Datenschutz ist nicht nur eine Datenschutzerklärung
Seit spätestens Mai 2018 sieht man bei jedem Vertragsschluss eine Datenschutzerklärung und auf Internetseiten vermehrt Pop-ups bezüglich Cookies.
Es steht außer Frage, dass diese Dokumente und technischen Maßnahmen zum Datenschutz gehören, jedoch zeigten die letzten Monate eben auch eine andere Seite des Datenschutzen.
Verwaltung bestehender Daten und Löschkonzepte
Ja, Einwilligungen in Verarbeitungen sind wichtig; das Management der Löschung dieser Daten steht jedoch auf der gleichen Stufe. Das nachfolgende Beispiel zeigt sehr deutlich was passieren kann:
Der Datenfriedhof der Deutsche Wohnen SE
Die Leidensgeschichte begann bereits vor Jahren, jedoch wurde erst im Jahr 2017 von der Datenschutzbeauftragten des Unternehmens empfohlen das Archivsystem umzustellen.
In den Archiven der Deutsche Wohnen SE fanden sich „Jahre alte private Angaben betroffener Mieter“, ohne dass es eine Rechtsgrundlage hierzu gab. Zu diesen archivierten Daten gehörten Selbstauskunftsformulare, SV- und KV-Daten, sowie Gehaltsabrechnungen und Kontoauszüge. Hierbei handelte es sich eindeutig um personenbezogene Daten nach der DSGVO/BDSG.
Im Juni 2017 gab es noch, seitens der Datenschutzbehörde, die Aufforderung das Archivsystem umzustellen. Im März 2019, bei einer zweiten Prüfung der Behörde, wurde jedoch keine Änderung des Archivsystems festgestellt.
Einmal 14,5 Mio. Euro bitte!
Das „kleine“ 14,5 Mio. Euro Bußgeld kam am 30. Oktober 2019. Spätestens jetzt wird die Deutsche Wohnen SE das Archivsystem umstellen.
Was hätte passieren können?
Es liegt auf der Hand, bei einem Cyberangriff hätten Menschen mit genug krimineller Energie eine sehr große Menge von personenbezogenen Daten.
Mit den, in den Archiven der Deutsche Wohnen SE gespeicherten Daten, hätten entsprechende Personen falsche Identitäten annehmen können, Datensätze an Einbrecher verkaufen oder sonstige kriminelle Handlungen vornehmen können.
Über die Höhe der hieraus resultierenden Schäden kann man nur mutmaßen.
Liebe Unternehmer, prüft eure Datenbestände
Im ersten Schritt sollte ich als Unternehmer meinen Datenbestand prüfen.
Leitfragen sind hier:
Darf ich die Daten in meinem Archiv noch haben?
Wie sieht es mit den Löschfrist aus?
Die meisten Unternehmen/Einzelunternehmer besitzen eine Mischung aus Cloud-Speichersystemen und den klassischen Papierordnern. Regelmäßig dürfen die „alten“ Papierordner das größere Problem darstellen, da hier das Verschaffen einer Übersicht einfach mehr Zeit in Anspruch nimmt.
Im zweiten Schritt sollte ich mit die Datenkategorien auflisten.
Anhand der Datenkategorien kann ich bereits eine Grundordnung in mein Archivsystem bekommen. Auch sind es die Datenkategorien, welche mir bei der Auffindung der korrekten Löschfristen helfen.
Im dritten Schritt sollte ich die Löschung prüfen.
Wenn die Aufbewahrungsfrist abgelaufen ist, oder die Löschfrist überschritten ist, kann es trotzdem noch sein, dass ich die Daten aufbewahren muss. Gründe wären z.B. Haftungsthematiken oder ein berechtigtes Interesse.
Hierbei handelt es sich um individuelle Fragen, für welche ich Ihnen keine pauschale Antwort geben kann.
Wie vernichte ich meine Papierdokumente korrekt?
Der sicherste Weg wird eine Datenschutztonne sein, welche von einem zertifizierten Anbieter abgeholt wird. Optional kann ein Dokumentenschredder genutzt werden, der für die beabsichtigte Löschung/Vernichtung zugelassen ist.
Akten, die personenbezogene Daten enthalten, müssen mind. unter Sicherheitsstufe 3 vernichtet werden.
Hierzu gehören unter anderem Personaldaten und Bewerbungsunterlagen.
Patientendaten und Kanzleiakten müssen hingegen mit Geräten der Sicherheitsstufe 4 vernichtet werden.
Ich hoffe ich konnte Ihnen mit diesem kurzen Artikel etwas Licht in das Thema bringen. Wenn Sie mehr Unterstützung benötigen oder sich gerne einen Expertenrat einholen möchten, so schreiben Sie uns gerne eine Mail an: kanzlei@privacynow.one