Datenbestandsaufnahme

Ausführliche Erklärung

Die Datenbestandsaufnahme ist der erste Schritt zu einem strukturierten Datenschutzmanagement. Sie verschafft einen vollständigen Überblick darüber, welche personenbezogenen Daten im Unternehmen wo, wie und zu welchem Zweck verarbeitet werden. Dabei werden sämtliche Prozesse durchleuchtet: von der Personalverwaltung über Kundendatenbanken bis zu digitalen Marketingmaßnahmen und IT-Systemen. Erfasst werden nicht nur die Daten selbst, sondern auch die verwendeten technischen und organisatorischen Maßnahmen, Auftragsverarbeiter, Löschfristen und Rechtsgrundlagen.

Für KMU stellt die Datenbestandsaufnahme eine wichtige Grundlage für die Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO dar. Sie hilft, Schwachstellen und Risiken im Umgang mit personenbezogenen Daten frühzeitig zu erkennen, bevor diese zu Datenschutzverstößen oder Sicherheitsvorfällen führen. Die Bestandsaufnahme zeigt auch, wo Dokumentation fehlt, Prozesse unklar sind oder veraltete Vereinbarungen noch in Kraft stehen. Das Ergebnis ist eine priorisierte Liste von Handlungsbedarfen, keine Bestandsstrafe.

Die gewonnenen Informationen fließen direkt in das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO ein, das jedes Unternehmen führen muss. Anders als bei einem regelmäßigen Datenschutzaudit wird die initiale Datenbestandsaufnahme in der Regel einmalig zu Beginn eines Datenschutzprojekts durchgeführt. Sie dient als Startpunkt für die systematische Dokumentation und sollte durch Workshops mit den zuständigen Fachabteilungen erfolgen, da nur die jeweiligen Prozessverantwortlichen den vollständigen Überblick über ihre Datenverarbeitungen haben. Eine reine IT-Perspektive reicht nicht aus, da Datenschutz organisatorische, rechtliche und technische Aspekte umfasst.