Corona Krise: Home Office effizient, Krisenmanagement Webinare unter Events!!!

Löschkonzepte


Löschkonzepte



Sie haben noch kein Löschkonzept in Ihrem Unternehmen? Sie sollten Sie diesem Thema jetzt Priorität einräumen und definieren, welche Daten Sie wann löschen – spätestens seit dem verhängten Bußgeld in Höhe von 14,5 Millionen € gegen die Deutsche Wohnen SE . Wir unterstützen Sie dabei beim WAS, WANN, WIE.

Rechtliche Grundlagen

Die EU-DSGVO beschreibt in Kapitel 3 welche Rechte Betroffene haben und gibt damit vor, dass Unternehmen diese Rechte wahren müssen.

Zu diesen Betroffenenrechten gehört auch das „Recht auf Löschung“ bzw. „Recht auf Vergessenwerden“ (Art. 17 DSGVO). Dieses Recht besagt, dass eine betroffene Person das Recht hat, von den Datenverantwortlichen zu verlangen, dass die betreffenden personenbezogene Daten unverzüglich gelöscht werden. Der Verantwortliche ist dann dazu verpflichtet, sofern bestimmte Gründe zutreffen. Zu diesen Gründen zählen, dass die personenbezogenen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder die betroffene Person ihrer Einwilligung zur Verarbeitung widerruft oder der Verarbeitung widerspricht.

Zusätzlich definiert Artikel 5, der Grundsätze für die Verarbeitung von personenbezogenen Daten beschreibt, eine Speicherbegrenzung. Diese Begrenzung besagt, dass personenbezogene Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Personenbezogene Daten dürfen damit nur länger gespeichert werden, wenn sie ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden. Dies gilt aber lediglich, wenn gleichzeitig geeignete technische und organisatorische Maßnahmen durchgeführt werden.

Was bedeutet das?

Diese Situation trifft in den folgenden 2 Beispiele ein:

  • Die betroffene Person hat ihren Vertrag mit einem Unternehmen rechtskräftig gekündigt – damit ist keine Notwendigkeit mehr gegeben die Daten zu verarbeiten.
  • Ein Bewerber wurde von einem Unternehmen abgelehnt und damit kam es nicht zu einer Einstellung – auch hier gibt es keine Notwendigkeit mehr die Daten zu speichern.

Zum Thema Betroffenenrechte und speziell zur Datenlöschung gibt es zwei aktuelle Fälle. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat Bußgelder in Höhe von fast 200.000 Euro gegen das Lieferunternehmen Lieferheld und in Höhe von 14,5 Mio. Euro gegen die Deutsche Wohnen erlassen. Die Unternehmen hatten Daten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen nicht aktive Kunden waren. Die Entscheidung ist rechtskräftig.

Umsetzung von Löschkonzepten für Unternehmen

Die Umsetzung des Rechts auf Löschung bringt viele Herausforderungen für Unternehmen mit sich. Warum?:

  • Gleichzeitig mit der Verpflichtung personenbezogene Daten zu löschen müssen sie anderen gesetzlichen Aufbewahrungsfristen (z.B. nach § 257 HGB oder § 147 AO) gerecht werden.
  • Je nach System gibt es technische Herausforderungen bei der Löschung von Daten. Je komplexer eine Systemlandschaft ist, desto komplizierter wird eine übergreifende Löschung der Daten über die Systeme hinweg.
  • Datenkonsistenz muss beachtet werden – auch wenn einzelne personenbezogene Daten gelöscht werden, müssen z.B. Reports noch die gleichen Ergebnisse zeigen.
  • Vorgeschriebene Dokumentation muss erstellt werden und es muss ein Nachweis der Löschung erbracht werden.

Eine manuelle Löschung stellt für Unternehmen, deren Systemarchitektur nicht so komplex ist, eine Möglichkeit dar. Aber auch hier müssen Sie Vorgaben beachten.

Kostenloses PDF zum Thema Löschkonzepte

Kostenloser Download

Download Link senden an:

Löschkonzepte nach DIN 66398

Die Norm DIN 66398 stellt hier eine Leitlinie zur Entwicklung eines Löschkonzepts dar. Sie gibt Ihnen dabei Empfehlungen für Inhalt, Aufbau und Verantwortlichkeiten in einem Löschkonzept für personenbezogene Daten und beschreibt Vorgehensweisen, mit denen Löschfristen und Löschregeln für verschiedene Datenarten bestimmt werden können. Folgende Begriffe spielen bei der Anwendung der Norm zur Erarbeitung eines Löschkonzepts eine Rolle:

  • Datenart: Alle Daten, die zu einem gemeinsamen Zweck verarbeitet werden
  • Löschfrist: Zeitspanne, nach der die Daten (in der Regel) gelöscht werden sollen, unter Beachtung von vertraglichen und rechtlichen Aufbewahrungsfristen
  • Startzeitpunkt: Festlegung, ab wann die Löschfrist zu laufen beginnt
  • Löschklassen: Zusammenfassung der Datenarten nach Löschfrist und Startzeitpunkt
  • Löschregel: Regel für jede Löschklasse
  • Umsetzungsregel: Konkretisiert die Löschregel unter Beachtung der genutzten Technik
  • Verantwortlichkeiten: Werden festgelegt für die Umsetzung der Löschung sowie für die Erstellung und Pflege des Löschkonzeptes

Die DIN 66398 beschreibt dabei die grundsätzlichen Schritte auf dem Weg zu einem eigenen Löschkonzept im Unternehmen.

  • Bestimmung der Datenarten, die es in den Datenbeständen des Unternehmens gibt
  • Zusammenfassung der Datenarten in Löschklassen
  • Definition von Löschregeln für die Datenarten
  • Festlegung von konkreten Umsetzungsregeln
  • Definition der jeweils Verantwortlichen für die Umsetzung
  • Dokumentation der ergriffenen und zu ergreifenden Schritte und Pflege der Dokumentation

Übergreifendes Löschkonzept inkl. SAP ILM

Größere Unternehmen mit komplexer Systemlandschaft stellt die technische Umsetzung eines Löschkonzepts vor besondere Herausforderungen. Wir empfehlen deswegen in diesem Fall die Implementierung einer umfassenden vollautomatisierten Datenlöschung nach gesetzlichen und prozessualen Vorgaben. Die Datenlöschung in SAP ist hier besonders  kritisch. Mit dem Modul ILM (Information Lifecyle Management) hat SAP eine Möglichkeit bereitgestellt über Archivierung und selektive Löschung von Datensätzen den Löschvorgaben gerecht zu werden.

bimoso bietet hier eine eigene Lösung an: Bei einem übergreifenden Löschkonzept implementieren wir ein zentrales System (IDB – Intelligence Data Base), das die Löschkriterien definiert und über Schnittstellen mit den anderen Systemen verbunden ist. Ein  2-stufiger Prozess ermöglicht Datenkonsistenz aufrechtzuerhalten.

Eine vollautomatisierte Löschung bietet Unternehmen viele Vorteile:

  • Sie ermöglicht eine systemübergreifende Löschung unter Einhaltung von Aufbewahrungsfristen und dient als Löschnachweis
  • Alle Arten von Systemen können angeschlossen werden
  • Je nach Anforderungen können Daten komplett gelöscht oder anonymisiert/archiviert werden
  • Sie bietet individuelle Anpassungs- und Konfigurationsmöglichkeiten
  • Sie dient der Datenbereinigung und bietet einen zentralen Überblick über den Datenstand. Damit stellt sie eine volldigitalisierte Dokumentation dar
  • Die Logik kann zu einem generellem Data Management System (nicht nur Löschung, auch Aktualisierung, etc.) ausgeweitet werden

Wir unterstützen sie

Wir finden die richtige Lösung für ein Löschkonzept für Sie – je nach Menge und Komplexität ihrer Daten, Komplexität ihrer Systemarchitektur, Anforderungen ihrer Geschäftsprozesse und ihrer ganz spezifischen Unternehmenssituation. Das kann die manuelle Löschung nach DIN 66398 oder die Implementierung einer umfassenden Datenlöschung nach gesetzlichen und prozessualen Vorgaben (vollautomatisiertes Löschkonzept inkl. SAP ILM) sein.

Unser Angebot

Details zu unseren Leistungen finden Sie hier unter „Leistungen im Bereich Data Protection“:

  • Kurzaudit Datenlöschung
  • Audit aller Betroffenenrechte
  • Erstellung und Umsetzung von Löschkonzepten je nach Unternehmensgröße bzw. Komplexität der Systemarchitektur und Prozesse
    • Kleinere Unternehmen mit „einfachen“ Systemen: Löschkonzept nach DIN 66398
      (manuelles Löschkonzept)
    • Größere Unternehmen mit komplexer Systemlandschaft: Implementierung einer umfassenden Datenlöschung nach gesetzlichen und prozessualen Vorgaben (vollautomatisiertes Löschkonzept inkl. SAP ILM)

Isa Latta

Head of Consulting

+49 40 33 44 2409

Frau Latta ist zertifizierte Datenschutzbeauftragte und hat in den letzten Jahren zahlreiche Unternehmen zum Thema Datenschutz und Informationssicherheit beraten und auditiert.

Name*

E-Mail*

Betreff*

Ihre Nachricht an uns*

* Sie erklären sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden. Weitere Informationen und Widerrufshinweise finden Aie in der Datenschutzerklärung. Eine Kopie Ihrer Nachricht wird an Ihre E-Mail-Adresse geschickt.

Dieses Formular wird nicht vom Internet Explorer unterstütz, bitte benutzen Sie für die Anmeldung einen anderen Browser.



Data Protection

Zusätzliche Sicherheit von Microsoft 365

Microsoft 365 bietet Kunden mehr Schutz als nur Windows 10 und Office365. Es erkennt Hackerangriffe automatisch und wehrt sie ab, da es über einen erweiterten Bedrohungsschutz verfügt. Hintergrund Eine von Bitkom durchgeführte Studie zeigt, dass die Cyber-Angriffe auf deutsche Unternehmen...

Erfahren Sie Mehr

0 / Lilith Khurshudyan / Jan 28, 2020
Security

Smarthome-Geräte hören mit

IT-Sicherheitsexperten warnen immer wieder vor den Gefahren von Smarthomes, wie zum Beispiel Amazon Echo oder Google Home. Personen, die diese Geräte nutzen, laufen Gefahr, ihre privaten Daten und vertraulichen Informationen zu verlieren. Ein von Forschern des SRLabs durchgeführtes Experiment, zeigt...

Erfahren Sie Mehr

0 / Isa Latta / Nov 08, 2019