Pra­xis­na­he Umset­zung seit 2013

Ihr Exper­te für Daten­schutz und Informationssicherheit

Löschen von Daten in der DSGVO

Löschen von Daten in der DSGVO: Kön­nen Sie die­se 10 Fra­gen beantworten?

Löschen von Daten in der DSGVO: Der Überblick

Bei der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten stellt sich irgend­wann die Fra­ge: Wann löschen wir die Daten wie­der? Muss unser Unter­neh­men über­haupt löschen? Wer löscht die Daten in wel­chen IT-Sys­te­men und aus wel­chen Akten­ord­nern und sorgt dafür, dass die Daten nicht mehr rekon­stru­iert wer­den? Müs­sen wir das Löschen auf nachweisen?

Die Löschung von Daten aus IT-Sys­te­men und die Ver­nich­tung von Papier­un­ter­la­gen ist ein not­wen­di­ger Pro­zess im gesam­ten Lebens­zy­klus bei der Ver­ar­bei­tung von Infor­ma­tio­nen auf digi­ta­len oder ana­lo­gen Daten­trä­gern, wie zum Bei­spiel Papie­ren, Fil­men, DvDs, Fest­plat­ten oder SSDs.

Wird die Löschung der Daten nicht durch­ge­führt, kön­nen sich zahl­rei­che Bedro­hun­gen und Schwach­stellen erge­ben. Doch die übli­chen Lösch­vor­gän­ge, die über das Betriebs­systems von Anwen­dern genutzt wer­den kön­nen, löschen nicht kor­rekt. Daten kön­nen wie­der mit einem gerin­gen Auf­wand rekon­stru­iert wer­den. Daher sind robus­te Ver­fah­ren erforder­lich, um die Daten wirk­sam zu löschen. 

Fol­gen­de Risi­ken kön­nen bei einer fal­schen oder feh­ler­haf­ten Umset­zung beim Löschen von Daten entstehen:

  • - Unzu­rei­chen­de oder über­mä­ßi­ge Löschung von Daten
  • - Unstim­mig­kei­ten im IT-Sys­tem auf­grund feh­ler­haf­ter Datenlöschung
  • - Min­de­rung der Daten­qua­li­tät oder Ver­lust durch einen feh­ler­haf­ten sys­tem­über­grei­fen­den Löschprozess 
  • - Kei­ne, ver­spä­te­te oder unzu­rei­chen­de Bear­bei­tung von Lösch­ge­su­chen betrof­fe­ner Personen 
  • - Miss­ach­tung ande­rer Rechts­vor­schrif­ten durch vor­ei­li­ge oder ver­spä­te­te gesetz­lich vor­ge­ge­be­ne Löschfristen

Wie Sie sehen, ist das The­ma sehr umfang­reich. Wel­che Auf­ga­ben Sie im Unter­neh­men umset­zen müs­sen — auf die­ser Sei­te erfah­ren Sie Ant­wor­ten auf fast alle Fragen.

Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine pass­ge­naue Umset­zung neh­men Sie ger­ne Kon­takt auf.

Inhalte 

Löschen von Daten — Definition

Im all­ge­mei­nen Sprach­gebrauch beschreibt der Begriff „Löschen“ das Unzugäng­lichmachen von Daten und umfasst damit prin­zi­pi­ell sowohl rever­si­ble wie auch irre­versible Pro­zes­se. Im jurist­ischen Sin­ne ist Löschen das dauer­hafte “Unkennt­lichmachen” von gespeich­erten personen­­bezogenen Daten mit­tels geeig­ne­ter Pro­zes­se, die vom irrever­siblen Unzugäng­lich­machen ein­zel­ner Daten bis zur physi­kalischen Zer­stö­rung des gesam­ten Daten­trä­gers (Ver­nich­ten) reichen. 

Fol­gen­de Begrif­fe spie­len beim Löschen von Daten in der DSGVO eine Rol­le. Ken­nen Sie alle Begriff­lich­kei­ten und nut­zen Sie die­se ein­heit­lich im Unternehmen?

Auf den ers­ten Blick sehen Sie schon, dass es nicht damit getan ist, eine Spei­cher­dau­er im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten anzugeben.

Beach­ten Sie mög­li­che Sanktionen!

Was ist, wenn die Daten­ver­ar­bei­tung durch eine Auf­sichts­be­hör­de Ihre Geschäfts­pro­zes­se unter­sagt oder Geld­bu­ßen auf­er­legt werden?

Die Höhe vari­iert sicher­lich von Unter­neh­men und dem Risi­ko der Ver­ar­bei­tung, aber Ver­feh­lun­gen kön­nen schnell recht teu­er wer­den (2% vom Vorjahres­umsatz oder 10.000.000 Euro, je nach­dem was höher ist). Aber so weit wird es hof­fent­lich nicht kommen. 

Die Höhe vari­iert sicher­lich von Unter­neh­men und dem Risi­ko der Ver­ar­bei­tung, aber Ver­feh­lun­gen kön­nen schnell recht teu­er wer­den (2% vom Vorjahres­umsatz oder 10.000.000 Euro, je nach­dem was höher ist).

In den ver­gan­ge­nen Mona­ten gab es diver­se Buß­gel­der auf­grund feh­len­der Kon­zep­te im Bereich Löschen von Daten, die jedoch noch nicht alle rechts­kräf­tig sind.

Den­ken Sie an die Nachweispflichten!

Ohne die Erstel­lung eines Lösch­kon­zep­tes kön­nen Sie die Nachweis­pflichten der DSGVO nicht erfül­len. Die Prü­fung, ob das Lösch­kon­zept auch alle Aspek­te berück­sich­tigt, ist daher erforderlich. 

10 Prüf­fra­gen für die Geschäftsleitung

Fra­gen Sie sich als Ver­tre­tung der Geschäfts­lei­tung: Machen wir im Daten­schutz und beim Löschen von Daten alles rich­tig? Dann stel­len Sie Ihrem Per­so­nal oder dem Datenschutz­beauftragten die fol­gen­den Fra­gen und las­sen sich ent­spre­chen­de Nach­wei­se vorlegen.

compliance-im-datenschutz

In den meis­ten Fäl­len fin­det man in Unter­neh­men jedoch weder eine Doku­men­ta­ti­on über das Löschen, noch eine Anleh­nung an Stan­dards, wie z. B. IT-Grund­schutz, das SDM-Modell oder der DIN6639. Kein Wun­der, denn für die Erstel­lung eines Lösch­kon­zep­tes muss man sich sehr inten­siv mit die­sem The­men auseinandersetzen.

Mein Tipp: Suchen Sie sich einen Exper­ten, der sich mit der Erstel­lung von Lösch­kon­zep­ten aus­ein­an­der­ge­setzt hat.

Sie ken­nen das The­ma bereits und wol­len mehr Details wis­sen? Hier erhal­ten Sie mehr Infor­ma­tio­nen zum The­ma Löschen von Daten

Sie wol­len in 4 Schrit­ten ein Lösch­kon­zept in Ihrem Unter­neh­men umset­zen? Fin­den Sie hier wei­te­re Informationen.

Sie wün­schen eine direk­te Kontakt­aufnahme und haben Fra­gen zum Löschen von Daten, die ggf. schnell beant­wortet wer­den können?

Typi­sche Ver­ar­bei­tungs­tä­tig­kei­ten im Unternehmen 

In jedem Unter­neh­men wer­den per­so­nen­be­zo­ge­ne Daten  verarbeitet.Diese müs­sen auch irgend­wann gelöscht wer­den. Das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten dient als ers­te Anlauf­stel­le. Wel­che Ver­ar­bei­tungs­tä­tig­kei­ten haben Sie in Ihrem Unter­neh­men im Ein­satz? Hier fin­den Sie eine Aus­wahl typi­scher Ver­ar­bei­tungs­tä­tig­kei­ten, deren Daten auch nach Zweck­ent­fall wie­der gelöscht wer­den müssen.

In 4 Schrit­ten zur Umset­zung eines Löschkonzeptes

Nach­fol­gend zei­ge ich Ihnen die 4 Schrit­te, wie Sie das The­ma „Löschen von Daten“ im Unter­neh­men umset­zen und aktu­ell hal­ten können.

Schritt 1: Holen Sie einen Spe­zia­lis­ten an Bord – schnel­ler geht es nicht.

Vor­weg: Das The­ma der Löschen von Daten kann je nach Unter­neh­men ein sehr umfang­rei­ches The­ma sein. Die DSGVO gibt nur wenig kon­kre­te Hin­wei­se, was Unter­neh­men in die­sem Bereich beach­ten müssen. 

Das ist auch nach­voll­zieh­bar, weil Pro­zes­se in jedem Unter­neh­men unter­schied­lich sind und die Tech­nik sich stän­dig wei­ter­ent­wi­ckelt. Die fol­gen­den Fra­gen erge­ben sich schon beim Anfang:

Zunächst holen Sie sich einen Spe­zia­lis­ten, der sich seit vie­len Jah­ren per­ma­nent mit dem Löschen von Daten in der DSGVO beschäf­tigt. Mit einem gerin­gen Zeit­auf­wand bei Ihren inter­nen Fach­bereichen und exter­nen Dienst­leis­tern wer­den die erforder­lichen Infor­ma­tio­nen abge­fragt, um einen ers­ten Über­blick zu erstel­len. Zunächst ist eine Bestands­auf­nah­me erfor­der­lich, um die Daten­ver­ar­bei­tung im Unter­neh­men zu ver­ste­hen. Dann wer­den die ver­wen­de­ten ana­lo­gen und digi­ta­len Infor­ma­ti­ons­sys­te­me, exter­ne Dienst­leis­ter sowie die jewei­li­gen Ansprech­part­ner zugeordnet.

Beach­ten Sie das Risi­ko für die betrof­fe­nen Personen!

Die Inten­si­tät der Umset­zung eines Lösch­kon­zep­tes ist abhän­gig von der Kom­ple­xi­tät der Ver­ar­bei­tung und dem Risi­ko für die Rech­te und Frei­heiten der betrof­fe­nen Per­so­nen. Das Wis­sen für die Erstel­lung von fachge­recht erstell­ten Kon­zep­ten soll­ten Sie nicht durch inter­ne Beschäf­tig­te oder durch exter­ne Dienst­leister ohne Unter­stützung erstel­len. Die­se Erfah­rung ist neben­beruflich nur schwer zu erlangen.

Eine gute Pla­nung ist notwendig!

Grund­sätz­lich sind fol­gen­de Punk­te im ers­ten Schritt umzusetzen:

  1. Bestim­men Sie einen Pro­jekt­lei­ter für das Pro­jekt „Löschen von Daten“, der die not­wen­di­gen fach­li­chen und per­sön­li­che Kennt­nis­se im Pro­jekt­ma­nage­ment, Manage­m­ent­wis­sen, Pro­duk­te, Dienst­leis­tung, Pro­zes­se, Aus­dau­er und Belast­bar­keit, ganz­heit­li­che und nach­hal­ti­ge Denk­wei­se oder zwi­schen­mensch­li­che und kom­mu­ni­ka­ti­ve Fähig­kei­ten mit bringt.
  2. Defi­nie­ren Sie im Unter­neh­men Ihre Erwar­tun­gen sowie die Aspek­te Pro­jekt­dau­er, Ter­mi­ne, Kos­ten, Inhalt, Umfang und Qua­li­tät der Ergebnisse.
  3. Defi­nie­ren Sie da Pro­jekt­team in Zusam­men­ar­beit mit dem Projektleister
  4. Defi­nie­ren Sie die Vor­ge­hens­wei­se und Art der Doku­men­ta­ti­on.
  5. Las­sen Sie einen Pro­jekt­plan erstel­len, aus dem die Auf­ga­ben, Abläu­fe, Ter­mi­ne, Kapa­zi­tä­ten, Kom­mu­ni­ka­ti­on, Qua­li­tät und Risi­ken hervorgehen.

Schritt 2: Lösch­kon­zept, Inven­tur und Fest­le­gung der Löschregeln

Nach der Pla­nung des Pro­jek­tes erfolgt je nach Ablauf­plan die Pha­se der Inven­tur der Infor­ma­tio­nen, die zur Erstel­lung und Umset­zung eines Lösch­kon­zep­tes erfor­der­lich sind. Die fol­gen­den Schrit­te haben sich in der Pra­xis bewährt.

  1. Erstel­len und kom­mu­ni­zie­ren Sie ein über­grei­fen­des Lösch­kon­zept
    In die­sem Lösch­kon­zept wird u. a. die gene­rel­le Vor­ge­hens­wei­se dar­ge­stellt, ver­wen­de­te Begriff­lich­kei­ten für das gesam­te Unter­neh­men erklärt, die Rol­len und Ver­ant­wort­lich­kei­ten und Art und Umfang der Doku­men­ta­ti­on fest­ge­legt. Das Lösch­kon­zept wird im Pro­jekt­team prä­sen­tiert, Auf­ga­ben wer­den ver­teilt und das Pro­jekt wird offi­zi­ell gestar­tet. Der Pro­jekt­lei­ter beglei­tet die unter­schied­li­chen Fach­be­rei­che gem. Pro­jekt­pla­nung mit den fol­gen­den Schritten.
  2. Iden­ti­fi­zie­ren Sie per­so­nen­be­zo­ge­ne Daten der Daten / Daten­ka­te­go­rien 
    Das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten des Fach­be­rei­ches gilt meist als Ein­stieg in die The­ma­tik. Doku­men­tiert wer­den soll­te sepa­rat die Kate­go­rien von (beson­de­ren) per­so­nen­be­zo­ge­nen Daten, Dau­er der Ver­ar­bei­tung, z. B. gesetz­li­che oder ver­trag­li­che Auf­be­wah­rungs­fris­ten, Anga­ben zum Daten­fluss (Abtei­lun­gen, IT-Sys­te­me, ana­lo­ge Daten­trä­ger) und Schnitt­stel­len (wei­te­re Emp­fän­ger oder IT-Sys­te­me). Die­se Anga­ben bil­den die Basis für die wei­te­re Vorgehensweise.
  3. Zusam­men­fas­sung
    Fas­sen Sie glei­che Daten­ka­te­go­rien und Lösch­fris­ten zusam­men. Über­le­gen Sie, ob eine Glie­de­rung von Ver­ar­bei­tungs­tä­tig­kei­ten, die von Ihnen oder von Auf­trags­ver­ar­bei­tern erbracht wer­den, Sinn ergibt, um die Anzahl der Lösch­pro­zes­se zu minimieren.
  4. Defi­nie­ren Sie Lösch­re­geln 
    Defi­nie­ren Sie für jede Daten­ver­ar­bei­tung Start­zeit­punk­te, Bear­bei­tungs­pha­sen und Auf­be­wah­rungs­fris­ten. Schau­en Sie, ob Aus­nah­men berück­sich­tigt wer­den müs­sen, z. B. bei offe­nen ver­trag­li­chen oder gesetz­li­chen Themen.
  5. Berück­sich­ti­gen Sie Daten­si­che­run­gen und Archi­vie­rung
    Prü­fen Sie, ob Daten­si­che­run­gen und Archi­vie­run­gen erstellt wer­den und berück­sich­ti­gen Sie die­se im Gesamtkontext.
  6. Berück­sich­ti­gen Sie Son­der­fäl­le
    Berück­sich­ti­gen Sie die Son­der­fäl­le auf Art. 17 DSGVO (z. B. Löschgesuche)
  7. Pro­to­kol­lie­rung der IT-Sys­te­me
    Ver­ges­sen Sie nicht die Pro­to­kol­lie­rung von Daten, die auf­grund der Daten­schutz­kon­trol­le erstellt werden.
  8. Defi­nie­ren Sie Test­läu­fe, die tat­säch­li­che Umset­zung und die Pro­to­kol­lie­rung
    Je nach Lösch­re­gel ist es erfor­der­lich, einen Test­ab­lauf und die tat­säch­li­che Umset­zung durch­zu­füh­ren. Doku­men­tie­ren Sie, wie sicher­ge­stellt wird, dass nur die rich­ti­gen Daten gelöscht wer­den, außer­plan­mä­ßi­ge Löschun­gen mög­lich sind, Rück­si­che­run­gen aus dem Back­up und dem Archiv berück­sich­tigt wer­den und die Löschung (revi­si­ons­si­cher bei Daten mit einem hohen Schutz­be­darf) pro­to­kol­liert wird.
  9. Kon­trol­le durch den Daten­schutz­be­auf­trag­ten
    Wenn bis­lang der Daten­schutz­be­auf­trag­te nicht invol­viert gewe­sen sein, soll­te vor der Umset­zung die Ana­ly­se und Fest­le­gung geprüft wer­den. Fest­stel­lun­gen kön­nen dann noch berück­sich­tigt werden.

Schritt 3: Umset­zung der Löschregeln

Ob manu­el­le und auto­ma­ti­sche Rege­lun­gen ver­wen­det wer­den – nach der Fest­le­gung der Lösch­re­geln erfolgt die Umset­zung. Prü­fen Sie, ob die Lösch­re­geln wirk­sam sind und nicht mehr zu einer Wie­der­her­stel­lung füh­ren können.

Wenn ein Löschen nicht umsetz­bar ist, prü­fen Sie, ob Sie durch wei­te­re Maß­nah­men die Risi­ken für betrof­fe­ne Per­so­nen ein­schrän­ken kön­nen, wie z. B. Ver­nich­tung von Schlüs­seln, Anony­mi­sie­rung, Zugriffs­sper­rung, Pseud­ony­mi­sie­rung oder das Löschen von Referenzen.

Doku­men­tie­ren Sie dann, ob der Lösch­pro­zess erfolg­reich ist, einschl. des Lösch­pro­to­kolls. So wis­sen Sie auch noch in ein paar Mona­ten, was Sie im Bereich der Löschung der Daten gemacht gaben.

Schritt 4: Regel­mäßige Aktual­isierung der Löschkonzepte

Sie müs­sen jetzt noch einen Pro­zess ein­rich­ten, um nach­wei­sen zu kön­nen, dass das Lösch­kon­zept im Untern­he­men aktu­ell blei­ben. Legen Sie sich das The­ma ein­mal im Jahr auf Wie­der­vor­la­ge. Je nach Risi­ko der Ver­ar­bei­tung für die betrof­fe­nen Per­so­nen kön­nen Sie auch fest­le­gen, dass eine Aktua­li­sie­rung für bestimm­te Berei­che nur alle zwei Jah­re erfolgt. 

Ver­än­de­run­gen inner­halb des Kalenderjahres

Sofern sich unter­jäh­rig Infor­ma­ti­ons­sys­te­me, inter­ne und exter­ne Betei­lig­te, Risi­ken oder Unter­neh­mens­zie­le, der Stand der Tech­nik oder sons­ti­ge Rah­men­be­din­gun­gen ändern, ist ggf. eine unter­jäh­ri­ge Anpas­sung der Lösch­re­geln zwin­gend erforderlich.

Wei­te­re Details zum Löschen der Daten

Zie­le im Daten­schutz bei dem Löschen von Daten 

Im Daten­schutz spielt das Löschen von Daten eine beson­de­re Rol­le. Im Lebens­zy­klus der Daten ist der Abschluss der Daten­ver­ar­bei­tung ein wich­ti­ger Schritt, damit kei­ne Daten­fried­hö­fe entstehen.

Für betrof­fe­ne Per­so­nen kön­nen diver­se Nach­tei­le ent­ste­hen, wenn der Ver­ant­wort­li­che der Daten­ver­ar­bei­tung kei­nen Über­blick über die Daten­ver­ar­bei­tung mehr hat und nicht mehr benö­tig­te Daten in ver­schie­de­nen Sys­te­men ohne Grund spei­chert. Fin­den Sie hier die Zie­le von Lösch­kon­zep­ten aus Sicht des Datenschutzes.

Pri­va­cy by Design – Löschen der Daten

Schon bevor Sie per­so­nen­be­zo­ge­ne Daten oder sons­ti­ge Infor­ma­tio­nen ver­ar­bei­ten oder ver­ar­bei­ten las­sen, soll­ten Sie sich fra­gen, wie lan­ge Sie die Daten ver­ar­bei­ten dür­fen und wie Sie die Dau­er begrün­den. IT-Sys­te­me und Pro­zes­se müs­sen so gestal­tet sein, dass der Daten­schutz berück­sich­tigt wird.

Der Vor­gang des Löschens sorgt dafür, dass aus den gelösch­ten Daten selbst mit hohem Auf­wand kei­ne Infor­ma­tio­nen über bestimm­te oder bestimm­ba­re Per­so­nen mehr gewon­nen wer­den kön­nen. Der Infor­ma­ti­ons­ge­halt gelösch­ter Daten darf somit nicht oder nur mit unver­hält­nis­mä­ßig hohem Auf­wand repro­du­zier­bar sein.

Die Löschung einer Infor­ma­ti­on ist erst dann voll­zo­gen, wenn auch kei­ne Kopie (wie z.B. Back­up oder Daten­ar­chiv) mehr bei dem Ver­ant­wort­li­chen oder einem mög­li­chen Auf­trags­ver­ar­bei­ter gespei­chert ist. Die Pflicht zur Löschung betrifft daher nicht nur den akti­ven Daten­be­stand, son­dern auch per­so­nen­be­zo­ge­ne Daten in Sicherungs­kopien.

Soweit Pro­to­koll­da­ten per­so­nen­be­zo­ge­ne Daten ent­hal­ten, unter­lie­gen die­se eben­so der Lösch­pflicht. Schließ­lich ist auch dar­auf zu ach­ten, dass aus ver­ar­bei­tungs­tech­ni­schen Grün­den erzeug­te tem­po­rä­re Daten gelöscht wer­den, soweit die­se nicht ohne­hin ihrer tem­po­rä­ren Natur gemäß vor­her auto­ma­tisch gelöscht werden.

Löschen nach Art. 17 DSGVO: Nach Arti­kel 17 DSGVO sind per­so­nen­be­zo­ge­ne Daten ohne Ver­zö­ge­rung zu löschen, wenn z. B. einer der fol­gen­den Punk­te zutrifft:

Gibt es gesetz­li­che Umset­zungs­fris­ten, wie z. B. beim Infek­ti­ons­schutz­ge­setz oder bei der Abga­ben­ord­nung, sind die Daten unauf­ge­for­dert zu löschen, es sei denn, ein wei­te­res Spei­chern der Daten kann begrün­det werden.

Sie haben Ver­ar­bei­tun­gen mit einem höhe­ren Schutz­be­darf? Dies soll­te sich auch im Lösch­kon­zept wider­spie­geln. Eine gewis­sen­haf­te Pla­nung, Umset­zung und Pro­to­kol­lie­rung stellt sicher, dass die Löschung der Daten fach­ge­recht erfolgt. Der Auf­wand für z. B. Löschung von Gesund­heits­da­ten, bio­me­tri­schen Daten, Daten von Min­der­jäh­ri­gen oder Daten, die dem Berufs­ge­heim­nis gem. § 203 StGB unter­lie­gen wird jedoch deut­lich höher sein.

Beach­ten Sie das Risi­ko bei der Aus­wahl der Löschmethodik

Für die Löschung kom­men, je nach Ver­ar­bei­tung und dem Schutz­be­darf , der Men­ge der zu löschen­den Daten und der Art der Daten­trä­ger ver­schie­de­ne Metho­den in zur Löschung in Betracht. Nicht jede Metho­de ist gleich wirk­sam. Nach­fol­gend fin­den Sie gute und weni­ger gute Bei­spie­le für Lösch­me­tho­den in abstei­gen­der Wirksamkeit.

Bei der Durch­füh­rung der Löschung ist es wich­tig, dass die Daten nicht mehr rekon­stru­iert wer­den kön­nen. Eini­ge Fra­ge­stel­len erge­ben sich in der täg­li­chen Pra­xis. Die­se Infor­ma­tio­nen sind eine her­vor­ra­gen­de Ergän­zung zu den Bau­stei­nen des IT-Grund­schut­zes und dem SDM-Baustein.

Ver­schie­de­ne Ebe­nen der Löschung 

Um ein Löschen von Daten fach­ge­recht zu gestal­ten, sind ver­schie­de­ne Ebe­nen zu betrach­ten, wie die Daten­ebe­ne, die Ebe­ne der Sys­te­me und Diens­te und die Ebe­ne der dazu­ge­hö­ri­gen Pro­zes­se. In der fol­gen­den Über­sicht aus dem SDM-Modell “Löschen und Ver­nich­ten” fin­den Sie ein­zel­ne Merk­ma­le pro Ebe­ne und was dabei zu beach­ten ist.

Löschen von Daten: Begriffsdefinitionen

Legen Sie im Unter­neh­men Begrif­fe zen­tral fest, die von allen Fach­be­rei­chen ein­heit­lich ver­stan­den und abge­wen­det wer­den soll­ten. Nur wenn alle sich an die ent­spre­chen­den Regeln hal­ten, kann ein ganz­heit­li­ches und wirk­sa­mes Lösch­ver­zeich­nis erstellt wer­den. Im fol­gen­den wer­den ein paar Begriff­lich­kei­ten erklärt und mit Bei­spie­len ergänzt

Begriffsdefinitionen

Kon­ti­nu­ier­li­che Verbesserung

Ver­bes­sern bedeu­tet vor­ran­gig Pro­ble­me lösen. Pro­ble­me lösen wie­der­um heißt, Ler­nen und Anpas­sung.  Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situa­ti­on des Unter­nehmens per­ma­nent infra­ge und star­tet im Unter­neh­men einen wieder­kehrenden Regel­kreis zur Verbess­erung der Abläu­fe und Prozesse. 

Auch beim Löschen von Daten gibt es einen ste­ti­gen Ver­bes­se­rungs­pro­zess durch regel­mäßige Aktua­li­sie­run­gen und fes­te Ein­bin­dung im Gestal­tungs­pro­zess von Geschäftsprozessen.

Blei­ben SIe aktuell!

Erstel­len auch Sie einen Regel­kreis, damit Ihr Lösch­kon­zept voll­stän­dig ist, bleibt und gelebt wird, den rich­ti­gen Detail­grad hat und aktu­ell gehal­ten wird.

Sie benö­ti­gen Unter­stüt­zung bei dem „Fun­da­ment des Datenschutzes“ ?

Plan

Fest­le­gung von Art, Umfang und Form des Löschkonzeptes

Do

Umset­zung und Doku­men­ta­ti­on des Lösch­kon­zep­tes, Pla­nung und Prio­ri­sie­rung offe­ner Themen 

Act

Aktua­li­sie­rung und Anpas­sung des Löschkonzeptes

Check

Prü­fung auf Aktua­li­tät und Voll­stän­dig­keit des Löschkonzeptes

Wei­te­re Infor­ma­tio­nen zum Löschen von Daten

Wei­te­re ver­tie­fen­de Infor­ma­tio­nen zum The­ma “Löschen und Ver­nich­ten” fin­den Sie beim Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik und im SDM-Modell der DSK (Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der). Auf die­ser Sei­te wur­den teil­wei­se Infor­ma­tio­nen ent­nom­men und ver­ein­facht dargestellt. 

Quel­len­ver­merk

„Kon­fe­renz der unab­hän­gi­gen Datenschutz­aufsichts­behörden des Bun­des und der Län­der (Datenschutz­konferenz). Ver­än­de­run­gen, Bear­bei­tun­gen, neue Gestal­tun­gen oder sons­ti­ge Abwand­lun­gen der bereit­gestellten Daten sind mit einem Veränderungs­hinweis im Quellen­vermerk zu ver­se­hen. Daten­lizenz Deutsch­land – Namens­nen­nung – Bau­stein Löschen und Ver­nich­ten (www.govdata.de/dl-de/by‑2–0).

Leis­tun­gen

Bei den meis­ten Geschäfts­pro­zes­sen wer­den per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Fin­den Sie hier mei­ne Dienst­leis­tun­gen, die ich Unter­neh­men ver­schie­de­ner Bran­chen und an ver­schie­de­nen Stand­or­ten, wie z. B. im Groß­raum Ham­burg seit vie­len Jah­ren zur Ver­fü­gung stelle. 

Cle­ver sein – das Löschen der dATEN effi­zi­ent und pra­xis­nah umsetzen

Ich unter­stüt­ze Sie bei der Erstel­lung Ihrer Lösch­kon­zep­te. Nut­zen Sie mei­ne mehr­jäh­ri­ge Exper­ti­se, um zügig ein ers­tes Lösch­kon­zept zu erstel­len und auf die ers­te Ver­ar­bei­tungs­tä­tig­keit anzuwenden.

Buchen Sie ein ent­spre­chen­des Modul oder punk­tu­ell zur Unter­stüt­zung. Ich bie­te Ihnen die Doku­men­ta­ti­on in Ihrem Ziel­sys­tem. Nach mei­ner Erfah­rung ist die Inter­view­tech­nik die effi­zi­en­tes­te Metho­de, um zügig zu der ers­ten Ver­si­on zu kom­men. Die Bera­tung kann bei Ihnen vor Ort oder per Video­kon­fe­renz erfol­gen. 

Als Daten­schutz­be­auf­trag­ter ist die Unter­stüt­zung bei der Erstel­lung von Lösch­kon­zep­ten fes­ter Bestandteil.

10 Fra­gen zum Löschen von Daten

Jedes Unter­nehmen, wel­ches per­so­nen­be­zo­ge­ne Daten regel­mä­ßig ver­ar­bei­tet, hat die gesetz­li­che Pflicht, ein für jede Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ein Lösch­kon­zept zu erstel­len und in der Pra­xis umzu­set­zen. Da immer noch viel Unsi­cher­heit in die­sem The­ma besteht, fin­den Sie hier ein paar Ant­wor­ten auf die häu­figs­ten Fra­gen:

Unter­neh­men müs­sen per­so­nen­be­zo­ge­ne Daten so spei­chern, dass sie eine Per­son nur so lan­ge iden­ti­fi­zie­ren kön­nen, wie es für den Ver­ar­bei­tungs­zweck not­wen­dig ist.

 

Wich­tig: Es muss um einen Zweck gehen, der es auch erlaubt, die Daten zu ver­ar­bei­ten. Alle ande­ren vermeint­lichen Zwe­cke füh­ren dazu, die Daten unzu­läs­sig zu ver­ar­bei­ten. Fällt die­ser Zweck weg, etwa weil etwas ver­jährt oder weil das Vertrags­verhältnis endet, sind die Daten zu löschen, wenn kein berech­tig­tes Inter­es­se des Unter­neh­mens oder Drit­ten vor­liegt. Aus­nah­men fin­den Sie oben im Text.

Kein Anspruch auf Löschung besteht grund­sätz­lich dann, wenn die per­so­nen­be­zo­ge­nen Daten (wei­ter­hin) erfor­der­lich sind,

  • - um das Recht auf freie Mei­nungs­äu­ße­rung und Infor­ma­ti­on auszuüben,
  • - um eine recht­li­che Ver­pflich­tung zu erfül­len, die die Ver­ar­bei­tung nach dem Recht der Uni­on oder der Mit­glied­staa­ten, dem der Ver­ant­wort­li­che unter­liegt, erfor­dert, oder
  • - um eine Auf­ga­be wahr­zu­neh­men, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wurde,
  • - um das öffent­li­che Inter­es­se im Bereich der öffent­li­chen Gesund­heit zu wahren,
  • - um Archiv­zwe­cke, die im öffent­li­chen Inter­es­se lie­gen, zu erfül­len, oder
  • - für wis­sen­schaft­li­che oder his­to­ri­sche For­schungs­zwe­cke oder für sta­tis­ti­sche Zwe­cke, oder
  • um Rechts­an­sprü­che gel­tend zu machen, aus­zu­üben oder zu verteidigen.

Das Recht auf Löschung kann ein­ge­for­dert wer­den, wenn die Daten ohne Rechts­grund­la­ge oder unrecht­mä­ßig erho­ben wur­den, nicht mehr benö­tigt wer­den, die Löschung nach dem Uni­ons­recht erfor­der­lich ist, der Daten­nut­zung von der betrof­fe­nen Per­son wider­spro­chen oder eine Ein­wil­li­gung wider­ru­fen wird.

Grund­sätz­lich kön­nen betrof­fe­ne Per­so­nen nach der DSGVO die Löschung ihrer beim Verant­wortlichen gespei­cher­ten personen­bezogenen Daten ver­lan­gen. Aller­dings besteht kein unbe­schränk­ter Lösch­anspruch. Von Geset­zes wegen sind Unter­neh­men dazu ver­pflich­tet, bestimm­te Daten­sätze sechs bzw. zehn Jah­re lang auf­zu­be­wah­ren (z. B. bei steuer­lichen Aufbewahrungs­fristen gem. §257 Handels­gesetzbuch bzw. §47 Abgaben­ordnung). Die Lösch­pflicht gilt nicht, wenn die personen­bezogenen Daten (wei­ter­hin) erfor­der­lich sind, 

  • - um das Recht auf freie Mei­nungs­äu­ße­rung und Infor­ma­ti­on auszuüben,
  • - um eine recht­li­che Ver­pflich­tung zu erfül­len, die die Ver­ar­bei­tung nach dem Recht der Uni­on oder der Mit­glied­staa­ten, dem der Ver­ant­wort­li­che unter­liegt, erfor­dert, oder
  • - um eine Auf­ga­be wahr­zu­neh­men, die im öffent­li­chen Inter­es­se liegt oder in Aus­übung öffent­li­cher Gewalt erfolgt, die dem Ver­ant­wort­li­chen über­tra­gen wurde,
  • - um das öffent­li­che Inter­es­se im Bereich der öffent­li­chen Gesund­heit zu wahren,
  • - um Archiv­zwe­cke, die im öffent­li­chen Inter­es­se lie­gen, zu erfül­len, oder
  • - für wis­sen­schaft­li­che oder his­to­ri­sche For­schungs­zwe­cke oder für sta­tis­ti­sche Zwe­cke, oder
  • um Rechts­an­sprü­che gel­tend zu machen, aus­zu­üben oder zu verteidigen.
 

Gem. Art. 5 Abs. 2 DSGVO ist es erfor­der­lich, nach­wei­sen zu kön­nen, dass Daten gem. Lösch­kon­zept recht­zei­tig und wirk­sam gelöscht werden.

Grund­sätz­lich gibt es dabei kei­ne Vor­ga­ben, Sie soll­ten im Kon­zept pro Lösch­vor­gang notie­ren, wie die Löschung pro­to­kol­liert wird.

 

Es dür­fen in den Pro­to­kol­len auch kei­ne Daten der betrof­fe­nen Per­so­nen vor­han­den sein.

Je höher das Risi­ko für betrof­fe­ne Per­so­nen ist, z. B. bei Gesund­heits­da­ten, des­to wich­ti­ger ist es, revi­si­ons­si­che­re Nach­wei­se zu haben. Die Pro­to­kol­le soll­ten auf jeden Fall nicht zu löschen sein. 

Bei per­so­nen­be­zo­ge­nen Daten mit einen nor­ma­len Schutz­be­darf ist auch denk­bar, dass eine Ein­sicht in dem Sys­tem aus­rei­chend ist, was ein­mal im Jahr pro­to­kol­liert wird.

 

Für nicht-öffent­li­che Unter­neh­men gibt es kei­ne Vor­ga­ben, so dass eine Spei­cher­frist von 3 Jah­ren gem. §31 Ord­nungs­wid­rig­kei­ten­ge­setz ver­tret­bar wäre.

 

Im Bun­des­da­ten­schutz­ge­setz wird im §76 BDSG (Pro­to­kol­lie­rung) fol­gen­de Vor­ga­be gemacht (jedoch nicht für nicht-öffent­li­che Unternehmen)

(1) In auto­ma­ti­sier­ten Ver­ar­bei­tungs­sys­te­men haben Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter min­des­tens die fol­gen­den Ver­ar­bei­tungs­vor­gän­ge zu pro­to­kol­lie­ren: 1. Erhe­bung, 2.Veränderung, 3.Abfrage, 4.Offenlegung ein­schließ­lich Über­mitt­lung, 5. Kom­bi­na­ti­on und 6. Löschung.

 

(2) Die Pro­to­kol­le über Abfra­gen und Offen­le­gun­gen müs­sen es ermög­li­chen, die Begrün­dung, das Datum und die Uhr­zeit die­ser Vor­gän­ge und so weit wie mög­lich die Iden­ti­tät der Per­son, die die per­so­nen­be­zo­ge­nen Daten abge­fragt oder offen­ge­legt hat, und die Iden­ti­tät des Emp­fän­gers der Daten festzustellen.

 

(3) Die Pro­to­kol­le dür­fen aus­schließ­lich für die Über­prü­fung der Recht­mä­ßig­keit der Daten­ver­ar­bei­tung durch die Daten­schutz­be­auf­trag­te oder den Daten­schutz­be­auf­trag­ten, die Bun­des­be­auf­trag­te oder den Bun­des­be­auf­trag­ten und die betrof­fe­ne Per­son sowie für die Eigen­über­wa­chung, für die Gewähr­leis­tung der Inte­gri­tät und Sicher­heit der per­so­nen­be­zo­ge­nen Daten und für Straf­ver­fah­ren ver­wen­det werden.

 

(4) Die Pro­to­koll­da­ten sind am Ende des auf deren Gene­rie­rung fol­gen­den Jah­res zu löschen.

 

(5) Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter haben die Pro­to­kol­le der oder dem Bun­des­be­auf­trag­ten auf Anfor­de­rung zur Ver­fü­gung zu stellen.

Emp­feh­lens­wert ist auf der Bau­stein OPS.1.1.5 Pro­to­kol­lie­rung des IT-Grund­schut­zes des BSI. Hier erhal­ten Sie wei­te­re Infor­ma­tio­nen zum The­ma Protokollierung.

Im Inter­net gibt es eine Viel­zahl von Auf­be­wah­rungs­fris­ten, die jähr­lich auf ein­schlä­gi­gen Web­sei­ten ver­öf­fent­licht werden.

Ich hal­te von sol­chen Lis­ten nicht viel, weil sie nicht immer auf das Unter­neh­men in den Berei­chen pas­sen. Im Rah­men der Aus­ar­bei­tung des Lösch­kon­zep­tes soll­ten Sie sich immer genau anschau­en, ob die Wer­te in dem Lis­ten kor­rekt sind. Bei steu­er­li­chen Fra­ge­stel­lun­gen soll­ten Sie immer Ihre Steu­er­be­ra­tung mit einbinden.

Neh­men Sie die­se Anga­ben in den Lis­ten als Aus­gangs­punkt, um die Anfor­de­run­gen in Ihrem Unter­neh­men noch ein­mal zu prüfen.

- Über­sicht rele­van­ter Auf­be­wah­rungs­fris­ten 2022 – REISSWOLF

- Auf­be­wah­rungs­fris­ten von A — Z — IHK Regens­burg für Ober­pfalz / Kelheim

- Gesetz­li­che Auf­be­wah­rungs­fris­ten mit Rechts­grund­la­gen von A bis Z (Tabel­le) (juraforum.de)

Gesetz­li­che Vor­ga­ben zur Auf­be­wah­rung von Per­so­nal­da­ten wäh­rend des Ver­tra­ges oder nach dem Aus­tritt aus dem Unter­neh­men gibt es über­wie­gend nicht.
 
Hier soll­ten Sie in einem Work­shop eine prag­ma­ti­sche Lösung fin­den, wie die Daten­lö­schung im Unter­neh­men umge­setzt wer­den kann.
Je nach­dem,
  • - wel­che Daten für
  • - wel­che Zwe­cke und aufgrund
  • - wel­cher Rechts­grund­la­ge ver­ar­bei­tet werden,
  • - wel­che IT-Sys­te­me ein­ge­setzt werden,
  • - wie die Auf­bau- und Ablauf­or­ga­ni­sa­ti­on gestal­tet ist,
  • - wel­che digi­ta­len und ana­lo­gen Daten­trä­ger (z. B. Papier-Per­so­nal­ak­te) und
  • - wel­che Emp­fän­ger im Ein­satz sind,

wird das Lösch­kon­zept unter­schied­lich aus­se­hen. Es kann dabei not­wen­dig sein, z. B. Abmah­nun­gen nach einem Jahr aus bestehen­den Per­so­nal­ak­ten zu löschen oder die Per­so­nal­ak­te nach dem Aus­tritt zu ver­schlan­ken und steu­er­lich rele­van­te Unter­la­gen im Archiv zu spei­chern. Ins­be­son­de­re bei dem The­ma “Betrieb­li­che Alters­ver­sor­gung” kann es not­wen­dig sein, Daten auch für Erben dau­er­haft zu spei­chern, um Ren­ten­an­sprü­che aus ver­trag­li­chen Grün­den erfül­len zu können.

In einem Lösch­kon­zept wird unter­neh­mens­in­tern genau gere­gelt, wer wann wel­che Daten (Kun­den­da­ten, Mit­ar­bei­ter­da­ten etc.) zu löschen hat, wo die Daten abge­spei­chert wer­den (in wel­chen Anwen­dun­gen, Back­ups, Tabel­len etc.) und wie die Löschung durch­ge­führt und doku­men­tiert wird.
 
Die Norm DIN 66398 gibt Ihnen dabei eine gute Hil­fe­stel­lung, wenn Sie sich das The­ma selbst erar­bei­ten wol­len. Fol­gen­de Fra­gen soll­ten Sie mit dem Lösch­kon­zept min­des­tens beant­wor­ten können:
 

1.          

Wird aus dem Lösch­kon­zept gene­rell klar, war­um und wann eine Löschung per­so­nen­be­zo­ge­ner Daten erfol­gen muss?

2.      

Wer­den Son­der­fäl­le beim Lösch­kon­zept berücksichtigt?

a)       Ein Betrof­fe­ner macht Gebrauch von sei­nem „Recht auf Ver­ges­sen werden“

b)       Ein Daten­satz wur­de rechts­wid­rig erhoben.

c)       Eine Auf­sichts­be­hör­de ver­langt dies vom Unternehmen.

Das Unter­neh­men kann ver­pflich­tet wer­den, alle Löschun­gen und Ände­run­gen der Daten zu stop­pen, wenn z.B. die steu­er­recht­li­chen Doku­men­te noch in einem aus­ste­hen­den Gerichts­ver­fah­ren benö­tigt werden.

3.      

Bei Auf­trags­ver­ar­bei­tern: Wenn Sie selbst als Auf­trags­ver­ar­bei­ter für ein ande­res Unter­neh­men tätig sind: Bestehen Vor­ga­ben für die Löschung von Daten­sät­zen fest und wer­den die­se in einem Lösch­pro­to­koll doku­men­tiert und dem Ver­ant­wort­li­chen (auf Anfra­ge) übermittelt?

4.      

Wer­den alle Daten­ka­te­go­rien, die in der Verarbeitungs­tätigkeit auf­ge­lis­tet sind, Teil des Löschkonzeptes?

5.      

Wur­den Lösch­re­geln pro Daten­ka­te­go­rien fest­ge­legt? Wie lan­ge wer­den wel­che Daten gespei­chert bzw. wie wird die Frist festgelegt?

6.      

Wur­de die Lösch­frist an eine gesetz­li­che Frist gekop­pelt? Wenn nein, ist die fest­ge­leg­te Lösch­frist ange­mes­sen und nach­voll­zieh­bar begrün­det worden?

7.      

Wur­den Vor­ga­ben für die Umset­zung der Lösch­re­geln fest­ge­legt? Wie wird kon­kret gelöscht?

8.      

Ent­hält das Kon­zept Vor­ga­ben für die Doku­men­ta­ti­on? Wie wird die Löschung dokumentiert?

Bei­spiel: Der Ver­ant­wort­li­che doku­men­tiert die Durch­füh­rung des Lösch­kon­zepts und legt es z.B. in einem DMS (digi­ta­les Archiv) ab.

9.      

Wur­den im Kon­zept Ver­ant­wort­lich­kei­ten fest­ge­legt? Wer ist dafür ver­ant­wort­lich, dass die Löschung durch­ge­führt wird? Wer führt die Löschung ope­ra­tiv durch? Wer prüft, ob die Pro­to­kol­lie­rung umfas­send / kor­rekt und auch durch­ge­führt wor­den ist?

10.  

Wur­de die kon­kre­te Lösch­me­tho­dik der Daten beschrie­ben (Phy­si­sche Ver­nich­tung, Magne­ti­sche Löschung, Tech­ni­sches Überschreiben/Wipen, Löschen nicht flüch­ti­ger elek­tro­ni­scher Spei­cher­me­di­en bei Solid Sta­te Disks, Logi­sche Löschung, Pro­zess für die Löschung)?

11.  

Wur­de tech­nisch sicher­ge­stellt und geprüft, dass die Löschung nicht rück­gän­gig gemacht wer­den kann?

12.  

Sofern Daten zurück­ge­si­chert wer­den kön­nen, wird sicher­ge­stellt, dass die Daten im nächs­ten Lösch­lauf wie­der gelöscht wer­den (Back­up)?

Wird die Daten­si­che­rung / Rück­si­che­rung eben­falls im Lösch­pro­to­koll dokumentiert?

13.  

Wur­den ein Gesamt­lösch­kon­zept defi­niert und ein­heit­li­che Begriff­lich­kei­ten, Stan­dard­lösch­fris­ten und Lösch­me­tho­den über alle Ver­ar­bei­tungs­tä­tig­kei­ten definiert?

14.  

Wur­de der Daten­fluss über ggf. unter­schied­li­che Daten­trä­ger (Ordner/Papier, IT-Sys­te­me, Anwen­dun­gen, Siche­rungs­ko­pien, Ser­ver­lauf­wer­ke, Loka­le Gerä­te, Archiv, Daten­ban­ken, Log­da­tei­en, mobi­le Daten­trä­ger oder Gerä­te, Cloud-Daten, Pri­vat­ge­rä­te) berücksichtigt?

15.  

Sind im Lösch­kon­zept Test­läu­fe durch­ge­führt wor­den, um die Metho­dik zu prü­fen, damit kei­ne Daten unrecht­mä­ßig gelöscht werden?

16.  

Sind Auf­trags­ver­ar­bei­ter und Drit­te im Lösch­kon­zept berück­sich­tigt worden?

17.  

Sofern eine Löschung nicht mög­lich ist, wur­den risi­ko­mi­ni­mie­ren­de Maß­nah­men getrof­fen (z.B. Anony­mi­sie­rung, Pseud­ony­mi­sie­rung, Schlüs­sel­ver­nich­tung, Zugriffs­sper­rung, Referenzlöschung)?

18.  

Wur­den die Beschäf­tig­ten in den Lösch- oder Ver­nich­tungs­pro­zess eingewiesen?

19.  

Ist die Struk­tur der Daten und die Art der Spei­che­rung so gestal­tet, dass das Löschen der Inhal­te ein­zel­ner Daten­fel­der, Daten­sät­ze oder vor­her defi­nier­ter Grup­pen von Daten mit beherrsch­ba­rem Auf­wand mög­lich ist.

Das Löschen muss mög­lich sein, ohne die Inte­gri­tät des ver­blei­ben­den Daten­be­stan­des und ohne beson­de­re Zweck­bin­dungs­re­ge­lun­gen (bspw. von Pro­to­koll­da­ten, die der Daten­schutz­kon­trol­le die­nen) zu beeinträchtigen.

20.  

Wird die Löschung pro­to­kol­liert? Ist sicher­ge­stellt, dass kei­ne unnö­ti­gen Daten im Pro­to­koll ent­hal­ten sind? Wird sicher­ge­stellt, dass das Pro­to­koll nicht mani­pu­liert wer­den kann? (z.B. Logserver)

 

Per­so­nen­be­zo­ge­ne Daten gel­ten dann als gelöscht, wenn die­se nicht mehr rekon­stru­iert wer­den kön­nen und die Ver­ar­bei­tung einer betrof­fe­nen Per­son nicht mehr mög­lich ist. Die Lösch­me­tho­de muss so gewählt wer­den, dass eine Wie­der­her­stel­lung mit ange­mes­se­nem Auf­wand nicht mehr mög­lich ist. Der Auf­wand rich­tet sich dabei am Risi­ko der Ver­ar­bei­tung, der für die Daten zu bestim­men ist. Je höher das Risi­ko ist, des­to siche­rer muss die Lösch­me­tho­de sein.

Die Daten müs­sen rück­stands­los von allen ana­lo­gen und digi­ta­len Daten­trä­gern ent­fernt wer­den. Eine Anony­mi­sie­rung ist eben­falls mög­lich. Es muss jedoch auch hier sicher­ge­stellt wer­den, dass auf­grund ande­rer Infor­ma­tio­nen der Ver­ant­wort­li­che oder ande­re Emp­fän­ger ohne unver­hält­nis­mä­ßi­gen Auf­wand einen Per­so­nen­be­zug wie­der her­stel­len können.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch und las­sen Sie uns über Ihr Lösch­kon­zept sprechen.

kontakt-niehoff-systemberatung

Aktu­el­le News zum The­ma Daten­schutz und Informationssicherheit

In die­sem Bereich fin­den Sie Nach­rich­ten und Hin­ter­grund­in­for­ma­tio­nen zum The­ma Daten­schutz und Infor­ma­ti­ons­si­cher­heit. Sie haben ein The­ma, was einen Bei­trag wert wäre? Mel­den Sie sich gerne.

Was ist, wenn die Daten­ver­ar­bei­tung durch eine Auf­sichts­be­hör­de Ihre Geschäfts­pro­zes­se unter­sagt oder Geld­bu­ßen auf­er­legt werden?