Zum Datenschutz gehört auch ein Löschkonzept

Jan 26, 2020Datenschutzpraxis

Datenschutz ist nicht nur eine Datenschutzerklärung

Seit spätestens Mai 2018 sieht man bei jedem Vertragsschluss eine Datenschutzerklärung und auf Internetseiten vermehrt Pop-ups bezüglich Cookies.

Es steht außer Frage, dass diese Dokumente und technischen Maßnahmen zum Datenschutz gehören, jedoch zeigten die letzten Monate eben auch eine andere Seite des Datenschutzen.

Verwaltung bestehender Daten und Löschkonzepte

Ja, Einwilligungen in Verarbeitungen sind wichtig; das Management der Löschung dieser Daten steht jedoch auf der gleichen Stufe. Das nachfolgende Beispiel zeigt sehr deutlich was passieren kann:

Der Datenfriedhof der Deutsche Wohnen SE

Die Leidensgeschichte begann bereits vor Jahren, jedoch wurde erst im Jahr 2017 von der Datenschutzbeauftragten des Unternehmens empfohlen das Archivsystem umzustellen. 

In den Archiven der Deutsche Wohnen SE fanden sich „Jahre alte private Angaben betroffener Mieter“, ohne dass es eine Rechtsgrundlage hierzu gab. Zu diesen archivierten Daten gehörten Selbstauskunftsformulare, SV- und KV-Daten, sowie Gehaltsabrechnungen und Kontoauszüge. Hierbei handelte es sich eindeutig um personenbezogene Daten nach der DSGVO/BDSG.

Im Juni 2017 gab es noch, seitens der Datenschutzbehörde, die Aufforderung das Archivsystem umzustellen. Im März 2019, bei einer zweiten Prüfung der Behörde, wurde jedoch keine Änderung des Archivsystems festgestellt.

Einmal 14,5 Mio. Euro bitte!

Das „kleine“ 14,5 Mio. Euro Bußgeld kam am 30. Oktober 2019. Spätestens jetzt wird die Deutsche Wohnen SE das Archivsystem umstellen.

Was hätte passieren können?

Es liegt auf der Hand, bei einem Cyberangriff hätten Menschen mit genug krimineller Energie eine sehr große Menge von personenbezogenen Daten.

Mit den, in den Archiven der Deutsche Wohnen SE gespeicherten Daten, hätten entsprechende Personen falsche Identitäten annehmen können, Datensätze an Einbrecher verkaufen oder sonstige kriminelle Handlungen vornehmen können.

Über die Höhe der hieraus resultierenden Schäden kann man nur mutmaßen.

Liebe Unternehmer, prüft eure Datenbestände

Im ersten Schritt sollte ich als Unternehmer meinen Datenbestand prüfen.

Leitfragen sind hier:

Darf ich die Daten in meinem Archiv noch haben?

Wie sieht es mit den Löschfrist aus?

Die meisten Unternehmen/Einzelunternehmer besitzen eine Mischung aus Cloud-Speichersystemen und den klassischen Papierordnern. Regelmäßig dürfen die „alten“ Papierordner das größere Problem darstellen, da hier das Verschaffen einer Übersicht einfach mehr Zeit in Anspruch nimmt.

Im zweiten Schritt sollte ich mit die Datenkategorien auflisten.

Anhand der Datenkategorien kann ich bereits eine Grundordnung in mein Archivsystem bekommen. Auch sind es die Datenkategorien, welche mir bei der Auffindung der korrekten Löschfristen helfen.

Im dritten Schritt sollte ich die Löschung prüfen.

Wenn die Aufbewahrungsfrist abgelaufen ist, oder die Löschfrist überschritten ist, kann es trotzdem noch sein, dass ich die Daten aufbewahren muss. Gründe wären z.B. Haftungsthematiken oder ein berechtigtes Interesse.

Hierbei handelt es sich um individuelle Fragen, für welche ich Ihnen keine pauschale Antwort geben kann.

Wie vernichte ich meine Papierdokumente korrekt?

Der sicherste Weg wird eine Datenschutztonne sein, welche von einem zertifizierten Anbieter abgeholt wird. Optional kann ein Dokumentenschredder genutzt werden, der für die beabsichtigte Löschung/Vernichtung zugelassen ist.

Akten, die personenbezogene Daten enthalten, müssen mind. unter Sicherheitsstufe 3 vernichtet werden.

Hierzu gehören unter anderem Personaldaten und Bewerbungsunterlagen.

Patientendaten und Kanzleiakten müssen hingegen mit Geräten der Sicherheitsstufe 4 vernichtet werden.

Ich hoffe ich konnte Ihnen mit diesem kurzen Artikel etwas Licht in das Thema bringen. Wenn Sie mehr Unterstützung benötigen oder sich gerne einen Expertenrat einholen möchten, so schreiben Sie uns gerne eine Mail an: kanzlei@privacynow.one

Teilen Sie mir Ihr Anliegen mit und wir finden auch für Sie und Ihr Unternehmen eine passende Lösung. Ich und das Team hinter PrivacyNow steht Ihnen gerne jederzeit zur Verfügung.

Bartlomiej Zornik

Dipl. Jurist & Datenschutzbeauftragter

Kanzleianschrift

Anwaltskanzlei Van Velzen
Wilhelmsstr. 27, 34117 Kassel

Sprechzeiten

Mo. – Fr. 11:00 – 14:00 Uhr *

*und nach Vereinbarung

Tel. & Mail

0561 93715299

Kanzlei@PrivacyNow.one