Ich habe 2000 Promoter in meiner Excel-Kartei? Ist das DSGVO-konform?
In vielen Agenturen ist das Speichern von Promoterdaten in einer Excel-Liste gang und gäbe. Zum einen ist es kostengünstig, weil das Programm auf den meisten Rechner installiert ist, zum andern können Daten beispielsweise von promotionbasis in solch eine Liste generiert werden. Doch ist eine Excel-Kartei für die Einhaltung der Datenschutzgrundverordnung weiterhin ausreichend?
Risiken manueller Datenverarbeitung
Betroffene, hier die Promoter, haben umfassende neue Rechte mit der neuen Datenschutzgrundverordnung bekommen (vgl. Art. 12-23 DSGVO). Bei personenbezogenen Daten ist es nach der DSGVO wichtig, zu überprüfen, ob Daten aktuell und richtig sind und ob eine Rechtsgrundlage für die Art der Datenverarbeitung besteht. Für eine Promoter-Kartei bedeutet dies beispielsweise, dass eine Einwilligung der Promoter vorliegen muss. Eine einmal erteilte Einwilligung kann jederzeit widerrufen werden. Darüber hinaus ist eine angemessene Zugriffs-Sicherheit auch für eine Excel-Liste zu gewährleisten, z. B. passwortgeschützter Ort, an dem die Liste abgelegt ist oder Datei-Kennwortschutz.
Eine Excel-Liste bringt somit erheblichen manuellen Pflegeaufwand mit sich. Es ist schwer nachzuweisen, wer zu welchem Zeitpunkt, welche Promoterdaten bearbeitet hat. Die veraltete Excel-Liste muss zur Dokumentation bestehen bleiben, eine neue muss zusätzlich gespeichert werden, um der Dokumentationspflicht nachzukommen. Darüber hinaus müssen nach Zweckerfüllung und Fristen bestimmte Daten wieder gelöscht werden. Wenn Promoter dann noch Auskunft über ihre Daten einfordern, wird es schwierig, dieser nachzukommen. Informations-, Auskunftspflichten gegenüber Promotern aber auch der Datenschutzbehörde und die jeweilige Dokumentation und Historie ist in diesem Umfang meist nur mit einer Software zu gewährleisten.
Vergleich Excel-Kartei und iPM_Promotion
Im Folgenden legen wir die Grundzüge der Datenschutzgrundverordnung (vgl. Art. 5 – EU-DSGVO) dar und zeigen eine Gegenüberstellung von iPM_Promotion und einer Excel-Kartei.
| Grundprinzipien DSGVO | iPM_Promotion | Excel-Kartei |
|---|---|---|
| Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz:
Recht auf Auskunft über alle gespeicherten personenbezogenen Daten. |
personenbezogene Daten zentral im Kontaktdatensatz über Suchfilter schnell zu finden | personenbezogene Daten meist über mehrere Dateien verteilt → mühsame Suche |
| Zweckbindung, Datenminimierung, Speicherbegrenzung:
Recht, dass personenbezogene Daten gelöscht werden, falls der Zweck entfällt. Soweit eine gesetzliche Pflicht zur Aufbewahrung dem nicht entgegensteht |
Löschfunktion, die den Anwender aktiv bei der Einhaltung von Aufbewahrungs- und Löschfristen unterstützt | zeitaufwendiger manueller Arbeitsprozess |
| Integrität und Vertraulichkeit:
Daten müssen sicher vor dem Zugriff durch unbefugte Personen sein (z. B. Außenstehende oder auch andere Mitarbeiter) |
hat Benutzerrechtesystem mit Zugriffbeschränkungen, verschlüsselte Kommunikation, automatische Dokumentation | keine Zugriffsberechtigungen, nicht benutzerfreundlich im Hinblick auf die Verschlüsselung, können schnell kopiert und verschickt werden ohne Dokumentation |
| Richtigkeit:
Maßnahmen treffen, damit personenbezogene Daten auf dem neusten Stand sind |
separates Promotersystem, in dem die Promoter ihre Daten immer aktualisieren und selbstständig verwalten können | manuelles Eintragen der Promoterdaten von der Agentur → keine Aktualität im Laufe der Zeit |
| Einwilligung:
Die Verarbeitung personenbezogener Daten ist ohne Einwilligung grundsätzlich verboten. Einwilligungen sollten dokumentiert werden. |
explizite Abfrage zur Einwilligung, personenbezogene Daten verarbeiten zu dürfen, nach Promoter-Registrierung | unübersichtlich bei der Dokumentation von Einwilligungen; Promoter müssten eventuell manuell angeschrieben werden, um eine Einwilligung zu erhalten |
Fazit
Selbstverständlich ist es möglich, eine Excel-Kartei mit 2000 Promotern zu führen. Allerdings müssen Agenturen diese Art der Datenverarbeitung stets in einem Verarbeitungsverzeichnis (mehr dazu im Artikel Datenschutz: Wie muss ein Verzeichnis von Verarbeitungstätigkeiten strukturiert sein und was muss es beinhalten?) aufführen. Dazu gehören Angaben zum Zweck der Bearbeitung, den Kategorien der Promoter sowie der personenbezogenen Daten und der vorgesehenen Speicherdauer. Zusätzlich muss eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung erfolgen.
Grundsätzlich ist dies alles also möglich. Doch in der Umsetzung wird es mit einer Liste mit so vielen Promotern schwierig. Allein die manuelle Datenpflege ist allgemein fehleranfällig. Die Promoter müssen zudem einwilligen, dass ihre Daten in einer Promoter-Kartei geführt werden dürfen. Es besteht kein Bestandsschutz für alte Daten. Um 100% konform zu sein, müsste die Einwilligung erneut eingeholt werden, falls diese nicht bereits vorliegen. Auch das Löschen von personenbezogenen Daten ist mit viel Aufwand verbunden. Bezüglich der Sicherheit stellt sich die Frage, ob überhaupt sichergestellt werden kann, dass keine unerlaubten Kopien einer Excel-Datei gemacht werden können.
Somit wird es also schwer, die Datenschutzgrundverordnung mit einer Excel-Promoter-Kartei einzuhalten. Allein die Dokumentation der Einwilligungen für die Verarbeitung personenbezogener Daten ist mit einer einfachen Excel-Datei schwierig und unübersichtlich. Eine Software, wie z. B. iPM_Promotion, arbeitet dagegen automatisch und führt z. B. selbstständig Automatisierungen oder Löschungen durch. Auch das Promoterportal hilft, den Anforderungen der DSGVO gerecht zu werden, in dem Promoter ihre Daten stets einsehen und auch verwalten können. Ebenfalls wird bei einer Promoter-Registrierung oder einem Promoter-Datensatz-Import direkt nach dem Login die Einwilligung zur Verarbeitung von personenbezogenen Daten explizit abgefragt.