Die EU-Datenschutz-Grundverordnung (EU-DSGVO) enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Sie schützt die Grundrechte und Grundfreiheiten natürlicher Personen vor Bedrohungen, die sich aus der elektronischen Datenverarbeitung ergeben können.
Zudem stellt sie dabei sich dass der freie Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten wird. So weit, so klar, so sinnvoll. Das Gesetz trat am 25. Mai 2016 in Kraft und 2018 auf den Tag genau zwei Jahre später kommt es verbindlich zur Anwendung. Mit möglicherweise drastischen finanziellen Konsequenzen im Falle einer Nichtbeachtung.
Höhere Verantwortung und Rechenschaftspflicht
Die EU-DSGVO führt zu einer höheren Verantwortung für Unternehmen im Rahmen des Speicherns und der Verarbeitung personenbezogener Daten. Dies gilt etwa im Hinblick auf die Datensicherheit oder umfangreichere Rechenschaftspflichten. Damit können teilweise gewaltige Herausforderungen verbunden sein, die es zu meistern gilt. Beispiele dafür sind aus technologischer Sicht etwa die softwaregestützte Datenarchivierung oder das Information Lifecycle Management (ILM).
Es geht dabei um den Lebenszyklus der personenbezogenen Daten und die zentralen Fragen: Wie lange dürfen diese Informationen im Rahmen ihrer Zweckbestimmung genutzt werden? Wann endet der Verarbeitungszweck? Wann können die Daten gelöscht werden? Aber auch wann sie nur gesperrt werden dürfen, weil sie zum Beispiel anderen gesetzlichen Aufbewahrungsfristen unterliegen.
Das gilt für Rechnungen, Bestellungen, Steuerdaten, Krankendaten, Lieferungen, Personaldaten oder kurz: für sämtliche personenbezogenen Daten. Dabei können die Unternehmen ihre Regeln im Rahmen der Zweckbindung und gesetzlichen Aufbewahrungspflichten weitestgehend selbst definieren, wie lange sie welche Daten vorhalten und wann diese gelöscht oder gesperrt werden müssen.
Um dafür die notwendigen Voraussetzungen zu schaffen, sind gewisse Grundlagen erforderlich. Wer also noch nicht begonnen hat, sich mit der EU-DSGVO intensiver zu beschäftigen, sollte dringend anfangen, sich einzuarbeiten.
Wichtig dabei ist zum Beispiel, sich darüber klar zu sein, dass der Datenschutz kein reines IT-Thema ist. Da müssen ganz unterschiedliche Abteilungen zusammenarbeiten, die zum Teil ihren ganz eigenen Blick auf die Thematik haben.
Es gilt daher, intensiv zu ermitteln, welche Daten vorhanden sind, welche Fristen und Regeln für deren Verarbeitung gelten und wie diese dann von der IT umzusetzen sind. Dabei liegt der weit größere Teil der Aufgaben bei der Entwicklung eines solchen Regelwerks außerhalb der IT-Abteilung. Die EU-DSGVO fordert das ganze Unternehmen - ein weiterer Grund, warum die Zeit bis zum 25. Mai 2018 schnell knapp werden kann.
Das Ende der Zweckbestimmung
Um zu klären, welche einzelnen Schritte vom Sperren bis zum Löschen im Information Lifecycle Management zu beachten sind, kann ein konkretes Beispiel helfen: Ein Kunde wird im SAP-System angelegt und die Belege über einen Kauf, eine Rechnung etc. sind gebucht. Der Prozess ist abgeschlossen und längere Zeit gab es von diesem Kunden keine Folgeprojekte.
Damit ist das Ende der Zweckbestimmung (end of purpose) eingetreten und die Daten könnten eigentlich gelöscht werden. Da durch den Kundenprozess jedoch auch Belege zum Beispiel in der Finanzabteilung angefallen sind und dort andere, längere Aufbewahrungsfristen greifen können, sind die entsprechenden Daten zu sperren.
Der Kunde kann individuell definieren, wie lange der jeweilige Datensatz nach dem End of Business gespeichert werden muss, bevor er gelöscht wird (Residenzzeit). Das End of Business bestimmt der Kunde. Es kann im Abschluss des Geschäftsvorfalls oder zeitlich danach liegen, weil die Daten ggf. für die Erstellung des Jahresabschlusses oder eines sonstigen Financial Reportings erforderlich sind. Erst danach werden die Daten gesperrt. Zudem lässt sich definieren, welche User die Daten eines gesperrten Kunden mittels Sonderberechtigung trotzdem einsehen dürfen.
Die Daten bleiben beispielsweise bis zum Jahresabschluss offen, danach werden sie für die normalen Benutzer gesperrt und bei Bedarf für den Wirtschaftsprüfer per Berechtigungskonzept wieder freigeschaltet - über die nächsten zehn Jahre, falls notwendig.
Die Berechtigungen lassen sich auch ganz gezielt für Personaldaten, finanzwirtschaftliche Belege, Verkaufsbelege und so weiter vergeben, auf die dann ausschließlich der Prüfer zugreifen kann.
Gelöscht ist definitiv gelöscht
Ist dann der Punkt gekommen, an dem keine Anforderungen oder Fristen mehr berücksichtigt werden müssen, kann gelöscht werden. Aber Vorsicht: Wenn etwas gelöscht wurde, ist es auch definitiv weg. Dabei ist zu bedenken, dass selbstverständlich auch Kopien oder entsprechende Daten aus angeschlossenen Zusatzsystemen zu löschen sind.
Das Beispiel zeigt, wie schwierig und komplex die Arbeit sein kann, die entsprechenden Speicher- und Löschregeln zu definieren und kontinuierlich auf ihre Aktualität hin zu prüfen.
Lesetipp: Unternehmen nehmen DSGVO auf die leichte Schulter
Schwierig und komplex
Wer nun glaubt, mehr als Sperren und Löschen kommt nicht auf ihn zu, der irrt. Darüber hinaus sind noch weitere Dinge gesetzlich geregelt wie das Auskunftsrecht (das ebenfalls mittels Information Retrieval Framework gelöst werden kann), das Berechtigungskonzept und das physische Zugriffskontrollrecht. Außerdem das Recht, persönliche Daten von einem Anbieter zurückzufordern, wenn zu einem anderen gewechselt werden sol.
Oder auch, dass ein Kunde im Vorfeld darüber informiert werden muss, dass jemand seine Daten sammelt, warum er das tut und für wie lange. Und schließlich muss sichergestellt werden, dass die über eine Person gespeicherten Daten aktualisiert werden, falls sie sich verändert haben, wie zum Beispiel die Adresse.
Man sieht an den Beispielen, die Umsetzung der DSGVO ist eine schwierige und komplexe Arbeit. Umso wichtiger sind zielführende Informationen zum Thema
Die EU-DSGVO klopft bereits an die Tür. Ihre Einführung und Umsetzung im Unternehmen ist ein Projekt mit erheblichen Aufwand, und einen Hinterausgang, durch den man entkommen könnte, gibt es leider nicht.
Glossar
Personenbezogene Daten: Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen
Sperren: Eine Methode, den Zugriff auf Daten zu unterbinden, die nicht mehr im Rahmen der ursprünglichen Zweckbestimmung verarbeitet werden
Löschen: Die unumkehrbare Unkenntlichmachung gespeicherter personenbezogener Daten
Aufbewahrungsfrist: Festgelegter Zeitraum, in dem Daten nicht gelöscht werden dürfen.
Zweck: Der in der Regel rechtliche Grund bzw. das betriebswirtschaftliche Ziel, zu dessen Erreichung die Verarbeitung personenbezogener Daten erforderlich ist.
End of Business: Das Ende des Primärzwecks, zu dem die personenbezogenen Daten erhoben und verarbeitet worden sind. Gegebenenfalls der Beginn der Speicherung zum Zweck der Erfüllung gesetzlicher Aufbewahrungsfristen. Wie lange diese beträgt, kann der Kunde in den Information-Retention-Manager-Regeln (IRM) individuell festlegen.
End of Purpose: Eine technische Methode, um für Daten den Zeitpunkt zu ermitteln, ab dem eine Verarbeitung nicht mehr im Rahmen der ursprünglichen Zweckbestimmung erfolgt und die Daten gesperrt werden müssen.
Sperren auf dreierlei Art
Datenschutzrechtliches Sperren:
Sperren ist eine Methode, die Verarbeitung personenbezogener Daten so einzuschränken, dass sie für Nutzer nicht mehr zugreifbar sind und in keiner Weise weiterverarbeitet oder verändert werden können. Diese Beschränkung muss unmissverständlich kenntlich gemacht werden. (Datenschutz-Grundverordnung Erwägungsgrund 67)
Betriebswirtschaftliches Sperren:
Betriebswirtschaftliches Sperren umfasst Vorgänge der Kennzeichnung von Daten (meist Stammdaten), um deren Verarbeitung in definierten Folgeprozessen zu unterbinden. So zum Beispiel eine Liefersperre, um Zahlungsausfälle zu vermeiden
Rechtsfall bedingtes Sperren:
Dies ist eine Methode, um zum Beispiel bei einem anhängigen Gerichtsverfahren beweisrelevante Daten zu kennzeichnen und ihre Löschung zu unterbinden (rw)
Lesetipp: Auf dem Weg zur DSGVO-Compliance