Hier ein klares Ja! Aber wieso muss eigentlich gelöscht werden?
War es früher doch schöner, Speicherplatz war teuer. Man musste stetig auf genug freien Platz achten.
Heute in der digitalen Welt ist der Kostenfaktor für Speicher schon fast lächerlich. Zudem ist aufgrund der Komplexität von
Datenverarbeitungen das Löschen von Daten zu einer Herausforderung geworden.
Und am Ende des Tages?
Die Unternehmen müssen immer mehr auf die Einhaltung von diversen Gesetzen, hier bspw. die DSGVO, achten.
Insbesondere die Beachtung von Betroffenenrechten, hier das „Recht auf Vergessenwerden“ müssen immer mehr im Auge
behalten werden. Somit müssen auch heute Daten regelmäßig gelöscht werden, es ist in der Regel nichts von Dauer.
Was sagt die DSGVO? Sie beschreibt die Löschpflicht anders:
„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur
so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden,
erforderlich ist.“
Und nun die Praxis, die sich, wie in vielen Fällen, von den gesetzlichen Anforderungen mal mehr oder weniger
unterscheidet.
Es ist der Wust der digitalen Daten, der bewältigt werden muss, es ist die Vielzahl der verschiedenen Empfänger und
speichernden Stellen, die beachtet werden müssen und auch die Softwarehersteller, die hier auch noch
Umsetzungsprobleme haben.
Dennoch sind es nur Argumente die vielleicht das Unternehmen beruhigen, aber am Ende nichts bringen. Das
Unternehmen, hier die Geschäftsführung, ist verantwortlich für die Umsetzung der Löschung.
Wie kann das dann gehen?
1. Ein/e Datenschutzbeauftragte/r „nervt“ und unterstützt die Geschäftsführung
2. Ein Fahrplan muss her! Wenn dieser Prozess dokumentiert ist , ist es ein wichtiger Schritt zur Umsetzung. Das
Unternehmen bzw. die Mitarbeiter*innen können sich an etwas halten.
3. Erfassung und Pflege von weiteren Details, wie bspw. welche Daten wo erhoben und verarbeitet bzw. gespeichert
werden. Ergänzt mit der Information, wann diese Daten gelöscht werden müssen.
Aber!
Aber dann muss das Ganze natürlich mit Leben gefüllt und regelmäßig geprüft werden.
Was vielen Unternehmen nicht bewusst ist. Softwarehersteller dürfen keine Software mehr liefern, die diesen Bereich nicht
beachtet. Software ohne Möglichkeit der Löschung ist nicht zulässig.
Selbst das Sperren sollte nicht in Betracht kommen, da es irgendjemand gibt, der diese Sperrung dann doch wieder
aufheben kann. Wenn bspw. kein Löschen möglich ist, dann kann man die Daten anonymisieren. Das Anonymisieren ist
aber keineswegs trivial, denn je höher die Datendichte ist, je schwerer wird die Umsetzung. Und am Ende gibt es dann
doch wieder Lücken, die ein Bußgeld nach sich ziehen.
Hey, wir sind in der digitalen Welt mit den Cyberrisken.
Es kommt täglich vor, dass Unternehmen Opfer einer erfolgreichen Cyber-Attacke geworden sind. Schlimm!
Noch schlimmer ist es aber, wenn dann die erbeuteten Daten, wie bspw. Kunden- oder Personaldaten, im Darknet zum
Kauf angeboten werden. Dann sieht es düster aus und das Unternehmen hat eine schwere Zeit vor sich.
Aufsichtsbehörden?
Diese nutzen eine Darknet-Monitoring-Software, welche denen aufzeigt, ob und welche Daten auftauchen. Schon die
Tatsache, dass es die Daten gibt, ist oftmals mit einem Bußgeld einhergehend. Und, wenn dann noch herauskommt, dass
diese Daten eigentlich nicht mehr da sein dürften, wird es noch einmal teurer.
Und noch eine Schippe obendrauf. Bitte nicht die Möglichkeit des Schadenersatzanspruches durch Betroffene vergessen.
Zweckbindung! Was für ein Zweck?
In Art. 5 Abs. 1 b DSGVO steht, dass personenbezogene Daten nur für „festgelegte“ Zwecke erhoben werden dürfen. Aber
was sind nun diese Zwecke? Das ist je nach Verarbeitung und Ziel unterschiedlich. Personenbezogene Daten im Rahmen
einer Kundevertragsbeziehung sind die Daten, die notwendig sind um den Vertrag zu erfüllen. Je nach Vertrag, hier die
Dienstleistung oder auch der Produktverkauf, sind es andere Daten.
Fakt ist aber, dass es eben nicht mehr Daten sein dürfen als nötig (Stichwort „Datenminimierung“), nur der eine festgelegte
Zweck darf erfüllt werden.
Möchte nun ein Dienstleister, neben der Erfüllung des Dienstleistungsvertrages, den klassischen Newsletter verteilen, wäre
dies ein neuer Zweck. Hierfür benötigt man dann wieder eine Rechtsgrundlage. In dem Fall wäre es die Einwilligung.
Fazit?
Die Unternehmen müssen immer prüfen, ob sie ggf. nicht über das Ziel herausschießen. Auch, wenn es noch so gut
gemeint ist, wie bspw. Gratulationen oder Terminerinnerungen. Diese gut gemeinte Geste kann schnell zu einer
Auseinandersetzung mit Rechtsanwalt und Aufsichtsbehörde führen.
Cyberattacken aus Februar 2023 in Deutschland (Textliche Auszüge aus www.dsgvo-portal.de)
Vorab, es geht hier nicht ums „Angstmachen“. Vielmehr ist das Ziel die Sensibilisierung
→ „So etwas ist ja auch bei uns vorgekommen.“
• Karlsgymnasium Bad Reichenhall
Cyberangriff auf internen Messagingdienst
• Plüsch-Tierheim
Schließung droht nachdem Versandlabel durch Dritte im Wert von über 26000 Euro gedruckt wurden
• Stadtwerke Karlsruhe
Cyberangriff wurde vereitelt.
• Steico
IT-Systeme müssen nach erfolgreicher Cyberattacke wiederhergestellt werden.
Europäische Bußgelder im März 2023? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Inkassounternehmen nutzt Anlegerdaten zur Eigenwerbung
Behörde: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Branche: Inkassounternehmen, Verstoß: Art. 6 Abs. 1 DSGVO, Art. 14 Abs. 1,2 DSGVO
Bußgeld: 3.500 Euro
• Zustimmungsfreie aggressive WerbemaßnahmenBehörde: Federal Trade Commission, Branche:
Behörde: Garante per la protezione dei dati personali (Italien)
Branche: Energiewirtschaft, Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art 6 Abs. 1 DSGVO, Art 7 DSGVO
Bußgeld: 2.450.000 Euro
• Unrechtmäßige Einsicht in Grundbuch
Behörde: Agencia española protección datos (Spanien)
Branche: Notar, Verstoß: Art 6 Abs. 1, 5 DSGVO
Bußgeld: 8.000 Euro
• Anwesenheitskontrollen mittels Videoüberwachung und biometrischen Daten
Behörde: Garante per la protezione dei dati personali (Italien)
Branche: Behörde, Verstoß: Art 5 DSGVO, Art 9 DSGVO
Bußgeld: 5.000 Euro
• Zu weitgehende Erteilung von Berechtigungen
Behörde: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Rumänien)
Branche: Medienunternehmen, Verstoß: Art. 32 Abs. 1 lit. b DSGVO, Art. 32 Abs. 2 DSGVO
Bußgeld: 5.000 Euro
Fazit?
Die Anforderungen gem. der DSGVO sind hoch. Für manche Unternehmen sogar eine sehr hohe Herausforderung
, wie
bspw. bei sehr kleinen Unternehmen. Dennoch sollte die Geschäftsführung immer wieder prüfen, ob man das, was im Kopf
ist, verschriftlichen sollte. Damit ist zwar das Problem nicht gänzlich gelöst, aber man kann darlegen, dass man sich mit
der Bearbeitung und Umsetzung befasst. Eine regelmäßige Prüfung bleibt natürlich Pflicht. Und je größer ein Unternehmen
ist, je größer ist auch die Notwendigkeit dieser Verpflichtung nachzukommen.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!
Anmerkung: Die Nichtnennung der 3 Personalformen (m, w, d) soll keine Diskriminierung darstellen, sondern lediglich die Lesbarkeit/Umfang verbessern.
Neueste Kommentare