Archiv des Autors: Andreas Bungert

Link

Datenspeicherung nach dem Ende eines Vertragsverhältnisses

Viele Unternehmen sehen für ihre Kundendaten eine Löschfrist von 10 Jahren vor. Sie begründen dies mit den Aufbewahrungspflichten aus dem Handelsgesetzbuch und aus der Abgabeordnung (§ 257 Abs. 1 Nr. 4, Abs. 4 HGB; § 147 Abs. 1 Nr. 4, Abs. 3 AO). Erst danach werden Kundendaten gelöscht. Wenn überhaupt.

Die Aufbewahrungspflichten gelten jedoch nur für bestimmte Dokumente. Insbesondere für Daten in den Datenbanken der ERP-Systeme gelten diese Aufbewahrungspflichten nur eingeschränkt.

In Ihrem Jahresbericht 2020 stellt die Berliner Beauftragte für Datenschutz und Informationsfreiheit klar heraus, dass diese Datenhaltungen anzupassen sind:

(Siehe https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2020-Web.pdf Seite 157 u. 158)

Warum das Vergessen schwerfällt

Das in der DSGVO verankerte „Recht auf Vergessen“ stellt viele Unternehmen vor Probleme. Besonders betroffen sind Unternehmen mit langen Kundenbeziehungen, wie z.B. Wohnungsunternehmen. Im Laufe eines Mietverhältnisses fallen sehr viele unterschiedliche Daten an. Die Datenbestände sind über die Jahre gewachsen und wurden teilweise mit dem Zukauf von Objekten von Verkäufern übernommen.

Niemand stellt in Frage, dass diese Daten gegen Missbrauch durch unbefugte Dritte zu schützen sind. Was jedoch meist übersehen wird: was passiert mit den Daten, wenn sie ihren Zweck erfüllt haben?

Die DSGVO gibt hier eine ganz klare Antwort: Sobald der Zweck erfüllt ist, für den Daten verarbeitet wurden – also sobald keine Rechtsgrundlage für eine weitere Verarbeitung besteht – sind die Daten zu löschen!

Beim Inkrafttreten der DSGVO im Mai 2018 hatten sich nur wenige Unternehmen schon mit dem Löschen personenbezogener Daten beschäftigt. Es gab zu viele andere, formale Hürden zu nehmen. So nach und nach fangen die Datenschutz-Aufsichtsbehörden jedoch an, auch das Löschen personenbezogener Daten in den Fokus zu nehmen. Das sieht man nicht nur in deren Jahresberichten, es wurden auch schon Bußgeldverfahren in Millionenhöhe in die Wege geleitet.

So einfach sich die Anforderung der DSGVO an das Löschen personenbezogener Daten auch anhört,  so stellt sie Unternehmen mit gewachsenen Prozessen, gewachsenen IT-Landschaften und über Jahre gewachsenen Datenbeständen vor große Hürden.

Hürde 1: Wer entscheidet, was wann zu löschen ist?

Unternehmen delegieren das Löschen von Daten gerne an die IT-Abteilung. Die IT weiß schließlich, welche Daten im Hause verarbeitet werden und die IT weiß auch, wie diese zu löschen sind. Das ist auch richtig.

Die IT hat aber  nicht die Hoheit über die Geschäftsprozesse und kann damit nicht entschieden, wann die Grundlage der Geschäftsprozesse, die Daten, zu löschen sind. Das kann nur entschieden, wer für die Prozesse, und damit die Verarbeitung der Daten verantwortlich ist. Und das sind die Fachbereiche. So wie es bei der Einhaltung anderen Gesetze, wie z.B. der Mietpreisbremse auch der Fall ist.

In der Praxis ist es jedoch meist so, dass keiner die Verantwortung für die Löschfristen übernehmen möchte. Dabei handelt es nicht um ein Wegschieben von Verantwortung. Es ist schlichtweg eine neue Fragestellung, mit der sich noch niemand im Unternehmen so richtig befasst hat und zu der viel Unsicherheit herrscht. Deshalb ist es wichtig, nicht nur die Verantwortung festzulegen, sondern den Verantwortlichen auch Hilfestellung an die Hand zu geben. Hilfestellung können z.B. Juristen bieten oder auch der Steuerberater, wenn es um Aufbewahrungspflichten geht. Zusätzlich sollte eine Eskalationskette bis zur Geschäftsführung festgelegt werden.

Ohne am Anfang eines Projektes diese Frage geklärt zu haben, läuft ein Projekt immer in Gefahr, dass grundlegende Entscheidungen verschoben oder immer wieder in Frage gestellt werden. Es kommt in der Praxis sogar vor, dass nach der Implementierung von Löschverfahren die Fristen neu angepasst werden müssen, weil man mit der Festlegung zu voreilig war.

Hürde 2: Wann müssen wir welche Daten löschen?

Diese Frage stellen Fachbereiche gerne an den Datenschutzbeauftragten: „Wir haben diese und jene Daten in unserer Software XYZ. Wann müssen wir diese löschen?“ Die Antwort auf diese Frage ist sehr einfach, wenn sie auch nicht im Sinne der Fragesteller ausfällt: Die Daten sind sofort zu löschen, sobald keine Rechtsgrundlage mehr für eine Verarbeitung besteht.

Der erste Fehler der gemacht wird: Die Frage nach der Löschfrist wird für spezifische Daten in einer konkreten IT-Lösung gestellt. Die Löschfrist hat aber nichts mit der technischen Lösung zu tun. Die Löschfrist ergibt sich ausschließlich aus dem Zweck, für den die Daten verarbeitet werden.

Um die Frage zu beantworten, wann welche Daten zu löschen sind, muss klar sein, zu welchem Zweck welche Daten verarbeitet werden. Ein guter Ansatzpunkt ist das Verzeichnis der Verarbeitungstätigkeiten. Dort sollten zumindest grob schon Datenarten, Verarbeitungszwecke und Rechtsgrundlagen angegeben sein. Für ein Löschkonzept müssen diese aber detaillierter betrachtet werden. Bevor die Frage nach der Löschfrist gestellt wird, muss in jedem Fall die Rechtsgrundlage für die Verarbeitung geklärt sein. Sonst wird in der Praxis die Frist immer so gewählt, dass sie nicht „wehtut“.

Erst wenn die Rechtgrundlage klar ist, kann daraus recht einfach die Regellöschfrist für die Daten abgeleitet werden. Wer bei der Rechtsgrundlage unsicher ist, sollte sich juristischen Rat einholen.

Wo die Daten gespeichert sind, spielt für die Löschfrist keine Rolle. Das ist erst die nächste Hürde.

Hürde 3: Wo sind diese Daten überall gespeichert?

Hier kommt jetzt die IT-Abteilung ins Spiel. Die Kernsysteme des Unternehmens wie z.B. ERP oder DMS sind einfach als Speicher für personenbezogene Daten zu erkennen. Die IT weiß in der Regel, in welchen Systemen welche Daten gespeichert sind. Aber sind das auch die einzigen Stellen, an denen diese personenbezogenen Daten gespeichert sind?

Es empfiehlt sich, die Wege zu betrachten, über die Daten in die Kernsysteme gelangen. Liegen noch Mails in Postfächern? Scans in Verzeichnissen? Falls ja: diese müssen auch gelöscht werden! Je nach Verwendungszweck oft sogar schon bevor die Daten aus den Kernsystemen zu löschen sind.

Hürde 4: Umbau gewachsener IT-Landschaften und „Silo-Denken“

Mit dieser Hürde hat die IT-Abteilung zu kämpfen. Denkt man. Auf den ersten Blick ist es auch richtig. Die IT ist aber nicht alleine gefordert.

Gerade in über den Jahren gewachsenen IT-Landschaften können die Abhängigkeiten zwischen den Systemen enorm komplex sein. Bei kleinen Optimierungen, stellt das kein großes Problem dar. Wenn aber plötzlich Daten gelöscht werden, die in mehreren Prozessen oder mehreren Geschäftsanwendungen verarbeitet werden, müssen die Abhängigkeiten klar sein. Die Auswirkungen sind sonst nicht kontrollierbar. Schließlich bilden diese Daten die Basis für den Geschäftsbetrieb.

Das immer noch weit verbreitete „Silo-Denken“ kann das Klären der Abhängigkeiten jedoch sehr schwierig machen. Manchmal sind die Mitarbeiter mit dem erforderlichen Know-how gar nicht mehr im Unternehmen. Teilweise müssen unterschiedliche IT-Dienstleister einbezogen werden.

Nicht selten ist auch der Fall, dass Daten mit unterschiedlichen Löschfristen technisch nur zusammen gelöscht werden können. Um dies für die Zukunft zu vermeiden, sollten schnellstmöglich die bestehenden Prozesse so angepasst werden, dass zukünftig ein gezieltes Löschen der Daten nach den vorgegebenen Löschfristen auch mit vertretbarem Aufwand möglich ist. Und schon sind die Fachbereiche wieder mit im Boot. Denn sie sind von den Prozessänderungen betroffen bzw. müssen diese sogar selber in die Wege leiten.

Hürde 5:  Löschen muss zum Geschäftsprozess werden

Unternehmen sind durch die DSGVO verpflichtet nachweisen zu können, dass sie die personenbezogenen Daten korrekt verarbeiten. Und dazu gehört auch der Nachweis, wie die Daten gelöscht werden. Es empfiehlt sich, ein Löschkonzept zu erstellen, in dem die Löschregeln pro Datenart, sowie Vorgaben für deren technisch-organisatorische Umsetzung festgelegt sind. Hierbei kann man sich an der DIN 66398 orientieren.

Mit dem Löschkonzept sind aber nicht nur Vorgaben für das Löschen der Daten festzulegen. Es ist auch festzulegen, wie der korrekte Ablauf des Löschens sichergestellt und überwacht wird. Und es ist zu regeln, wie das Löschkonzept aktuell gehalten wird, sobald sich Geschäftsprozesse und damit die Verarbeitung  personenbezogener Daten ändert. Das sind ganz normale Regelungen, wie man sie für jeden anderen Geschäftsprozess auch festlegt. Denn das Löschen von personenbezogenen Daten ist nichts anderes: ein ganz normaler Geschäftsprozess.

Hürde 6: Es ist lästig. Es macht Angst. Es ist Chefsache!

Dass Materialien wie Farben, Lacke oder sonstige Chemikalien ordnungsgemäß entsorgt werden, so dass niemand dadurch Schaden erleidet, ist selbstverständlich. Dass man mit personenbezogenen Daten genau das gleiche machen muss, ist leider noch nicht so weit verbreitet. Speicherplatz ist billig und man weiß ja nie, wann man die Daten noch gebrauchen könnte. Die Hamster lassen grüßen.

Das birgt in erster Linie ein Risiko für die Betroffenen, um deren Daten es geht. Wobei noch nicht mal davon auszugehen ist, dass das das Unternehmen, welches das Löschen vernachlässigt, diese Daten selber für unerlaubte Zweck gebrauchen wird. Viele höher ist das Risiko, dass diese Daten wegen eines Datenlecks oder Hackerangriffs in die Hände unbefugter Dritter gelangen und für Straftaten oder in sonstiger Weise zum Nachteil der Betroffenen verwendet werden.

Solche Daten sind aber auch ein Risiko für die Unternehmen. Deren Risiko liegt darin, dass alleine das Speichern der Daten ohne Rechtsgrundlage schon ein Verstoß gegen die DSGVO darstellt und bestraft werden kann. Die ersten Busgelder in Millionenhöhe wurden schon verhängt.

Aber auch der Reputationsschaden ist nicht zu verachten. Nach einem Datenleck die Betroffenen informieren zu müssen, ist mehr als peinlich. Der Schaden ist nochmals deutlich größer, wenn darunter Personen sind, deren Daten gar nicht mehr hätten gespeichert sein dürfen.

Da hilft nur eins: Das Thema Löschen muss zur Chefsache werden. Nur wenn die Geschäftsführung dieses Thema wirklich ernst nimmt und persönlich vorantreibt, werden sich auch die Mitarbeiter so damit beschäftigen, das gute Ergebnisse erzielt werden. Denn beim Löschen personenbezogener Daten geht es nicht um Nutzen- oder Effizienzsteigerung. Es geht ausschließlich um Schadensprävention. Und hier gilt es abzuwägen: speichert man Daten lieber etwas länger, weil man sie eventuell nochmal brauchen könnte, oder löscht man Daten lieber früher, um Ärger mit der Aufsichtsbehörde zu vermeiden. Mache Mitarbeiter trauen sich nicht, diese Entscheidung zu fällen. Hier ist das Management gefragt.

Übrigens: Wer denkt, dass sein Unternehmen der Aufsichtsbehörde nicht auffallen wird, der sollte die Kreativität von enttäuschten Kunden oder Mitarbeitern nicht unterschätzen.

Link

Veranstaltungshinweis: Wie schütze ich meine Daten und IT vor Angriffen?

Den Satz „Daten sind das neue Öl!“ des ehemaligen EU-Kommissars für die Digitale Gesellschaft und Wirtschaft, Günther Oettinger, haben Sie sicher schon gehört. Diese hohe Bedeutung von Daten und dieser enorme Wert für Unternehmen wecken Begehrlichkeiten, gegen die sich Unternehmer schützen müssen.

Auf dem BVMW-Netzwerk-Frühstück am 25.01.2018 erwarten Sie gleich zwei Vorträge zum Thema Daten- und IT-Sicherheit:

Management der Informationssicherheit

  • Motivation und Verantwortung
  • Der Begriff „Stand der Technik“ in der Cybersicherheit

Cyber-Versicherung für KMU

  • Mindestanforderungen der Versicherungsindustrie an IT-Sicherheit
  • Was eine Cyber-Versicherung bei einer IT-Sicherheitsverletzung leisten kann

Die Veranstaltung findet statt am 25.01.2018 in der Stratum-Lounge, Boxhagener Straße 15-16, 10245 Berlin
Zur Anmeldung geht es hier: Anmeldung

Test-Unternehmen gesucht für innovative Schritt-für-Schritt Anleitung zu Digitalisierungsthemen

Test-Unternehmen gesucht

Im IBWF-Bundesarbeitskreis „Digitaler Wandel gestalten“ haben die Experten zu Themen der Digitalisierung praktikable Best-Practice Handlungsleitfäden erarbeitet.

Das Innovative: Diese digitalen Schritt-für-Schritt-Anleitungen mit konkreten Aufgaben, Hintergrundinformationen und Mustervorlagen werden in einem mitgelieferten Onlinewerkzeug für das projektbezogene Aufgabenmanagement abgebildet. Damit lassen sich die einzelnen Schritte und Aufgaben ganz leicht im Team verteilen. Das gemeinsame Arbeiten kann sofort beginnen. Alle Beteiligten haben jederzeit den Überblick über das Gesamtthema und den Umsetzungsfortschritt.

Sind Sie interessiert als Test-Unternehmen einen oder mehrere Handlungsleitfäden ausprobieren? Gerne stelle ich für Sie einen Kontakt zu den jeweiligen Autoren her. Mit etwas Glück ist noch ein kostenfreier Platz als Tester frei.
Schicken Sie mir einfach eine Nachricht über mein Kontaktformular.

Seit 13.06.2017 autorisierter Berater Offensive Mittelstand

Andreas Bungert ist zertifizierter Berater der Offensive Mittelstand

Die „Offensive Mittelstand“ (OM) unterstützt kleine und mittelständische Unternehmen, den Wandel der Arbeit sowie die demografischen Anforderungen erfolgreich zu bewältigen. Sie fördert Kompetenzen und Wissen insbesondere für eine systematische und präventive Arbeitsorganisation, eine mitarbeiterorientierte Unternehmenskultur und sie fördert wirkungsvolle Unterstützungsstrukturen. Sie fördert die Weiterentwicklung der Handlungskompetenzen und vermittelt Wissen, insbesondere zur Bewältigung der digitalen Transformation (Mittelstand 4.0).

Seit 13.06.2015 bin ich offiziell „autorisierter Berater Offensive Mittelstand“. Zu meinen Beratungsschwerpunkten in der Offensive Mittelstand gehören:

  • Strategie
  • Prozesse
  • Innovation

Als „Berater Offensive Mittelstand“ darf ich den INQA-Unternehmenscheck „Guter Mittelstand“ „Guter Mittelstand – Erfolg ist kein Zufall“ in der Beratung einsetzen. Der INQA-Unternehmenscheck „Guter Mittelstand“ hilft Betrieben, Potenziale zur Verbesserung in Ihrem Unternehmen aufzuspüren. Er hilft, den grundlegenden Wandel der Arbeit und die daraus resultierenden Herausforderungen aktiv anzugehen und zu meistern. Er fasst die Erfahrungen guter und erfolgreicher Unternehmen sowie die Erkenntnisse wissenschaftlicher Forschung für Unternehmen zusammen.

Zudem bietet mir das Netzwerk die Möglichkeit, in Fragen, die nicht zu meinem eigenen Kompetenzprofil gehören, mit anderen Beratern zu kooperieren.

Sprechen Sie mich gerne an, wenn Sie am INQA-Unternehmenscheck „Guter Mittelstand“ „Guter Mittelstand – Erfolg ist kein Zufall“ interessiert sind.

Die Unternehmer sind gefragt, wenn Digitalisierung ein Erfolg werden soll: 6 Punkte, die Sie beachten sollten

Unternehmer müssen diese 6 Punkte bei der Digitalisierung beachtenFoto: Cattari Pons / PHOTOCASE

Das Thema Digitalisierung ist angekommen, zumindest bei Konferenzen und Info-Events. Noch nie konnte man sich so umfangreich über dieses hochaktuelle und brisante Thema informieren. Häufig referieren Vertreter der Hochschulen, aber immer mehr kommen auch die Unternehmer zu Wort. Auf einer solchen Veranstaltungen wurde letzte Woche die Frage an das Auditorium gestellt, welche Art Unternehmen denn mit der Digitalisierung am weitesten vorangeschritten sind und diese am erfolgreichsten umsetzen. Ich bin im Kopf auch meine Kunden durchgegangen, konnte aber keine passende Schublade erkennen. Der Gedanke ließ mich aber nicht los und auf dem Heimweg kam mir die Erkenntnis: es sind nicht die Unternehmen, die besonders charakteristische Eigenschaften aufweisen, es sind die Unternehmer.


“Die Unternehmer sind gefragt, wenn Digitalisierung ein Erfolg werden soll: 6 Punkte, die Sie beachten sollten” weiterlesen …

Messebesuch ohne Anreise, einfach von Schreibtisch aus: EOA 2016

Einfach Online ArbeitenZum zweiten Mal fand dieses Jahr die virtuelle Messe Einfach Online Arbeiten (EOA 2016) statt. Vom Veranstalter wurden über 2000 Besucher erwartet. Es gab 30 Aussteller, die interessanten Themen wurden auf 36 Stunden Videomaterial präsentiert und durch das Sparen der Anreise wurden ca. 100 Bäume gerettet.

Die Messe war aufgebaut wie eine normale Messe, so dass man sich intuitiv zurechtfinden konnte. In einem Kongresszentrum wurden Key Notes gehalten und es fanden Podiumsdiskussionen rund um die Themen Digitalisierung, Arbeit 4.0 und Cloud Computing statt. Als Zuschauer konnte man über einen Chat Fragen stellen, die von den Moderatoren gerne aufgegriffen wurden. Das war sehr schon gemacht. Nicht nur weil man nebenbei vom Schreibtisch aus teilnehmen konnte. In einen anderen Veranstaltungsraum hatten die Aussteller die Möglichkeit in Fachvorträgen ihre Produkte vorzustellen.
“Messebesuch ohne Anreise, einfach von Schreibtisch aus: EOA 2016” weiterlesen …

Erfordert die Digitalisierung, dass Mittelständler ihre Rolle neu erfinden?

„Wir sind doch nur ein metallverarbeitendes Unternehmen. Mit IT wollen wir uns nicht befassen, die soll einfach funktionieren.“ Diesen Anspruch äußerten einige der Vertreter der Industrie auf dem Colloquium „Industrielle IT“ des Verbandes der IT-Industrie Berlin-Brandenburg (SIBB e.V.) und des Innovationszentrums Moderne Industrie Brandenburg (IMI), welche am 19.02, in den Räumen von ORACLE in Potsdam gehalten wurde. Rund 70 Teilnehmer diskutierten über ihre Erfahrungen bei der Digitalisierung und Modernisierung von Produktionsprozessen.

Können große Unternehmen die Herausforderungen der kleinen verstehen?Wenn man vom Gastgeber ORACLE absieht, wurde diese sicher berechtigte Forderung der mittelständischen Industrie von den IT-Unternehmen auch verstanden und aufgenommen. ORACLE stellte eine tolle Location zur Verfügung und war ein hervorragender Gastgeber war. Allerdings wurden bei der Vorstellung neuer Produkte und einer tollen Vision einer digitalen Zukunft die Probleme des mittelständischen Unternehmers gar nicht aufgegriffen. Wahrscheinlich sind solche Unternehmen zu groß, um zu verstehen, vor welche  Aufgaben kleinere und mittlere Unternehmen durch die Digitalisierung gestellt werden. Hier ist die Augenhöhe wohl zu unterschiedlich. Bei den kleineren IT-Unternehmen der Region ist diese eher gegeben und diese haben im Colloquium die Befürchtungen und Probleme aus der produzierenden Industrie auch aufgegriffen.
“Erfordert die Digitalisierung, dass Mittelständler ihre Rolle neu erfinden?” weiterlesen …

„Arbeiten in der digitalen Welt“ – Zwei Ministerien, ein Kongress. Doch wo blieb der Mittelstand?

Kongress Arbeiten in der digitalen WeltDigitalisierung ist ein interdisziplinäres Thema. Dieser Tatsache sollte am 28.01.2016 der gemeinsame Kongress „Arbeiten in der digitalen Welt – Mensch – Organisation – Technik“ des Bundesministeriums für Wirtschaft und Energie und des Bundesministeriums für Arbeit und Soziales sicher gerecht werden. Leider begann der Auftakt der Veranstaltung für die Teilnehmer mit zwei Enttäuschungen:

  • Die Organisation des physikalischen Einlasses war trotz vorheriger digitaler Anmeldung den über 200 Teilnehmern nicht gewachsen.
  • Beide Bundesminister – Andrea Nahles und Sigmar Gabriel – ließen sich entschuldigen. Sie hatten wichtigere Termine.


“„Arbeiten in der digitalen Welt“ – Zwei Ministerien, ein Kongress. Doch wo blieb der Mittelstand?” weiterlesen …

Cloud Unternehmertag 2016 der Scopevisio AG

ScopeVisioWas erwarten Sie auf einer Konferenz eines Software-Herstellers? Jede Menge Eigenwerbung! So ging es mir auch. Aber der Cloud-Unternehmertag der Scopevisio AG verlief ganz anders: Praxisberichte und unterschiedliche Sichtweisen auf die Themen Digitalisierung, Mittelstand 4.0, Internet of Things und natürlich Cloud machten den Tag zu einem nicht nur spannenden sondern auch sehr informativen Erlebnis, gekrönt durch das tolle Ambiente des Kameha Grand in Bonn.
“Cloud Unternehmertag 2016 der Scopevisio AG” weiterlesen …