Hält Excel der DSGVO stand?

EU-Datenschutz-Grundverordnung: Hält die Kundenliste auf Excel den Anforderungen stand?

Angesichts der fortschreitenden Digitalisierung war eine Anpassung der Datenschutzrechte notwendig, welche nun nach einer zweijährigen Übergangszeit am 25. Mai 2018 mit der neuen EU-Datenschutz-Grundverordnung (DSGVO) in Kraft tritt. Die künftigen Vorgaben stellen unter anderem hohe Anforderungen an die IT-Systeme, die bisher in Unternehmen genutzt werden. Welche Änderungen hierzu beachtet werden müssen und ob das gute alte Excel den Anforderungen Stand hält, erläutert der folgende Ratgeber.

In der DSGVO wurden neben der Erweiterung der Betroffenenrechte vor allem die Dokumentationspflichten für Unternehmen verschärft. So müssen sie zum Beispiel jederzeit nachweisen können, dass die Vorgaben nach den neuen Datenschutzrichtlinien eingehalten werden, ansonsten drohen ihnen hohe Bussgelder. Des Weiteren gilt es, künftig jegliche automatisierte Verarbeitungsvorgänge in einem sogenannten Verarbeitungsverzeichnis festzuhalten.

Ist die Excel-Liste noch datenschutzkonform?

In vielen Unternehmen war das Speichern von Kundendaten in einer Liste des Excel-Programms bisher ausreichend. Zum einen konnten beispielsweise personenbezogene Informationen aus einer Datenbank in solch eine Liste generiert werden, um bestimmte Angaben genauer analysieren zu können. Zum anderen eignet sich Excel für eine übersichtliche Kundenaufstellung. Doch ist dieses Programm für die Einhaltung der DSGVO weiterhin ausreichend?

Grundsätzlich ist es möglich, Excel für oben genannte Beispiele zu verwenden. Allerdings muss auch diese Art der Datenverarbeitung stets im Verarbeitungsverzeichnis aufzuführen. Dazu gehören Angaben zu dem Zweck der Bearbeitung, den Kategorien der betroffenen Personen sowie der personenbezogenen Daten, den Kategorien von Empfängern und der vorgesehenen Speicherdauer. Zusätzlich muss eine allgemeine Beschreibung der technischen und organisatorischen Massnahmen zur Sicherheit der Datenverarbeitung erfolgen. Die Beschreibung im Verarbeitungsverzeichnis ist das eine, die korrekte Umsetzung das andere. So ist zum Beispiel, das Löschen nach Ablauf der Speicherdauer mit Aufwand verbunden und bezüglich Sicherheit stellt sich die Frage, wie sichergestellt werden kann, dass keine unerlaubten Kopien der Excel-Datei gezogen werden.

Risiken und manueller Pflegeaufwand

Bei einer Kundenliste kommt es ausserdem darauf an, ob die Aktualität und Richtigkeit der Daten in kurzer Zeit überprüfbar ist, sowie ob eine Rechtsgrundlage für diese Art der Datenverarbeitung besteht. Für das Verschicken eines Newsletters bedeutet dies beispielsweise, dass einerseits eine Einwilligung des Empfängers vorliegen und andererseits ein berechtigtes Interesse des Verantwortlichen bestehen muss. Eine einmal erteilte Einwilligung gilt nicht für ewig und kann jederzeit widerrufen werden. Eine Excel-Liste bringt somit auch erheblichen manuellen Pflegeaufwand mit sich. Darüber hinaus ist eine angemessene Zugriffs-Sicherheit auch für eine Excel-Liste zu gewährleisten. Das kann etwa ein passwortgeschützter Ort, an dem die Liste abgelegt ist, sein. Wenn mehrere Personen Zugriff auf diesen Ort haben, sollte die Liste selbst zusätzlich mit einem Kennwort versehen werden. Der Nachweis, wer zu welchem Zeitpunkt, welche Kundendaten bearbeitet hat, wird sehr schwierig. Bei besonders schützenswerten Personendaten ist nicht nur die Bearbeitung sondern schon die blosse Anzeige zu dokumentieren. Häufig werden die Kundendaten zwar in einem CRM oder ERP verwaltet, für das Aufbereiten von Mailings werden dann aber Kundenlisten in Excel exportiert. In Zukunft ist genau zu prüfen, wer in den Besitz dieser Listen kommt und dass diese nach Gebrauch gelöscht werden.

Was ist bei externen Dienstleistern zu beachten?

Nicht selten werden Kundenlisten auf Excel an externe Dienstleister weitergegeben, zum Beispiel für den Versand von Einladungen für einen Event oder für eine Outbound-Telefonkampagne. Auch hier ist sicherzustellen, diese Daten sicher und geschützt aufzubewahren und nur für den vorgesehenen Zweck zu verwenden.

Bei der externen Verarbeitung von personenbezogenen Kundendaten, muss das verantwortliche Unternehmen stets über die Art der Speicherung und weitere Vorgänge informiert sein. Aufgrund dessen ist vom Dienstleister bei jeder vorzunehmenden Veränderung eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) abzuschließen.

Der Trick mit der Aktualisierung

Zum Problem wird das Excel-Programm dann, wenn es darum geht, selbstständige Aktualisierungen von Dokumenten durchzuführen. Um die Einhaltung der Vorgaben nach der DSGVO zu jeder Zeit gewährleisten zu können, ist es wichtig, dass alle Bereiche in einem Unternehmen zusammenarbeiten, auch bezüglich der Dokumentationsverfahren. Denn jeder Verarbeitungsprozess muss festgehalten werden und jegliche Angaben stets aktuell sein. Eine gemeinsame Dokumentation von Verfahren in einem System ist daher sinnvoll. Ist das Dokumentationssystem entsprechend konfiguriert, etwa mit Hilfe eines Change-Management-Prozesses, kann es mitunter selbstständig Hinweise auf notwendige Änderungen geben beziehungsweise diese aktualisieren.

Verfasst von: Laura Gosemann

Weitere Informationen zu den Neuerungen, welche die DSGVO mit sich bringt, sowie ähnlichen Themen können Sie auf der kostenlosen Ratgeberseite www.datenschutz.org/dsgvo nachlesen.

 

Weitere Informationen zu den Anforderungen der DSGVO an IT-Systeme

Alle Datenschutzaktivitäten zentral verwaltet mit dem Datenschutz-Management-System

 

Photo by Sergey Zolkin on Unsplash