Daten richtig schützen
Die Datenschutzgrundverordnung (DSGVO) besagt, dass personenbezogene Daten auf Verlangen gelöscht werden müssen. Wie Sie mit der Löschpflicht umgehen sollten...
Die Datenschutzgrundverordnung (DSGVO) besagt, dass personenbezogene Daten auf Verlangen gelöscht werden müssen. Wie Sie mit der Löschpflicht umgehen sollten...
Verstöße gegen die Datenschutzgrundverordnung (DSGVO) können teuer werden. Ein Stolperstein für Unternehmen ist dabei die Löschpflicht, auch bekannt als Recht auf Vergessenwerden, das in Paragraf 17.1 der DSDVO festgelegt ist: „Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.“
Das Bundesdatenschutzgesetz schränkt in Paragraf 35 diese Vorgabe etwas ein: „Ist eine Löschung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und ist das Interesse der betroffenen Person an der Löschung als gering anzusehen, besteht das Recht der betroffenen Person auf und die Pflicht des Verantwortlichen zur Löschung personenbezogener Daten gemäß Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 ergänzend zu den in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht.“
Mehr Infos und Details zum DSGVO-Gesetz unter BfDI.
Dennoch müssen Unternehmen mit hohen Strafen rechnen, wenn Sie gegen die Vorgaben der DSGVO verstoßen. Im europäischen Ausland wurden bereits Millionenstrafen verhängt. Das ist zwar bisher in Deutschland noch nicht der Fall gewesen, aber beispielsweise hat im August 2019 die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inklusive Gebühren gegen die Delivery Hero Germany GmbH rechtskräftig erlassen.
Das Vergehen: „In zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert“ (PDF).
Dass Delivery Hero mittlerweile von Lieferando übernommen wurde und als Markenbezeichnung verschwunden ist, lag zwar sicherlich nicht nur an diesem Urteil, aber ein Hinweis auf Mängel in der IT-Infrastruktur ist es schon.
Wenn Sie selbst nicht in solche Fallstricke geraten wollen, sollten Sie einiges beachten. Zunächst sollten Sie selbst einen Datenschutzbeauftragten für Ihr Unternehmen benennen, damit sie eine grundlegende rechtliche Absicherung haben. Nutzen Sie die Informationsangebote der Datenschutzbehörden. Beispielsweise hat der Datenschutzbeauftragte Rheinland-Pfalz einen „Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen“ herausgegeben, der auch wertvolle Hinweise für Unternehmen enthält: „Die technischen und organisatorischen Sicherungsmaßnahmen müssen dem Stand der Technik genügen und der Selbstschutz der Nutzer muss respektiert werden (zum Beispiel Einstellungen zu Cookies, Do-Not-Track, Deaktivierung von Standortdaten).“
In technischer Hinsicht müssen Sie ein Löschkonzept entwickeln, um den rechtlichen Verpflichtungen nachzukommen. Zunächst müssen Sie sich einen Überblick verschaffen, welche personenbezogenen Daten in Ihrem Unternehmen lagern. Schon das ist bei den zahlreichen Datensilos keine einfache Aufgabe. Daten könnten auf SSDs und Festplatten, auf Mobilsystemen, Magnetbändern, USB-Sticks, DVDs oder Network-Attached-Storage-Server (NAS) liegen. Sogar Drucker und Multifunktionssysteme enthalten Festplatten, auf denen sie Druckdaten zwischenspeichern. Mit manuellen Mitteln ist es selbst in kleinen Unternehmen fast unmöglich, alles zu berücksichtigen. Zum Glück gibt es geeignete Software-Werkzeuge, die genau für den Zweck der Datenerfassung ausgelegt sind.
Außerdem reicht es auf keinen Fall aus, die Daten in den Desktop-Papierkorb zu legen und auf „Löschen“ zu drücken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine umfassende Anleitung zum richtigen Datenlöschen vorgelegt. Gewarnt wird unter anderem vor Vertraulichkeitsverlust durch Restinformationen auf Datenträgern und unstrukturierter Datenhaltung.
Es gibt dort auch einen umfassenden Forderungskatalog, die Unternehmen unbedingt erfüllen müssen. Hier ein kleiner Auszug, was vom BSI alles verlangt wird: „Die Institution muss das Löschen und Vernichten von Informationen und ihrer Träger regeln. Dabei muss je nach Organisationseinheit geregelt werden, welche Informationen und Betriebsmittel unter welchen Voraussetzungen gelöscht und entsorgt werden dürfen. Ebenso MUSS festgelegt werden, in welchen räumlichen Bereichen Entsorgungs- und Vernichtungseinrichtungen aufgebaut werden sollen.“
Wenn Ihnen angesichts dieser Forderungen graue Haare wachsen, keine Sorge. Datenschutzexperten, wie des Business-IT-Spezialisten All for One Group, stehen Ihnen in allen Fragen rund um die DSGVO und andere Compliance-Vorgaben zur Seite, beraten Sie und übernehmen die technischen Umsetzung, die das Gesetz fordert. Wie Sie mit Daten richtig umgehen, um die digitale Transformation in Ihrem Unternehmen zu befeuern, erfahren Sie in diesem Use Case.
Quelle: Titelbild iStock, Warchi