Wer einmal versucht hat, für ein Auskunftsersuchen nach Art. 15 DSGVO alle Daten einer einzigen Person zusammenzutragen, kennt den Moment: Man sitzt vor einem Dutzend Datenbanken, drei CRM-Exporten und einem Ordner voller CSV-Dateien und stellt fest, dass niemand im Haus genau sagen kann, wo überall der Name “Müller” steht. Nicht ungefähr. Genau.
Das ist der blinde Fleck, der fast jeden Mittelständler trifft. Man weiß, dass man personenbezogene Daten verarbeitet. Man weiß nur nicht, wo genau. Und genau das ist die erste Frage, die ein Prüfer stellt.
Dieser Artikel zeigt, warum das Auffinden personenbezogener Daten in Datenbanken so schwer ist, welche Fehler dabei regelmäßig passieren und wie ein systematischer Scan aussieht, der mehr findet als die offensichtliche Spalte “E-Mail”.
BILD-PLATZHALTER: Eine Datenbanktabelle in der Draufsicht, bei der einzelne Spalten wie “kommentar”, “notiz” und “rechnungsadresse” rot umrandet sind, weil sie versteckte personenbezogene Daten enthalten.
Warum “wir wissen doch, wo unsere Daten liegen” fast immer falsch ist
Die meisten Unternehmen haben ein Bild ihrer Datenlandschaft im Kopf. Dieses Bild ist sauber, strukturiert und veraltet. Die Realität sieht anders aus.
1. Personenbezogene Daten verstecken sich in Freitextfeldern. Der Klassiker ist nicht die Spalte “Nachname”, sondern das Feld “Bemerkung”. Dort steht dann “Rückruf unter 0172 3456789 erbeten” oder “cc an herr.schmidt@kunde.de”. Eine Telefonnummer. Eine E-Mail-Adresse. Beides personenbezogen nach Art. 4 Nr. 1 DSGVO, beides in keinem Verarbeitungsverzeichnis erfasst, weil niemand ein Freitextfeld als PII-Quelle auf dem Schirm hat. Genau in diesen Feldern sammelt sich über Jahre der gefährlichste Datenbestand an.
2. Historisch gewachsene Systeme kennen keine Konvention. In einem sauber modellierten System heißt die Spalte mit der Ausweisnummer vielleicht “ausweis_nr”. In der Praxis heißt sie “feld_7”, “id2” oder “sonstiges”. Wer personenbezogene Daten nur über den Spaltennamen sucht, findet die Hälfte nicht.
3. Kopien vermehren sich unbemerkt. Aus der Produktivdatenbank wird ein Export für die Analyse gezogen. Aus dem Export wird eine Excel-Datei für den Vertrieb. Aus der Excel-Datei wird ein Anhang in einer E-Mail. Jede dieser Kopien enthält dieselben personenbezogenen Daten, und keine davon steht in Ihrem Löschkonzept. Schatten-IT ist kein Sicherheitsproblem allein, sie ist ein Datenschutzproblem.
Sehen Sie das Muster? Das Problem ist selten die eine bekannte Datenbank. Das Problem sind die Ränder.
Der Unterschied zwischen “personenbezogen” und “offensichtlich personenbezogen”
Bevor man sucht, muss man wissen, wonach. Und hier machen viele den ersten Fehler: Sie suchen nach Namen und E-Mail-Adressen und hören dann auf.
Personenbezogen ist nach Art. 4 Nr. 1 DSGVO jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. Das ist ein sehr weiter Begriff. Dazu gehören:
- Direkte Identifikatoren: Name, E-Mail, Telefonnummer, Anschrift, Personalausweis- und Passnummer, Steuer-ID, IBAN.
- Indirekte Identifikatoren: Kundennummer, IP-Adresse, Geräte-ID, Cookie-Kennung (Erwägungsgrund 30 nennt Online-Kennungen ausdrücklich).
- Besondere Kategorien nach Art. 9 DSGVO: Gesundheitsdaten, Gewerkschaftszugehörigkeit, Religion, biometrische Daten. Diese unterliegen einem grundsätzlichen Verarbeitungsverbot mit engen Ausnahmen und gehören mit besonderer Sorgfalt dokumentiert.
Wer nur nach dem sucht, was offensichtlich ein Name ist, übersieht genau die Datenarten, die bei einer Prüfung am teuersten werden. Eine vergessene Spalte mit Gesundheitsdaten wiegt schwerer als hundert Kundennamen.
BILD-PLATZHALTER: Übersichtsgrafik, die drei Ebenen personenbezogener Daten zeigt – direkte Identifikatoren, indirekte Identifikatoren und besondere Kategorien nach Art. 9 DSGVO – jeweils mit Beispielen.
Wie ein systematischer PII-Scan wirklich vorgeht
Ein belastbarer Scan verlässt sich nicht auf eine einzige Methode. Er kombiniert drei Ebenen, und erst die Kombination macht ihn zuverlässig.
1. Struktur und Spaltennamen. Die erste Ebene liest die Metadaten: Tabellen, Spalten, Datentypen. Ein Feld namens “geburtsdatum” vom Typ Datum ist ein starker Hinweis. Das ist schnell, deckt aber nur die gut benannten Fälle ab, und es produziert Fehlalarme, wenn eine Spalte “werk” heißt und Werte wie “DE01” enthält, die zufällig wie eine Umsatzsteuer-ID aussehen.
2. Muster im Inhalt. Die zweite Ebene schaut in die tatsächlichen Werte. Eine deutsche IBAN hat eine feste Struktur (DE plus 20 Ziffern). Eine Telefonnummer, eine E-Mail-Adresse, eine Kreditkartennummer – alle haben erkennbare Muster. So findet der Scan auch die Telefonnummer im Freitextfeld “Bemerkung”, die über den Spaltennamen niemals aufgefallen wäre. Das ist der Schritt, der die versteckten Daten an den Rändern sichtbar macht.
3. Kontextprüfung. Die dritte Ebene gleicht Struktur und Inhalt ab. Eine elfstellige Zahl allein ist noch keine Steuer-Identifikationsnummer – sie kann auch eine Auftragsnummer sein. Erst wenn Spaltenname und Werteverteilung zusammenpassen, wird daraus eine belastbare Klassifikation. Diese Gegenprobe verhindert genau die Fehlalarme, die einen automatischen Scan sonst unbrauchbar machen.
Wichtig ist der Umgang mit falsch-positiven und falsch-negativen Treffern. Ein Scanner, der zu viel meldet, wird ignoriert. Ein Scanner, der zu wenig meldet, ist gefährlich. Deshalb sollte jeder automatische Treffer als Vorschlag gelten, den ein Mensch bestätigt oder verwirft – nicht als endgültiges Urteil.
Und noch ein Punkt, den viele unterschätzen: Ein Scan ist keine einmalige Aktion. Datenbestände verändern sich täglich. Neue Spalten kommen dazu, ein Import bringt ein unerwartetes Feld mit, ein Freitextfeld füllt sich über Monate mit Telefonnummern. Wer heute einmal sucht und das Ergebnis in eine Excel-Datei schreibt, hat in drei Monaten wieder ein veraltetes Bild. Das Auffinden personenbezogener Daten muss ein wiederkehrender Prozess sein, kein Projekt mit Enddatum. Ein Scan, der sich wiederholen lässt und Veränderungen sichtbar macht, ist deshalb mehr wert als der gründlichste Einmal-Durchlauf.
Genau an dieser Stelle setzt datamastr an: Die Plattform profiliert angeschlossene Datenbanken und Dateien mehrstufig, erkennt personenbezogene Felder über Struktur und Inhalt und markiert auch die Treffer in Freitextspalten, die klassische Ansätze übersehen. Jeder Vorschlag bleibt überprüfbar, bevor er im Verzeichnis landet.
Vom Fund zum Nachweis: Warum das Finden erst der Anfang ist
Personenbezogene Daten zu finden ist kein Selbstzweck. Es ist die Voraussetzung für drei Pflichten, die sonst nicht erfüllbar sind.
Das Verarbeitungsverzeichnis nach Art. 30 DSGVO. Man kann nur dokumentieren, was man kennt. Der oft zitierte Ausnahmetatbestand in Art. 30 Abs. 5 gilt nur unter engen Bedingungen – unter anderem bei weniger als 250 Beschäftigten und nur, wenn die Verarbeitung nicht regelmäßig erfolgt, kein Risiko birgt und keine besonderen Kategorien nach Art. 9 betrifft. In der Praxis verarbeitet fast jedes Unternehmen Kundendaten regelmäßig. Für die meisten Mittelständler gilt die Verzeichnispflicht damit uneingeschränkt.
Betroffenenrechte. Kommt ein Auskunftsersuchen nach Art. 15 oder ein Löschverlangen nach Art. 17, läuft die Frist. Nach Art. 12 Abs. 3 DSGVO muss die Auskunft grundsätzlich innerhalb eines Monats erfolgen. Wer erst dann anfängt zu suchen, wo überall Daten der Person liegen, hat die Frist praktisch schon verloren.
Löschung und Speicherbegrenzung. Art. 5 Abs. 1 lit. e verlangt, personenbezogene Daten nur so lange zu speichern, wie es erforderlich ist. Das kollidiert mit gesetzlichen Aufbewahrungspflichten wie §§ 147 AO und 257 HGB. Beides lässt sich nur auflösen, wenn man weiß, welche Daten wo liegen und welcher Frist sie unterliegen.
Verstöße gegen die Dokumentationspflicht aus Art. 30 fallen in den Bußgeldrahmen des Art. 83 Abs. 4 DSGVO – bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Das ist der günstigere der beiden Rahmen. Er ist trotzdem hoch genug, um jede manuelle Excel-Bastelei teurer zu machen, als es ein sauberer Scan je wäre.
Der ehrliche erste Schritt
Der Fehler ist nicht, keine perfekte Übersicht zu haben. Den hat kaum jemand. Der Fehler ist, das erste Mal beim Prüfer oder beim Auskunftsersuchen zu merken, dass die Übersicht fehlt.
Fangen Sie klein an. Nehmen Sie eine einzige Datenbank oder Datei und lassen Sie sie vollständig durchsuchen – nicht nur die Spalten, die Sie erwarten, sondern jeden Inhalt. Sie werden Felder finden, die Sie vergessen hatten. Das ist der Sinn der Übung.
Wenn Sie das ohne Aufwand ausprobieren wollen: Bei datamastr können Sie mit einem kostenlosen Demo-Datensatz starten und in wenigen Minuten sehen, wie ein PII-Scan personenbezogene Felder markiert – inklusive der versteckten in Freitextspalten. Kein Setup, keine echten Daten nötig. Unter app.datamastr.com finden Sie den Einstieg.
Wer weiß, wo seine personenbezogenen Daten liegen, hat die halbe DSGVO schon erledigt. Der Rest ist Dokumentation.