„Der Hr. H., der hat das damals gemacht. Der ist 2022 in Rente gegangen. Seitdem fasst da keiner mehr was an, läuft ja.“
Das war wörtlich der Satz eines kaufmännischen Leiters in Ostholstein, mittelständischer Anlagenbauer, knapp 90 Mitarbeiter. Die Access-Anwendung, um die es ging, verarbeitet Kundenstammdaten, Auftragsdaten, Kontaktverläufe und in einem Modul auch Bewerberdaten. Niemand im Haus weiß mehr, welche Tabellen es genau gibt, was die Formulare im Hintergrund tun und welche Daten in welchen Excel-Exports landen. Die Datenbank läuft. Und genau das ist das Problem.
Die Kernfrage: Was steht eigentlich in Ihrem Verfahrensverzeichnis?
Wer eine Access-Anwendung im produktiven Einsatz hat, die personenbezogene Daten verarbeitet, ist nach Art. 30 DSGVO verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Darin steht, was verarbeitet wird, wozu, wie lange, mit welchen technischen und organisatorischen Maßnahmen. Das gilt für jedes Unternehmen ab einem Mitarbeiter, sobald die Verarbeitung nicht „nur gelegentlich“ ist. Bei einer produktiv genutzten Datenbank ist sie nie gelegentlich.
Wenn der Entwickler vor drei Jahren in Rente gegangen ist und seitdem niemand mehr ins System geschaut hat, dann ist das Verfahrensverzeichnis spätestens jetzt nicht mehr aktuell. Wahrscheinlich war es das nie.
Aus meiner Praxis im norddeutschen Mittelstand zeigt sich: In etwa vier von fünf Fällen, in denen ich eine alte Access-Anwendung übernehme, weicht das, was tatsächlich in der Datenbank passiert, von dem ab, was im Verfahrensverzeichnis steht. Manchmal um Kleinigkeiten. Oft um ganze Module.
Drei Jahre ohne Wartung sind drei Jahre ohne dokumentierte Änderung
Eine Access-Anwendung ist selten ein statisches System. Auch wenn niemand offiziell daran arbeitet, passieren Dinge:
- Verknüpfte Excel-Dateien wandern in andere Ordner, Pfade werden manuell angepasst.
- Eine neue Mitarbeiterin baut sich „nur eben schnell“ einen zusätzlichen Bericht und legt dafür Daten in einer neuen Tabelle ab.
- Die Datenbank wird auf einen neuen Fileserver kopiert, ohne dass jemand prüft, wer dort Zugriff hat.
- Eine Kollegin erstellt regelmäßig einen Export für den externen Steuerberater, der per E-Mail rausgeht. Steht das im Verzeichnis? Nein.
- Backups laufen nicht mehr, oder doch, aber niemand weiß, wohin.
Jede dieser stillen Veränderungen ist datenschutzrechtlich relevant. Jede einzelne hätte ins Verfahrensverzeichnis und in die TOM-Dokumentation gehört. Hat sie aber nicht, weil der Verantwortliche, der das System verstanden hat, nicht mehr im Haus ist.
Eine Access-Datenbank ohne Dokumentation ist kein Risiko. Sie ist bereits ein Datenschutzverstoß im Betrieb.
Warum das im Aufsichtsfall besonders schlecht aussieht
Stellt eine Aufsichtsbehörde Fragen, etwa nach einem Beschäftigtendatenschutz-Vorfall oder einer Betroffenenbeschwerde, dann ist die erste Frage immer dieselbe: „Bitte legen Sie uns Ihr Verzeichnis von Verarbeitungstätigkeiten zur betroffenen Verarbeitung vor und beschreiben Sie die technischen und organisatorischen Maßnahmen.“
Wer dann ein Verzeichnis vorlegt, das die tatsächliche Verarbeitung nicht abbildet, hat zwei Probleme statt einem. Das ursprüngliche, das den Vorfall ausgelöst hat. Und ein zweites, weil die Dokumentationspflicht nach Art. 30 nachweisbar verletzt ist. Bußgelder werden nach Art. 83 DSGVO unter anderem nach Vorsatz, Fahrlässigkeit und Kooperationsbereitschaft bemessen. „Wir wussten gar nicht, was die Datenbank tut“ ist keine Position, aus der man verhandelt.
Hinzu kommt: Auch das Recht auf Auskunft (Art. 15) und das Recht auf Löschung (Art. 17) lässt sich für eine Datenbank, deren Struktur niemand mehr kennt, nicht zuverlässig erfüllen. Wenn ein ehemaliger Kunde fragt, welche Daten Sie über ihn gespeichert haben, und Sie nicht wissen, welche Tabellen und Module die Access-Anwendung enthält, dann können Sie diese Frage nicht beantworten. Auch das ist ein eigenständiger Verstoß.
Warum der „läuft ja“-Reflex teurer wird, als er aussieht
Solange nichts passiert, wirkt eine alte Access-Anwendung wie eine kostenlose Selbstverständlichkeit. Sie steht auf dem Server, sie wird benutzt, sie verursacht keine Rechnung. Aus betriebswirtschaftlicher Sicht ist sie unsichtbar.
Definition: Technische und organisatorische Maßnahmen (TOM) TOMs sind die nach Art. 32 DSGVO geforderten Maßnahmen zum Schutz personenbezogener Daten, etwa Zugriffskontrolle, Verschlüsselung, Protokollierung und Wiederherstellbarkeit.
Genau diese TOMs sind bei einer ungewarteten Access-Anwendung typischerweise das schwächste Glied. Zugriffskontrolle? Meistens über ein gemeinsam bekanntes Passwort oder gar nicht, weil jeder, der Zugriff auf das Netzlaufwerk hat, die Datei öffnen kann. Protokollierung? Selten. Verschlüsselung der Datei? Nie. Backup-Konzept mit Wiederherstellungstest? In den seltensten Fällen.
Das wird erst dann sichtbar, wenn etwas schiefgeht: ein Mitarbeiter geht im Streit, ein Laptop wird gestohlen, ein Ransomware-Befall erwischt den Fileserver, jemand beschwert sich beim Datenschutzbeauftragten. Dann ist die Anwendung nicht mehr unsichtbar. Dann ist sie Hauptdarstellerin.
Was konkret zu tun ist, bevor irgendwer an Migration denkt
Bevor man über Modernisierung, Web-Migration oder Ablösung redet, müssen drei Dinge geklärt sein. In dieser Reihenfolge.
1. Bestandsaufnahme der Anwendung selbst. Welche Tabellen existieren, welche Beziehungen, welche Formulare, welche Berichte, welche VBA-Module, welche externen Verknüpfungen (verknüpfte Excel-Dateien, ODBC-Quellen, Outlook-Zugriffe). Das lässt sich auch ohne den ursprünglichen Entwickler herausfinden, weil Access seine eigene Struktur preisgibt, wenn man die richtigen Werkzeuge benutzt.
2. Abgleich mit dem Verfahrensverzeichnis. Was tut die Anwendung tatsächlich, und was steht im Verzeichnis? Jede Abweichung wird notiert. Daraus entsteht entweder eine Aktualisierung des Verzeichnisses oder, falls Verarbeitungen ohne Rechtsgrundlage stattfinden, ein Stopp dieser Verarbeitung.
3. TOM-Bewertung. Wer hat Zugriff auf die Datei, auf den Ordner, auf den Server? Wie ist der Zugriff geschützt? Wie wird gesichert, wie wiederhergestellt? Wer wird informiert, wenn etwas Ungewöhnliches passiert? Diese Fragen lassen sich beantworten, ohne den Code zu verstehen, aber sie müssen beantwortet werden.
Erst danach stellt sich sinnvoll die Frage: Wird die Anwendung modernisiert, abgelöst oder weitergepflegt. Die Reihenfolge ist nicht verhandelbar. Wer ohne Bestandsaufnahme migriert, baut die alten Probleme in neuer Technik nach.
Wo dieser Ansatz an Grenzen stößt
Eine ehrliche Einschränkung: Nicht jede unbeaufsichtigte Access-Anwendung ist ein akutes DSGVO-Drama. Wenn die Datenbank ausschließlich nicht-personenbezogene Daten verarbeitet, etwa eine reine Artikelverwaltung ohne Kundenbezug, dann ist die datenschutzrechtliche Brisanz gering. Dann bleibt das Wartungsrisiko, das Ausfallrisiko und das Wissensrisiko, aber nicht das Bußgeldrisiko.
Auch sollte niemand glauben, dass ein aufgeräumtes Verfahrensverzeichnis allein die Anwendung sicherer macht. Es macht sie nur dokumentiert. Die technische Modernisierung, der Umstieg auf SQL Server als Backend, die Ablösung durch eine moderne Web-Anwendung — das sind eigenständige Schritte, die ihre eigene Begründung brauchen.
Wenn Sie wissen wollen, wo Sie stehen
Für genau diesen ersten Schritt — herausfinden, was die Anwendung tatsächlich tut, und ob das, was im Verfahrensverzeichnis steht, noch stimmt — gibt es den Access-Datenbank-Schnellcheck. Pauschalisierter Festpreis, definierter Umfang, Ergebnis ist ein schriftlicher Bericht, mit dem Geschäftsführung, IT-Leitung und Datenschutzbeauftragter weiterarbeiten können.
Den Schnellcheck gibt es hier: sesoft.de/access-datenbank-schnellcheck
Quellen und weiterführend
- Art. 30 DSGVO — Verzeichnis von Verarbeitungstätigkeiten: dsgvo-gesetz.de/art-30-dsgvo
- Art. 32 DSGVO — Sicherheit der Verarbeitung: dsgvo-gesetz.de/art-32-dsgvo
- Art. 83 DSGVO — Allgemeine Bedingungen für die Verhängung von Geldbußen: dsgvo-gesetz.de/art-83-dsgvo
Beitragsbild-Vorschlag: Ein leerer Schreibtisch mit einem Stuhl, im Hintergrund ein Bildschirm mit geöffneter Access-Anwendung, daneben ein verstaubter Aktenordner mit Aufschrift „Verfahrensverzeichnis 2021″. Tonalität nüchtern, eher dokumentarisch als dramatisch.
