Umsetzung der EU-DSGVO in Geschäftsprozessen und IT

Besonders in der Dienstleistungswirtschaft spielen personenbezogene Daten eine wichtige Rolle. Datensicherheit befasst sich damit, diese Daten gegen Zugriffe durch unbefugte Dritte zu schützen. Das alleine reicht aber nicht aus. Unternehmen müssen auch sicherstellen, dass sie nicht selbst zum Täter werden, weil sie personenbezogenen Daten ihrer Kunden, Mitarbeiter oder sonstiger Geschäftspartner rechtswidrig verarbeiten:

Der im europäischen Datenschutzrecht festgeschrieben Zweckbindungsgrundsatz besagt, dass personenbezogene Daten ausschließlich für von vornherein festgelegte, eindeutige und rechtmäßige Zwecke erhoben und verarbeitet werden dürfen. Wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen, müssen diese Daten gelöscht werden. Bei Verstößen drohen drastische Bußgelder. Dass die Aufsichtsbehörden hier genau hinschauen und sich nicht mit Konzepten zufriedengeben, zeigen die ersten Bußgelder in Millionenhöhe.

Als „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“ gibt DIN 66398 Hilfe beim Einstieg in dieses Thema. Datenschutzbeauftragte und Juristen beraten bei der rechtlichen Bewertung der Rechtsgrundlagen und Fristen.

Mit Konzepten geben sich die Aufsichtsbehörden allerdings nicht mehr zufrieden. Relevant ist, dass die Löschvorgaben in der betrieblichen Praxis umgesetzt sind. Das Überführen der rechtlichen Vorgaben in Geschäftsprozesse und Technik stellt viele Unternehmen vor eine enorme Komplexität, die in den gewohnten IT-Projekten nicht üblich ist. Eine zusätzliche Herausforderung ergibt sich daraus, dass dieses Thema von den Beteiligten als aufgezwungen und störend empfunden werden, teilweise auch Unsicherheit mit sich bringen.

Ich unterstütze meine Kunden durchgängig: von der Analyse der verarbeiteten Daten, über das Erstellen eines Löschkonzepts, bis zur Umsetzung organistorischer und technischer Löschverfahren in der betriebliche Praxis.

Analyse der Datenerfassung und Speicherung personenbezogener Daten.

Um diese Fragen geht es:
  • Wo und in welchen Prozessen werden welche personenbezogenen Daten erhoben und verwendet?
  • In welchen Systemen werden diese Daten gespeichert?
  • Über welche Wege und Schnittstellen werden Daten ausgetauscht?
  • Zu welchen Zwecken werden die Daten verwendet und welche Rechtsgrundlagen erlauben die Verarbeitung?
  • Was muss getan werden, um die Rechte der Betroffenen erfüllen zu können?

Eine gute Prozessdokumentation ist hilfreich. Sie ist jedoch in den meisten Fällen nicht ausreichend, da der Fokus zu wenig auf den Daten liegt. Erforderliche ist eine Systemanalyse, auf der Datenflüsse und Speicher für Daten sichtbar und im unternehmerischen Gesamtkontext verstanden werden.

Anhand der Analyseergebnisse können meine Kunden zusammen mit ihrem Datenschutzbeauftragten den Bedarf an Maßnahmen festlegen. Als Nebeneffekt sind die Analyseergebnisse eine hervorragende Grundlage für ein Löschkonzept. Die DSGVO verpflichtet zwar nicht, ein Löschkonzept zu erstellen. Es ist aber sehr sinnvoll als Nachweis, dass der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e) DSGVO eingehalten wird. Vorausgesetzt die Löschungen werden in der Praxis auch umgesetzt.

Technische Löschverfahren für personenbezogene Daten

Um diese Fragen geht es:
  • Unter welchen Bedingungen und nach welchen Fristen müssen wo welche Daten gelöscht werden?
  • Welche Abhängigkeiten zwischen den Daten gibt es?
  • Welche Auswirkungen hat ein Löschen auf die Geschäftsprozesse?
  • Welche Software-Lösungen müssen angepasst werden?
  • Welche Qualität haben die Daten?
  • Wie ist das Löschverfahren zu gestalten um ein sicher und nachvollziehbar die gesetzlichen Anforderungen zu erfüllen?

Viele IT-Lösungen sind nicht auf das Löschen von Daten ausgelegt. Gemeinsam mit Ihren IT-Spezialisten und den Prozessverantwortlichen entwickle und spezifiziere ich präzise die Anforderungen an zu implementierende Löschverfahren. Die Herausforderung liegt darin, die Auswirkungen einer Datenlöschung auf die Unternehmensprozesse, die komplex vernetzte IT-Landschaft und die gewachsenen Datenbestände zu erkennen, zu verstehen und angemessen zu berücksichtigen. Der laufende Betrieb darf nicht durch unerwartete Nebeneffekte lahmgelegt werden.

Häufig sind mehrere Dienstleister und interne Organisationseinheiten zu koordinieren. Meine Unterstützung reicht von der Spezifikation über das Begleiten der Entwicklung, Test und Abnahme, bis zum Roll-Out in den operativen Betrieb. Projektplanung und Projektleitung sind weitere Aufgaben.


Kundenstimmen

Mit seinem Bauplan-Konzept hat uns Andreas Bungert ein pragmatisches und wirkungsvolles Mittel an die Hand gegeben, uns schnell und zielgerichtet mit unseren Kunden abzustimmen. Herr Bungert war stets bei Fragen mit fachmännischen und zielgerichteten Auskünften verfügbar. Seine professionelle Art kann ich sehr empfehlen.

Ingo MolitorFounder of Realty of SWFL LLC / CEO Coding Ant Technologies AGRealty of SW FloridaFrankfurt