von Timo Fahrenkrug
Diese oder eine ähnliche Fragestellung kann von Jedem an ein Unternehmen gestellt werden. Spätestens mit Inkrafttreten der EU Datenschutz-Grundverordnung (EU-DSGVO) oder der General Data Protection Regulation (GDPR) am 25. Mai 2018 ist die Beantwortung der Frage auch gesetzlich geregelt. Die rechtliche Grundlage gilt für alle Unternehmen mit Sitz oder Datenverarbeitung beziehungsweise -speicherung in der EU (Art. 15 DSGVO; Punkt 1).
Innerhalb eines Unternehmens werden in verschiedenen Abteilungen „personenbezogene Daten“ ermittelt, verarbeitet und/oder gespeichert. Dies sind zum Beispiel Daten zu Lebensläufen in der HR, Marktanalysen im Marketing, Anmeldedaten in der Produktion oder Krankheitsverlaufsdaten im Bereich F&E.
Ein Teil der vorhandenen personenbezogenen Daten gehört zu den geschäftsbedingten personenbezogen Daten, wie beispielsweise E-Mail-Adresse oder Benutzername, ohne die ein heutiges IT-gestütztes Unternehmen nicht arbeitsfähig ist. Ein anderer Teil stellt grob eine Gruppe von Daten dar, die sich an der Wertschöpfungskette eines Unternehmens orientiert. Diese können je nach Ausrichtung des Unternehmens als sensible oder sogar sehr sensible personenbezogene Daten beschrieben werden. Die eingangs gestellte Frage ist schon durch die Vielzahl von unterschiedlichen und teilweise nicht vernetzten IT-Systemen mit ihren unterschiedlichen spezifischen Aufgabenstellungen innerhalb eines Unternehmens nicht leicht zu beantworten. Hinzu kommen erschwerend nicht IT gestützte Daten, wie Papierakten in Archiven mit beispielsweise vorhandenen Lichtbildern.
Um die Fragestellung als Unternehmen glaubhaft beantworten zu können, sind Wissen über die eigenen Daten, entsprechende Prozesse, unterstützende Werkzeuge und das Bewusstsein der verantwortlichen Personen über den richtigen Umgang mit personenbezogenen Daten von essentieller Natur.
Eine Herangehensweise zur Realisierung der Verordnung kann phasenorientiert sein. So werden in einem ersten Schritt sehr grobe Erfolgsziele anhand der Vorgaben der Verordnung definiert und diese in einer sinnvollen Reihenfolge entsprechenden Phasen zugeordnet. Diese Phasen werden dann nacheinander bearbeiten, wobei Erkenntnisse und Erfahrungen aus einer bearbeiteten Phase in die nächsten noch offenen Phasen einfließen sollten. Der Aufbau und Inhalt der ersten Phase könnte wie in Abbildung 1 dargestellt definiert werden, ist im konkreten Fall aber immer im Kontext mit den jeweiligen Unternehmensbedürfnissen in Einklang zu bringen ist. Zur fokussierten und nachvollziehbaren Entscheidungsfindung empfiehlt es sich von Anfang an das Risikomanagement als zentrales Werkzeug vorzusehen. Am Schluss sei noch ein kleiner Gedankenanreiz erwähnt. Auch das Löschen bzw. Entfernen von personenbezogenen Daten ist von der Verordnung geregelt (Art. 17 DSGVO).
Gerne beraten wir Sie bei Ihren Anliegen. Die J & K Consulting GmbH ist spezialisiert auf die Bereiche cGxP Compliance Service, Qualifizierung/Validierung, Quality by Design, PAT-Consulting, Computersystemvalidierung sowie Projektmanagement in der regulierten Industrie.
Gerne stehen wir Ihnen zur Verfügung. Sie erreichen uns mittels unserer Kontaktseite.
