Dem Recht auf Löschung nachkommen – Art 17 DSGVO

Lesezeit: ca. 3 Minuten

Obgleich die EU-Datenschutzgrundverordnung (DSGVO) bereits am 25.05.2018 in Kraft gesetzt wurde, sind viele Unternehmen noch immer nicht in der Lage ihre Pflichten zu erfüllen und alle Rechte der Betroffenen zu berücksichtigen.

Eine Studie des auf Datensicherheit spezialisierten Softwareunternehmens Varonis Systems zum Start der DSGVO ergab, dass 63 Prozent der Unternehmen das Recht auf Löschung nach Artikel 17 DSGVO als am problematischsten empfanden.

Thomas Ehrlich, Manager von Varonis, vermutet das Problem nicht beim Löschen selbst, sondern vielmehr dabei, sämtliche Daten überhaupt zu finden.

Wo sind die Daten?

Wie so oft bei den Vorgaben der DSGVO wird es auch bei Löschanfragen den Unternehmen erleichtert, die bereits über fortschrittliche Governance- und Sicherheitsvorgänge verfügen.

Diesen ist es möglich, personenbezogene Daten zu identifizieren und zu klassifizieren. Automatisierte Verfahren zum Erfassen von Datensätzen, sowie von E-Mails und ähnlichem und die ordnungsgemäße Aufbewahrung dieser Daten sind so die entscheidende Grundlage für die Durchführung von Löschungen und anderen Forderungen der Betroffenen.

Bußgelder vermeiden

Weist ein Unternehmen hier Mängel auf, besteht ein immer akuterer Handlungsbedarf, denn es kam bereits zu ersten Bußgeldern in Deutschland, aber auch in ganz Europa. So zahlte ein portugiesisches Krankenhaus eine 400.000-Euro-Strafe wegen eines Datenschutzverstoßes.

Tatsächlich ist der erste Schritt, das Finden bzw. die Identifizierung der personenbezogenen Daten, wohl der komplizierteste und zeitaufwändigste. Ein weiteres Problem ist, dass, auch während eines Suchvorgangs, Daten sich ständig ändern können.

Welche Daten sind überhaupt betroffen?

Der Begriff personenbezogene Daten umfasst einerseits Namen, Adressen, Telefonnummern, Ausweisdaten und Sozialversicherungsnummern. In der Online-Welt kommen jedoch auch Daten, wie E-Mail-Adressen, Nutzernamen, Standorte, IP-Adressen und sogar biometrische Daten dazu.

Generell gilt, alle Daten, die sich in irgendeiner Form mit einer Person in Verbindung bringen lassen, sind als personenbezogene Daten zu handeln. Dabei ist nicht relevant, ob die Daten von entsprechendem Unternehmen in der Praxis tatsächlich mit der Person in Verbindung gebracht werden oder werden können, wie im Fall von IP-Adressen.

Die theoretische Möglichkeit genügt – eine Neuerung der DSGVO im Vergleich zum alten Bundesdatenschutzgesetz (BDSG).

Eine Schwierigkeit ist dabei auch, dass in der EU unterschiedliche Formate von Nummernschildern, Telefonnummern oder Ausweisen genutzt werden.

Klassifizierung oder Indexierung

Auch wenn personenbezogene Daten identifiziert sind, können sie nicht zwangsläufig durchsucht werden. Geht man von einer Klassifizierung aus, kann nach Mustern gesucht werden, wobei eine Liste von mit diesen übereinstimmenden Dateien gefunden wird.

Um eine detaillierte Suche zu ermöglichen, die beim Recht auf Löschung benötigt wird, ist eine Indexierung notwendig.  Im Fall einer Löschungsanfrage sollte eine Suche im Index zu konkreten Dateien führen, die personenbezogene Daten des Verbrauchers beinhalten.

Kriterien der möglichen Lösungen

Bei der Auswahl einer Lösung seien drei kritische Aspekte zu beachten, wie Ehrlich in einem Bericht des Online-Portals LEAD schildert.

Als Verantwortlicher hätte man die Möglichkeit, eigene Muster für die rechtmäßige Verarbeitung personenbezogener Daten zu erstellen, was jedoch nicht zwingend notwendig sei. Es gibt viele Anbieter.

Zu beachten sei jedoch, dass der ausgewählte Anbieter das Muster mit Hilfe realer Datensätze erstellt, getestet und verbessert habe.

Außerdem sei zu berücksichtigen, dass eine Software zur Datenklassifizierung oder Indexierungssoftware, die kein inkrementelles Scannen nutzt, nicht hilfreich sei.

Zu kontrollieren sei unbedingt, welche Mitarbeiter ohne Weiteres Zugriff auf sensible Daten hätten. Der Varonis Datenrisiko-Report 2018 ergab erschreckende Zahlen.

Durchschnittlich seien 21 Prozent der Ordner eines Unternehmens für jeden Mitarbeiter zugänglich und in 41 Prozent der Unternehmen hätten sämtliche Mitarbeiter Zugriffsmöglichkeiten auf mindestens 1.00 sensible Daten, darunter Kreditkarten und medizinische Informationen.

Ehrlich beteuert in seinem Artikel, es sei längst nicht zu spät, die Vorgaben der DSGVO in Angriff zu nehmen, auch wenn die DSGVO bereits seit einem halben Jahr in Kraft ist.

Die DSGVO wird wohl weiterhin an Relevanz gewinnen und in den nächsten Jahren wird mit der immer konkreteren Durchsetzung von Bußgeldern und ähnlichen Konsequenzen zu rechnen sein.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen