Eini­ge Unter­neh­men hat­ten bei der Umset­zung einer Ver­ar­bei­tungs­tä­tig­keit (Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten gem. Art. 30 DSGVO) im Regel­fall kei­ne gro­ßen Pro­ble­ma­ti­ken. Für die­sen Bereich haben die Lan­des­äm­ter für Daten­schutz­auf­sicht unter­schied­li­che Mus­ter zur Ver­fü­gung gestellt (Bei­spiel Bay­ern). Auch bei der Umset­zung eines Lösch­kon­zep­tes gibt es unter­schied­li­che Hand­lungs­hil­fen (wie u.a. die Leit­li­nie Lösch­kon­zept), wel­che einem Unter­neh­men die Kon­zep­ti­on sehr erleich­tern. Jedoch gibt es bei all den Mus­tern und Hil­fe­stel­lun­gen aus unse­rer Sicht eine rie­si­ge Lücke. Denn kei­ne die­ser Mus­ter und Leit­li­ni­en geht auf den nach­weis­li­chen Daten­be­stand ein. Die­ses ist aus unse­rer Sicht eine gro­ße Pro­ble­ma­tik, die fol­gen­de Aus­wir­kung haben kann:

  • Schwe­re Umset­zung eines Lösch­kon­zep­tes (geziel­te Löschung der erho­be­nen Daten nach Zwe­cker­lö­schung),
  • Kei­ne dedi­zier­te Aus­sa­ge­mög­lich­keit, wer wel­che Daten im Unter­neh­men auf wel­chem Sys­tem ver­ar­bei­tet,
  • Gegen­maß­nah­men bei einem Dat­ab­re­ach kön­nen nicht ziel­ge­rich­tet durch­ge­führt wer­den, da das Sys­tem bzw. die Daten­sät­ze nicht bekannt sind,
  • Erhöh­ter Zeit­auf­wand bei einem Aus­kunfts­er­such
  • und vie­les mehr…

Das sind nur eini­ge der Risi­ken und Pro­ble­ma­ti­ken, wel­che Auf­tre­ten, wenn ein Unter­neh­men kei­ne Erfas­sung des Daten­be­stan­des durch­führt.

Was muss ein Unternehmen im ersten Schritt durchführen?

Als Ver­ant­wort­li­cher soll­ten Sie sich ihre Ver­ar­bei­tungs­tä­tig­kei­ten anschau­en und prü­fen auf wel­chen Sys­te­men, wel­che per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den. Am ein­fachs­ten geht die­ses in einer Excel­ta­bel­le. In die­ser soll­te man die jewei­li­ge Ver­ar­bei­tungs­tä­tig­keit, das Sys­tem, das Datum (Vor­na­me, Name, etc.), ggfs. den Zweck (die­ses unter­stützt zukünf­tig bei der Lösch­grup­pen­bil­dung), ggf. Kri­ti­ka­li­tät des Daten­sat­zes usw. auf­füh­ren.

Was sollte ein Unternehmen im zweiten Schritt durchführen?

Jetzt soll­te man die Erkennt­nis­se in alle unter­neh­mens­re­le­van­ten Doku­men­te über­füh­ren, z.B. in die Ver­ar­bei­tungs­tä­tig­keit als zusätz­li­cher Hin­weis, in die jewei­li­ge Lösch­grup­pe aus dem Lösch­kon­zept, Check­lis­te zur Bear­bei­tung eines Dat­ab­reaches, u.v.m.

Sehr ger­ne kön­nen wir Sie in die­sem Bereich auch bera­ten. Schrei­ben Sie uns hier­zu eine kur­ze Mail an: du-bist-datenschutz@blusystems.de.