Umsetzung der EU-DSGVO in Geschäftsprozessen und IT

Besonders in der Dienstleistungswirtschaft spielen personenbezogene Daten eine wichtige Rolle. Sowohl im europäischen als auch im deutschen Datenschutzrecht ist der Zweckbindungsgrundsatz für diese Daten festgeschrieben. Dieser besagt, dass personenbezogene Daten nur für von vornherein festgelegte eindeutige und rechtmäßige Zwecke erhoben werden dürfen. Wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen, sind diese Daten zu löschen. Bei Verstößen drohen drastische Bußgelder.

Als „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“ gibt DIN 66398 Hilfe beim Einstieg in dieses Thema. Datenschutzbeauftragte beraten bei der rechtlichen Bewertung. Bei der Umsetzung der Löschvorgaben stehen Unternehmen jedoch vor einer enormen Komplexität, die sich aus der Vernetzung der involvierten Organisationseinheiten, Prozesse und IT-Systeme ergibt. Eine besondere Herausforderung ergibt sich daraus, dass diese Veränderungen als aufgezwungen und störend empfunden werden.

Ich unterstütze meine Kunden durchgängig von der Analyse des Löschbedarfs bis zur Implementierung der Löschverfahren.

Analyse der Datenerfassung und Speicherung personenbezogener Daten.

Um diese Fragen geht es:
  • Wo und in welchen Prozessen werden welche personenbezogenen Daten erhoben und verwendet?
  • In welchen Systemen werden diese Daten gespeichert?
  • Über welche Wege und Schnittstellen werden Daten ausgetauscht?
  • Zu welchen Zwecken werden die Daten verwendet und welche Rechtsgrundlagen erlauben die Verarbeitung?
  • Was muss getan werden, um die Rechte der Betroffenen erfüllen zu können?

Eine gute Prozessdokumentation ist hilfreich. Sie ist jedoch in den meisten Fällen nicht ausreichend, da der Fokus zu wenig auf den Daten liegt. Der Fokus liegt vielmehr auf einer systemischen Betrachtung auf Prozess- und IT-Ebene, auf der die Datenflüsse und die Speicher für Daten sichtbar und im unternehmerischen Gesamtkontext verstanden werden.

Anhand der Analyseergebnisse können die Verantwortlichen meiner Kunden zusammen mit ihrem Datenschutzbeauftragten den Bedarf an Maßnahmen für die Umsetzung der EU-DSGVO definieren. Als Nebeneffekt sind die Analyseergebnisse eine hervorragende Grundlage für Verzeichnisse der Verarbeitungstätigkeiten, die zwingend zu erstellen sind.

Löschverfahren für personenbezogene Daten

Um diese Fragen geht es:
  • Unter welchen Bedingungen und nach welchen Fristen müssen wo welche Daten gelöscht werden?
  • Welche Abhängigkeiten zwischen den Daten gibt es?
  • Welche Auswirkungen hat ein Löschen auf die Geschäftsprozesse?
  • Welche Software-Lösungen müssen angepasst werden?
  • Welche Qualität haben die Daten?
  • Wie ist das Löschverfahren zu gestalten um ein sicher und nachvollziehbar die gesetzlichen Anforderungen zu erfüllen?

Viele IT-Lösungen sind nicht auf das Löschen von Daten ausgelegt. Gemeinsam mit Ihren IT-Spezialisten und den Prozessverantwortlichen entwickle und spezifiziere ich präzise die Anforderungen an zu implementierende Löschverfahren. Die Herausforderung liegt darin, die Auswirkungen einer Datenlöschung auf die Unternehmensprozesse und auf die komplex vernetzte IT-Landschaft zu erkennen, zu verstehen und angemessen zu berücksichtigen. Der laufende Betrieb darf nicht durch unerwartete Nebeneffekte lahmgelegt werden.

Als Folge der komplexen Vernetzung sind bei der Umsetzung der Löschverfahren meist mehrere Dienstleister und interne Organisationseinheiten zu koordinieren. Dies reicht von der Spezifikation über das Begleiten der Entwicklung, Test und Abnahme, bis zum Roll-Out in den operativen betrieb. Eine Aufgabe, bei der ich Sie ebenfalls unterstütze.


Kundenstimmen

Dr. Bungert ist ein exzellenter Analytiker mit viel Erfahrung auf dem Gebiet der Darstellung der Strukturen hochkomplexer Systeme. Über viele Jahre hinweg durfte ich mich über seine weit überdurchschnittliche fachliche Kompetenz verbunden mit Ausdauer, Gründlichkeit und Liebenswürdigkeit freuen. Er versteht es besser als die meisten Fachleute, aus einem Haufen unscharfer Informationen die wesentlichen Strukturen zu extrahieren und in Form leicht verständlicher Darstellungen festzuhalten. Er war mir ein wichtiger Partner bei der Reifung der Fundamental Modeling Concepts im industriellen Umfeld, insbesondere bei der Modellierung des SAP R/3 Systems.

Prof. Dr.-Ing. Siegfried WendtGründungsdirektor des Hasso-Plattner-InstitutsHasso-Plattner-Institut für Softwaresystemtechnik GmbHPotsdam/Kaiserslautern