglich löschen – sofern keine vertragliche oder gesetzliche Grundlage mehr besteht. Ferner müssen personenbezogene Daten gelöscht werden, für die der Verwendungszweck nicht mehr existiert. Etwa, wenn ein Vertrag abgelaufen oder ein Mitarbeiter aus dem Unternehmen ausgeschieden ist.
Personenbezogene Daten dürfen nur dann genutzt werden, wenn dafür eine Rechtsgrundlage vorliegt, zum Beispiel in Form einer persönlichen Einwilligung. Für die Nutzung von Daten minderjähriger Kinder (unter 16) muss übrigens von Anfang an auch eine Einwilligung der Eltern vorliegen.
Grundlegende Fehler vermeiden: Anfangs haben wir definiert, was personenbezogene Daten sind. Oftmals sind sich Unternehmen sicher, dass sie keine unberechtigt gespeicherten personenbezogene Daten haben. Problematisch ist, dass ebenso Datensatz-Fragmente und fehlerhafte Datensatz-Duplikate, in denen zum Beispiel der Name falsch, aber die E-Mail-Adresse richtig geschrieben ist, zum Gegenstand werden können. Die Herausforderung besteht also darin – gerade in nicht immer akkurat gepflegten Datenbanken– verteilte Personendaten inklusive aller Mehrfach- und Falsch-Einträge aufzuspüren und vollständig aufzulisten. Denn letztlich sind alle Daten betroffen, die es ermöglichen, eine Person durch Recherche zu identifizieren.
Eine geeignete Datenschutz-Software oder ein Datenqualitäts-Tool kann Unternehmen dabei unterstützen eine höhere Transparenz hinsichtlich ihrer Datenschutz-Compliance zu gewinnen.
Daten sind der Treibstoff der digitalen Transformation. Sie sind wertvoll und der Umgang mit ihnen ist durch die DSGVO reglementiert. Daten und die fassenden Datenbanken müssen entsprechend gepflegt werden. Erst dann können sie einem Unternehmen neue Potenziale eröffnen und werden nicht unabsichtlich zum Bußgeld-Problem. Die Analyse sowie die anschließende Sicherung sind notwendig und dafür prädestiniert, digital automatisiert zu werden. Ein Mittel sind Datenqualität-Tools. Diese Lösungen stellen die Datenqualität durch tägliche Analysen im Hintergrund sicher.
Selbst wenn verstanden wurde, dass Personen, deren Daten von Unternehmen verarbeitet wurden, ein Recht auf Löschung zusteht: Vielen Datenverarbeitenden ist noch nicht klar, wann, wie und unter welchen Umständen Daten systematisch gelöscht werden müssen. Um dieses Risiko – und damit hohe Bußgeldzahlungen – nicht unbewusst einzugehen, sollten Datenschutzbeauftragte nicht nur die Inhalte der DSGVO kennen, sondern auch in der Lage sein, ihren Kolleginnen und Kollegen jederzeit Hilfestellung geben zu können.
Eine bewährte Strategie ist, eine eigene Initiative für ein Löschkonzept zu starten. Diese implementiert eine Silo-übergreifende Löschroutine im Unternehmen, die auch von Nicht-Datenschutzverantwortlichen verstanden und angewandt werden kann. Hier erfahren Sie, wie ein solches Löschkonzept aussieht.