Über 24.000 Datensätze positiver Corona-Testergebnisse sind vorige Woche dem ORF und Standard zugespielt worden. Name, Adresse, Geburtsdatum, Testergebnis – gem. DSGVO „besondere Kategorien personenbezogener Daten“, allgemein als sensible Daten bezeichnet, verschickt in einer Excel-Datei vom ehemaligen GF der mit den Tests betrauten Firma. Ein Skandal, große Entrüstung bei den Betroffenen und auch die Datenschutzbehörde hat bereits die Ermittlungen aufgenommen.
Für die Betroffenen kommen Rechtfertigungen des Verantwortlichen, Ermittlungen der Behörde und ggf. ausgesprochene Strafen zu spät: Ihre Daten sind öffentlich gemacht worden, im Hinblick auf Long Covid mit unabsehbaren Folgen – bekommt man die neue Stelle, wird man vom Versicherer akzeptiert, ...? Aus genau diesem Grund ist die DSGVO bei dieser Kategorie von Daten ja so streng.
Hand aufs Herz: Datenschutz in der Realität
Es schockiert natürlich, dass die Datenbank nur eine simple Excel-Liste war, die einfach per Mail verschickt wurde. Aber jede*r kennt wohl einen Fall aus der eigenen Praxis, wo etwas Ähnliches passiert ist: Quartalszahlen, Gehaltslisten, Kundendaten, Patientenlisten etc. als Irrläufer per Mail, als Ausdruck für alle einsehbar, ungeshreddert im Papierkorb...
Die DSGVO mag ungeliebt sein, sie hat aber ihren Zweck und sollte deshalb konsequent umgesetzt werden. Der Ärger, den man sich dadurch erspart, wiegt den Aufwand um ein Vielfaches auf! Die Gewissheit jederzeit sagen zu können, welche Personen auf welche Daten wie Zugriff haben und diesen ggf. beenden zu können erspart nicht nur bei Geschäftsführerwechseln oder Mitarbeiterweggang schlaflose Nächte, sondern ist in einem datengetriebenen Geschäftsumfeld unabdingbar.
Dafür braucht es keine DSGVO...
Daten sind Assets und als deren Eigentümer möchte man natürlich wissen, wer wann was womit damit macht. Das gebieten Vorsicht und Sorgfaltspflicht. Die DSGVO gibt nur einen Rahmen vor, damit alle Verantwortlichen das gleiche Maß an Sorgfalt an den Tag legen. Und unterm Strich ist ein „Verzeichnis der Verarbeitungstätigkeiten“ oder „Verarbeitungsverzeichnis“ nur eine Inventur: Welche Daten verarbeite ich, wer hat Zugriff darauf, wo werden die Daten gespeichert und wann gelöscht? Im Grunde fast wie der Blick in den Kühlschrank vor dem Wocheneinkauf...
Wenn schon, dann richtig
Natürlich ist ein Verarbeitungsverzeichnis keine Einkaufsliste (weder formal noch im Umfang), die Erstellung muss dennoch nicht unnötig kompliziert sein. Das gilt auch für die laufende Anpassung, Erinnerungen an Termine, die Verteilung von Aufgaben und regelmäßige Kontrollen.
Wir haben uns zusammen mit Datenschutzexperten Gedanken darüber gemacht, wie die umfassenden Aufgaben und Funktionen in eine möglichst einfach zu bedienende Oberfläche eingebunden werden kann. Das Ergebnis ist PROVENTOR Data Protection, die Datenschutzlösung von A wie Artikel 30 DSGVO bis Z wie zentrale Datenbasis. Hier finden Sie weitere Informationen, Kundenstimmen und Ihre kostenlose Demo.