Im Zuge der Datenschutzgrundverordnung (DSGVO) sollten sich Unternehmen sehr genau mit dem Recht auf Vergesseneren befassen. Denn im Vergleich zur Pflicht zur Archivierung steht die Datenlöschung zu wenig im Fokus. Ob die Betriebe die gesetzlich geforderte Datenlöschung einhalten, ist meistens kein Thema.

Die Anwendungen im Bereich Dokumentenmanagementsystem (DMS) und Archivierung widmen sich vornehmlich der Frage, wie sie die Aufbewahrungspflichten erfüllen.

Was aber wenn die Datenschutz-Behörde zur Kontrolle kommt?

Wie steht es da um die fristgerechte Datenlöschung?

Ein wirtschaftliches und revisionssicheres Datenlöschmanagement ist heute wichtiger Bestandteil jeder Datenschutz- und Datensicherheitsstrategie. Zum einen geht es darum, die Risiken, z.B. bei der Außerdienststellung von Geräten, bei der Weitergabe von Geräten, beim Ausbau und der weiteren Verwendung von Festplatten und Datenträgern oder auch bei der temporären Nutzung von externen, personenbezogenen Daten auszuschließen und zum anderen muss dieser Löschprozess wirtschaftlich betrieben werden. Eine weitere Grundvoraussetzung ist dabei der revisionssichere Nachweis zur Entlastung der verantwortlichen Stellen.

Datenschutzgrundverordnung / DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist laut Wikipedia

„eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.

Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt,andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Diese Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ und ist Ende Mai 2018 endgültig in Kraft getreten.

Die europäische Datenschutzverordnung geht in einigen Passagen über das Deutsche Bundesdatenschutzgesetz (BDSG) hinaus. So sind personenbezogene Daten zukünftig bereits dann verletzt, wenn Sie deren Verfügbarkeit nicht gewährleisten können: Die Dokumentationspflichten und Betroffenenrechte werden deutlich ausgeweitet, die Bußgelder erhöht.

– Feste Frist: Möchte ein Kunden Zugang zu seinen Daten haben oder diese bei Ihnen löschen lassen, müssen Sie dieser Aufforderung in maximal einem Monat nachkommen. Es wäre also besser, wenn Sie genau wissen, wo sich die Ihnen anvertrauten Daten befinden und wie ihr Status ist. Ein konsequentes Daten-Management zu verfolgen, ist hierbei sicher hilfreich.

– Meldepflicht: Bei Datenlecks müssen Sie wesentlich schneller (spätestens 72 Stunden nach Erkennen des Vorfalls) handeln – und diesen Vorfall melden. Bei hoch sensiblen Daten sind die Betroffenen sogar umgehend direkt zu informieren.

– Weltweiter Geltungsbereich: Die europäische Datenschutzverordnung gilt zudem weltweit – sobald es die personenbezogenen Daten eines EU-Bürgers betrifft. Arbeitet Ihr Unternehmen mit Daten eines EU-Bürger müssen sie unabhängig von Ihrem Firmen- Standort sicherstellen, dass ihre Datenschutz-Maßnahmen mit der Datenschutzgrundverordnung konform sind.

– Die Verschlüsselung von Daten: Artikel 32 der DSGVO bezeichnet die Verschlüsselung als „angemessenes Schutzniveau“. Übrigens: Sind die personenbezogenen Daten durch einen wohlgemerkt hohen Verschlüsselungsgrad geschützt, gelten die Daten im Falle eines Datenverlusts nach europäischer Datenschutzverordnung nicht wirklich als verloren. Der Grund: Cyberkriminelle erhalten beim Hacken nicht die Daten, sondern eine kryptische, für sie wertlose Datensammlung. Der Vorteil für Ihr Unternehmen: In diesem Fall müssen Sie die betroffenen Personen nicht über den Datenvorfall informieren.

– Risikobewertung: Vor besonders risikobehafteten Verarbeitungen von personenbezogenen Daten ist eine sogenannte Datenschutz-Folgenabschätzung durchzuführen.

Checkliste für die Umsetzung der DSGVO

– Verantwortungsbereich klären– wer ist zuständig für die Umsetzung der DSGVO?

– Geschäftsleitung umfassend informieren über Forderungen und mögliche Sanktionen bei Nicht-Umsetzung der DSGVO (z.B. 72-Stunden-Meldepflichten bei Sicherheitsvorfällen, Bußgelder, Imageverlust bei Datenpannen, etc.)

– Budget anpassen: Mögliche Kosten eines mangelhaften Datenschutzes bewerten und abwägen

– IT-Struktur ermitteln und dokumentieren – mobile Endgeräte inbegriffen

– Datenstruktur ermitteln und dokumentieren – Verschaffen Sie sich einen Überblick darüber, wo sich welche Ihrer Kundendaten befinden

– Löschkonzept erarbeiten: Das Recht auf Vergessen umsetzen

– Mögliche Datenübertragungen mittels Schnittstellen und gängigen maschinenlesbaren Formate vorbereiten, um das Recht auf Datenübertragbarkeit von einem Anbieter auf einen anderen umsetzen zu können

– IT belastbar und widerstandsfähig aufstellen gegen Systemausfälle und Cyberangriffe, um die Sicherheit der DV nach DGSVO zu erzielen

– Verschlüsselung der Daten verbessern

– Datenschutzmaßnahmen ergreifen und deren Umsetzung dokumentieren sowie kontrollieren! Wenn es zu einer Prüfung kommt, möchten die Aufsichtsbehörden genau das sehen

– Aufsichtsbehörde kontaktieren, denn die Aufsichtsbehörden kennen die Herausforderungen der DSGVO

– Wirksamkeit evaluieren und interne Kontrollprozesse technischer und organisatorischer Prozesse einrichten. Die DSGVO sieht eine regelmäßige Überprüfung und Anpassung der Maßnahmen vor.