Go to Top

DSGVO beim Löschen von Daten aus Unternehmensumgebungen einhalten

Wie Sie sicherstellen, dass Sie beim Löschen von Daten aus Unternehmensumgebungen die DSGVO einhalten

Mit Einführung der DSGVO 2018 sahen sich die Unternehmen gezwungen, ihre Richtlinien zur Datenlöschung genauestens unter die Lupe zu nehmen. Die DSGVO ist mehr als nur das Recht, vergessen zu werden. Sie gilt auch für die Verhinderung von Datenlecks durch Unternehmen, die innerhalb der Europäischen Union oder von außerhalb mit einem EU-Unternehmen Geschäfte tätigen. In Bezug auf die richtigen Datenlöschmethoden scheint es jedoch nach wie vor große Verwirrung zu geben, sodass Unternehmen weiterhin dem Risiko von Datenschutzverletzungen ausgesetzt sind. In diesem Blog erfahren Sie, wie Sie sicherstellen können, dass Ihr Unternehmen bei der Löschung von Daten aus aktiven Umgebungen vorschriftenkonform handelt.

Artikel 32

In Artikel 32 der DSGVO steht, dass Unternehmen „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ einführen müssen. Die Implementierung eines ordnungsgemäßen Verfahrens gilt jedoch nicht nur für die Datenverarbeitung, sondern auch für den Auswahl- und Beschaffungsprozess der verwendeten IT-Lösungen (Soft- und Hardware).

Jeder IT-Verantwortliche in den Unternehmen sollte inzwischen alle erforderlichen Maßnahmen ergriffen haben, um sicherzustellen, dass keine personenbezogenen Daten außerhalb des Unternehmens offengelegt werden können. Dies sind einige der Schritte, die von der DSGVO vorgeschrieben werden:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  • Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Hier ein weiterer kritischer Punkt, der durch Artikel 32 umgesetzt wurde:

„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.“

Artikel 32 verlangt also, dass Unternehmen beim Einsatz von Technologien, die personenbezogene Daten enthalten, sämtliche Risiken berücksichtigen. Bevor ein Unternehmen vertrauliche Daten auf Datenträgern speichert, muss ein verantwortlicher Mitarbeiter eine Datenschutzfolgenabschätzung vornehmen, um die Risiken für die (Daten-)Rechte von Personen festzustellen.

Alle Datenlecks, die in einem Unternehmen auftreten, müssen innerhalb von 72 Stunden nach Auftreten gemeldet werden. Wird dies versäumt, drohen empfindliche Geldstrafen. Gleiches gilt bei der unbefugten Verwendung personenbezogener Daten. So können entweder Bußgelder in Höhe von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes verhängt werden (je nachdem, welcher Wert höher ist).