Ein Jahr nach der Einführung der DSGVO – personenbezogene Daten dank Data Usage Board im Griff

Ein Jahr nach der Einführung der DSGVO – personenbezogene Daten dank Data Usage Board im Griff - Viacryp

Inzwischen ist seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) schon fast ein Jahr vergangen. Wo stehen wir, was sind die wichtigsten Lektionen für Unternehmen bzw. Organisationen, die personenbezogene Daten verarbeiten und welche intelligenten Lösungen sind inzwischen vorhanden?


Im vergangenen Jahrzehnt haben wir massenweise personenbezogene Daten zu den unterschiedlichsten Zwecken erhoben, gespeichert, verarbeitet und übermittelt. Aufgrund dieser erheblich angestiegenen Datenverwendung haben sich die Daten innerhalb von Unternehmen wie ein Ölfleck ausgebreitet. Infolgedessen ist es häufig nicht ausreichend klar, welche personenbezogenen Daten an welchen Stellen gespeichert sind. Das erfordert eine stärkere Ausprägung des Datenschutzbewusstseins.

Viele Firmen haben sich im vergangenen Jahr dafür engagiert, allen Anforderungen gerecht zu werden, die die DSGVO an Unternehmen stellt, die personenbezogene Daten verarbeiten. Die Wahrung der Rechte von Betroffenen (wie das Recht auf Einsichtnahme und das Recht auf Vergessenwerden) sind bekannte Beispiele dafür. Eine Voraussetzung für die Erfüllung dieser Anforderungen ist genau zu wissen, welche personenbezogenen Daten verarbeitet werden, weshalb das geschieht und wie und wo sie gespeichert werden. Die Datenverwendung im Griff zu haben, ist für die meisten Unternehmen und Organisationen immer noch die größte Herausforderung.

Einblick in künftige und heutige Verarbeitungen

Die Datenverwendung im Griff zu haben, bedeutet, dass ein Unternehmen einen genauen Einblick in seine Verarbeitungen personenbezogener Daten hat und sie in einem Verarbeitungsverzeichnis erfasst. In der Praxis bedeutet das, dass das Unternehmen von allen bestehenden Verarbeitungen personenbezogener Daten festhalten muss, welche Daten zu welchem Zweck verarbeitet werden und auf welche Grundlage sich die Verarbeitung stützt. Außerdem müssen Maßnahmen zum Schutz, zur Speicherung und zur Löschung der Daten innerhalb der vereinbarten Speicherfrist ergriffen worden sein.

Korrekte Nutzung personenbezogener Daten durch Data Usage Board

Zur Erfassung der Verarbeitung ist zuerst zu überprüfen, ob sie die Anforderungen des Datenschutzgesetzes erfüllt und festzustellen, im Sinne welcher Grundlage die Verarbeitung gerechtfertigt ist. Angesichts der Vielzahl möglicher Verarbeitungen und der zunehmenden Zahl neuer Verarbeitungen nehmen immer mehr Unternehmen die Unterstützung von Datenspezialisten für den Aufbau eines Data Usage Boards (DUB) in Anspruch.

Ein gut eingerichtetes Data Usage Board beurteilt Verarbeitungen von unterschiedlichen Perspektiven (Datenschutz und -sicherheit, Datenmanagement und Mitbestimmung) aus, überprüft, ob sie den geltenden Gesetzen entsprechen und bestimmt unter welchen Bedingungen die Verarbeitung zulässig ist. Bestehende Verarbeitungen können auf diese Weise mit rückwirkender Kraft beurteilt werden. Bei Bedarf können Maßnahmen zur Anpassung oder im äußersten Fall zur Einstellung der Verarbeitungen festgelegt werden. Im Hinblick auf neue Verarbeitungen gibt es einen effizient eingerichteten Prozess, in dessen Rahmen der Geschäfts- und/oder Datenanalyst die beabsichtigte Verarbeitung hinsichtlich der unterschiedlichen Disziplinen überprüfen kann. Damit ist sofort klar, was mit den betreffenden personenbezogenen Daten möglich ist.

Die Erfahrung lehrt, dass das Einrichten eines Data Usage Boards im Hinblick auf die größten Herausforderungen von Unternehmen, die die DSGVO aufwirft, wertvolle Hilfe leisten kann: die Förderung des Datenschutzbewusstseins und die Datenverwendung innerhalb einer Firma bzw. Organisation in den Griff bekommen wie auch im Griff behalten.


Lesen Sie auch:


Patrick van den Bos

Unsere Firma - Patrick van den Bos | Viacryp

Patrick ist CIPP/E zertifiziert und engagiert sich seit 2016 als Datenschutzberater. In diesem Rahmen unterstützt er Firmen und Organisationen dabei, auf verantwortungsvolle Weise mit personenbezogenen Daten umzugehen und die Anforderungen der Datenschutzgrundverordnung (DSGVO) zu erfüllen. Außerdem berät er die Verantwortlichen im Hinblick auf die Ergreifung technischer und organisatorischer Maßnahmen und den Einsatz von Technologien zum Schutz der Privatsphäre (Privacy Enhancing Technologies, PET).