Umsetzung der EU-DSGVO in Geschäftsprozessen und IT

Besonders in der Dienstleistungswirtschaft spielen personenbezogene Daten eine wichtige Rolle. Sowohl im europäischen als auch im deutschen Datenschutzrecht ist der Zweckbindungsgrundsatz für diese Daten festgeschrieben. Dieser besagt, dass personenbezogene Daten nur für von vornherein festgelegte eindeutige und rechtmäßige Zwecke erhoben werden dürfen. Wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen, sind diese Daten zu löschen. Bei Verstößen drohen drastische Bußgelder. Dass die Aufsichtsbehörden hier genau hinschauen und sich nicht mit Konzepten zufrieden gegen, zeigen die ersten Bußgelder in Millionenhöhe, die für nicht gelöschte Daten verhängt wurden.

Als „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“ gibt DIN 66398 Hilfe beim Einstieg in dieses Thema. Datenschutzbeauftragte und Juristen beraten bei der rechtlichen Bewertung.

Mit Konzepten geben sich die Aufsichtsbehörden allerdings nicht zufrieden. Relevant ist, dass Löschvorgaben umgesetzt sind. Hier stehen viele Unternehmen jedoch vor einer enormen Komplexität, die sich aus der Vernetzung der vielen involvierten Organisationseinheiten, Prozesse und IT-Systeme ergibt. Eine zusätzliche Herausforderung ergibt sich daraus, dass diese Veränderungen von den Beteiligten als aufgezwungen und störend empfunden werden.

Ich unterstütze meine Kunden durchgängig von der Analyse des Löschbedarfs bis zur Umsetzung der Löschverfahren in die betriebliche Praxis.

Analyse der Datenerfassung und Speicherung personenbezogener Daten.

Um diese Fragen geht es:
  • Wo und in welchen Prozessen werden welche personenbezogenen Daten erhoben und verwendet?
  • In welchen Systemen werden diese Daten gespeichert?
  • Über welche Wege und Schnittstellen werden Daten ausgetauscht?
  • Zu welchen Zwecken werden die Daten verwendet und welche Rechtsgrundlagen erlauben die Verarbeitung?
  • Was muss getan werden, um die Rechte der Betroffenen erfüllen zu können?

Eine gute Prozessdokumentation ist hilfreich. Sie ist jedoch in den meisten Fällen nicht ausreichend, da der Fokus zu wenig auf den Daten liegt. Der Fokus liegt vielmehr auf einer systemischen Betrachtung auf Prozess- und IT-Ebene, auf der die Datenflüsse und die Speicher für Daten sichtbar und im unternehmerischen Gesamtkontext verstanden werden.

Anhand der Analyseergebnisse können die Verantwortlichen meiner Kunden zusammen mit ihrem Datenschutzbeauftragten den Bedarf an Maßnahmen für die Umsetzung der EU-DSGVO definieren. Als Nebeneffekt sind die Analyseergebnisse eine hervorragende Grundlage für ein Löschkonzept. Die DSGVO verpflichtet zwar nicht, ein Löschkonzept zu erstellen. Es ist aber sehr sinnvoll als Nachweis, dass der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e) DSGVO eingehalten wird. Vorausgesetzt die Löschungen werden in der Praxis auch umgesetzt.

Löschverfahren für personenbezogene Daten

Um diese Fragen geht es:
  • Unter welchen Bedingungen und nach welchen Fristen müssen wo welche Daten gelöscht werden?
  • Welche Abhängigkeiten zwischen den Daten gibt es?
  • Welche Auswirkungen hat ein Löschen auf die Geschäftsprozesse?
  • Welche Software-Lösungen müssen angepasst werden?
  • Welche Qualität haben die Daten?
  • Wie ist das Löschverfahren zu gestalten um ein sicher und nachvollziehbar die gesetzlichen Anforderungen zu erfüllen?

Viele IT-Lösungen sind nicht auf das Löschen von Daten ausgelegt. Gemeinsam mit Ihren IT-Spezialisten und den Prozessverantwortlichen entwickle und spezifiziere ich präzise die Anforderungen an zu implementierende Löschverfahren. Die Herausforderung liegt darin, die Auswirkungen einer Datenlöschung auf die Unternehmensprozesse, die komplex vernetzte IT-Landschaft und die gewachsenen Datenbestände zu erkennen, zu verstehen und angemessen zu berücksichtigen. Der laufende Betrieb darf nicht durch unerwartete Nebeneffekte lahmgelegt werden.

Als Folge der komplexen Vernetzung sind bei der Umsetzung der Löschverfahren meist mehrere Dienstleister und interne Organisationseinheiten zu koordinieren. Dies reicht von der Spezifikation über das Begleiten der Entwicklung, Test und Abnahme, bis zum Roll-Out in den operativen Betrieb. Projektplanung und Projektleitung sind weiter Aufgaben, bei der ich Sie ebenfalls gerne unterstütze.


Kundenstimmen

Mit seinem Bauplan-Konzept hat uns Andreas Bungert ein pragmatisches und wirkungsvolles Mittel an die Hand gegeben, uns schnell und zielgerichtet mit unseren Kunden abzustimmen. Herr Bungert war stets bei Fragen mit fachmännischen und zielgerichteten Auskünften verfügbar. Seine professionelle Art kann ich sehr empfehlen.

Ingo MolitorFounder of Realty of SWFL LLC / CEO Coding Ant Technologies AGRealty of SW FloridaFrankfurt