Erfassung von Datenbestände
Einige Unternehmen hatten bei der Umsetzung einer Verarbeitungstätigkeit (Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO) im Regelfall keine großen Problematiken. Für diesen Bereich haben die Landesämter für Datenschutzaufsicht unterschiedliche Muster zur Verfügung gestellt (Beispiel Bayern). Auch bei der Umsetzung eines Löschkonzeptes gibt es unterschiedliche Handlungshilfen (wie u.a. die Leitlinie Löschkonzept), welche einem Unternehmen die Konzeption sehr erleichtern. Jedoch gibt es bei all den Mustern und Hilfestellungen aus unserer Sicht eine riesige Lücke. Denn keine dieser Muster und Leitlinien geht auf den nachweislichen Datenbestand ein. Dieses ist aus unserer Sicht eine große Problematik, die folgende Auswirkung haben kann:
- Schwere Umsetzung eines Löschkonzeptes (gezielte Löschung der erhobenen Daten nach Zweckerlöschung),
- Keine dedizierte Aussagemöglichkeit, wer welche Daten im Unternehmen auf welchem System verarbeitet,
- Gegenmaßnahmen bei einem Databreach können nicht zielgerichtet durchgeführt werden, da das System bzw. die Datensätze nicht bekannt sind,
- Erhöhter Zeitaufwand bei einem Auskunftsersuch
- und vieles mehr…
Das sind nur einige der Risiken und Problematiken, welche Auftreten, wenn ein Unternehmen keine Erfassung des Datenbestandes durchführt.
Was muss ein Unternehmen im ersten Schritt durchführen?
Als Verantwortlicher sollten Sie sich ihre Verarbeitungstätigkeiten anschauen und prüfen auf welchen Systemen, welche personenbezogenen Daten verarbeitet werden. Am einfachsten geht dieses in einer Exceltabelle. In dieser sollte man die jeweilige Verarbeitungstätigkeit, das System, das Datum (Vorname, Name, etc.), ggfs. den Zweck (dieses unterstützt zukünftig bei der Löschgruppenbildung), ggf. Kritikalität des Datensatzes usw. aufführen.
Was sollte ein Unternehmen im zweiten Schritt durchführen?
Jetzt sollte man die Erkenntnisse in alle unternehmensrelevanten Dokumente überführen, z.B. in die Verarbeitungstätigkeit als zusätzlicher Hinweis, in die jeweilige Löschgruppe aus dem Löschkonzept, Checkliste zur Bearbeitung eines Databreaches, u.v.m.
Sehr gerne können wir Sie in diesem Bereich auch beraten. Schreiben Sie uns hierzu eine kurze Mail an: du-bist-datenschutz@blusystems.de.