Datenlöschen nach DSGVO

Lösch’ die Daten! Sofort! Oder halte sie.

Datenschutz und die Herausforderungen, nach DSGVO zu löschen.

„Wer in der Regierung sitzt, muss Brände sofort löschen. Die Opposition kann über Verbesserungen der Feuerwehr in Ruhe nachdenken.“ (Norbert Blüm)

Ok, mit Bränden hat das „Löschen im Datenschutz“ jetzt nicht direkt etwas zu tun. Allerdings sollten Verbesserungen an der Feuerwehr durchaus berücksichtigt werden – bevor die Rechte vom Betroffenen selbst mit Verwunderung ausgeübt werden.

Warum das wie ein Brand im Unternehmen wirken kann und, was Du konkret tun kannst, findest Du hier in dieser Blog-Serie.

 

Hier wichtige Elemente aus der Verordnung:

Nach Art. 17 DSGVO hat die betroffene Person das Recht, dass personenbezogene Daten unverzüglich gelöscht werden, wenn einer der folgenden Gründe zutrifft:

  1. Die personenbezogenen Daten sind für Zwecke für die sie erhoben worden oder sonstige Weise verarbeitet wurden nicht mehr notwendig.
  2. Die betroffene Person widerruft ihre Einwilligung in die Verarbeitung.
  3. Die betroffene Person liegt gemäß Art. 21 Widerspruch gegen die Verarbeitung ein.
  4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  5. Die Löschung der personenbezogenen Daten ist zu Erfüllung einer rechtlichen Verpflichtung erforderlich.
  6. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste erhoben.

 

Daneben gibt es auch Kriterien, die eine Löschung verhindern, zum Beispiel:

  1. Ausübung des Rechts auf freie Meinungsäußerung.
  2. Um eine rechtliche Verpflichtung zu erfüllen.
  3. Gründen, die im öffentlichen Interesse begründet sind.
  4. Archiv- und Forschungszwecke, welche im öffentlichen Interesse liegen.
  5. Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

 

Das Problem in Unternehmen – aus der Historie

Client Server Systeme

Vor 25 Jahren hatten uns Client–/Server Infrastrukturen massiv beeindruckt. Man konnte Dokumente und Excel Tabellen genauso wie PDFs auf Datei-Server ablegen und diese so wiederfinden, wie man die Struktur vorher geschaffen hatte. Das Einstellen von Zugriffsberechtigungen und das Drucken über das Netzwerk wurden weitere tolle Features. Software konnte eigenständig auf den Arbeitsplatz-PCs installiert werden. So gab es einen Wildwuchs von Softwaren (heute nennen wir sie Apps), Versionsständen, Antivirensoftware, Angriffsziele und viele mehr.

Der Gedanke war: ausdrucken vom Arbeitsplatz aus auf Netzwerkdrucker, Kopien von Papier, Einscannen und im Ablage-System „Dateiserver“ behalten (sicher ist sicher), sichern von Daten, falls das Papier verloren geht.

Eine „Ordnung“ von Dateien und Dateiablagen war, bedingt durch Fluktuation und Umstellung von Systemen, nicht vollends durchdacht.

  • Es gab niemanden, der sich für „Digitalisierung“ verantwortlich fühlte.
  • Es gab keinen Data Owner.
  • Es gab keine Verantwortlichkeit für den Datei-Lebenszyklus.

Das Prinzip war die Chaos-Methodik. So machen, wie man denkt und im Zweifelsfall die Kollegen der IT fragen. Im späteren Verlauf nutzte man die Client-/Server Infrastrukturen auch für die Nutzung von Datenbank Systemen, die über einen lokalen Client als „Frontend“ zu „füttern“ waren.

Selbst das bereits 1999 von Microsoft unter dem Codenamen Tahoe-Server bereitgestellte Dokumentenmanagementsystem (seit 2002 heißt das SharePoint) konnte die Jahre lang festgefahrenen Wege des Ablegens von Dateien in Ordnern  nur schwer ablösen. Es fehlte die Perspektive auf künftiges, einfaches Arbeiten.

Die Motivation war in dieser Zeit: zuverlässige IT. Daten sichern, viele Sicherungen behalten und, perspektivisch, das papierlose Büro als Vision zu äußern.

 

Virtualisierungs-Einzug

Wenige Jahre später kam es zum Virtualisierungs-Gedanken und immer mehr Unternehmen verabschiedeten sich von viel physikalischer Infrastruktur und migrierten auf wenige, jedoch sehr leistungsfähige Server. Schon hier machte man sich Gedanken und Mühen, nach Möglichkeit viele Services zu konsolidieren.

Der Antrieb war klar: man wollte und musste mehr Ausfallsicherheit gewährleisten und anderseits die Effizienz gleichermaßen erhöhen. Schon damals nutzte man Dienste wie DFS (Distributed Filesystem), die im Prinzip Wegbereiter für Cloud-Lösungen waren.

Da man nun nicht mehr komplexe Datensicherungen und Datenwiederherstellungen von zum Beispiel speziellen Datenbank Systemen durchführt, sondern man einfach die gesamte virtualisierte Infrastruktur als Snapshot oder als Datenpaket speichert, können diese Services (virtualisiert) auch an andere Dienstleister übergeben werden, um den Betrieb fortzuführen und dem Kunden die komplexe und technologisch herausfordernde Arbeit abzunehmen. Kostensenkung sind auch hier die primären Treiber. Sich auf das Kerngeschäft zu konzentrieren.

Parallel dazu entwickeln sich bereits Tools, die sich wie kleine unscheinbare Kaulquappen in einem klaren Gewässer hinter Plankton verbergen, wie ICQ (I seek you), Net Meeting, Live-Messenger und viele mehr mit denen man bereits jetzt Video Calls & Chats durchführen kann. Plötzlich „shared“ man Content mit anderen. Bilder, Text, Scans. Das iPhone & Tablets lassen erahnen, das mehr Möglichkeiten & somit auch Veränderungen für unsere Gesellschaft auf dem Weg sind.

 

Cloud-Lösungen für Gegenwart & Zukunft

Leider fehlt zu Beginn das Vertrauen und die Usability in diese Services, da sie nicht für alle gleichermaßen nachvollziehbar und durchaus komplex sind. So nehmen nach und nach private, öffentliche und hybride Cloud-Lösungen Einzug in die Business-DNA & gleichermaßen auch in die IT-Landschaft – immer mit dem Fokus zu konsolidieren, Kosten zu reduzieren und „bessere“ Services anzubieten.

Die Newsletter, einschlägige Online-Magazine und Zeitungen sind gefüllt mit Buzzwords, wie:

Chancen. Risiken. Sicherheitsbedenken. Ausverkauf der IT-Seele. Kostendruck. Schlanke IT. Focus on your Business.

Was hier zu spüren ist, das ist ein unglaublich großer Markt, den Big-Player erreichen wollen, ja sogar müssen. Was hier auch zu spüren ist, das ist eindeutig die Angst vor Veränderung, die Angst davor, dass man seine Daten und quasi sein Herzstück an jemand anderen, an große Player wie Amazon, Google oder Microsoft überträgt oder auch an die kleinen „IT-Buden“ um die Ecke, die RZ-Leistungen bei den großen Playern einkaufen. Werden durch Cloud Computing Arbeitsplätze verloren gehen?

Heute sind Cloud-Dienste nicht mehr wegzudenken. Wir nutzen Microsoft Teams, benutzen Office 365, Google Docs, legen Daten in Dropbox oder nutzen die Amazon-Cloud, um unsere Webdienste hochperformant und nutzungsabhängig skalierbar buchen zu können.

Quasi nebenbei schleichen sich später dann auch Tools wie Facebook oder Twitter ein und diese wiederum bringen auf einmal völlig neue Möglichkeiten der Kommunikation & Zusammenarbeit, einerseits im Austausch von Freunden und Bekannten, aber ebenso bei Familien und Mitarbeitern. Man besucht seine „Freunde“ über das Smartphone. Heute immer noch nicht mehr wegzudenken.

Blind vor Möglichkeiten vermischen sich fortan die Daten – personenbezogene Daten genauso wie Unternehmensdaten. Mit Snapchat, WhatsApp verknüpft sich die ganze Welt mit allen Daten. Manche dieser Dienste werten noch heute diese Daten aus – für ihren ganz eigenen Zweck: Geld & Macht.

 

Glücklich oder Brand?

Und damit sind wir doch eigentlich… ziemlich glücklich, oder?

  • In Corona-Zeiten helfen uns die „Großen“ mit VC-Lösungen. Tablets, Smartphones reichen aus, um mit jedem und jederzeit zu „videotelefonieren“.
  • Cloud-Services ermöglichen eSchooling & Projekt-Management (und sehr, sehr viele mehr).
  • Social Media ermöglicht kontaktlose Begegnungen.

 

Und nun?

Aber wer löscht die Daten, wenn wir einerseits feststellen, dass sich die Art und Weise der Infrastruktur und der Nutzung von Software verändert?

Was ist mit den vielen Alt-Datenbeständen passiert, die aus den Client Server Infrastrukturen hervorgekommen sind? Muss ich die denn auch löschen?

Ist mit Cloud jetzt einfach alles besser und wir müssen uns um nichts mehr kümmern, weil wir ja eine „Auftragsverarbeitung“ abgeschlossen haben?

Wie komme ich überhaupt in den Zustand, dass ich die Anforderungen der DSGVO zum Themenkomplex „löschen“ überblicke und Maßnahmen ableite?

Im nächsten Beitrag erfahrt Ihr, welche Tricks & Kniffe es für das Löschen von Daten nach Art. 17 DSGVO gibt.

Andreas Langendonk
EggSec GmbH
Master-Coach für IT & Datenschutz

Noch Fragen?

Du hast Fragen oder brauchst Hilfe in Bezug auf einen Datenschutzbeauftragten in deiner Firma? Kontaktiere uns wir helfen Dir gerne weiter!

Kontaktiere Uns