39,00 €
Mehr erfahren.
- Herausgeber: Forum Verlag Herkert
- Kategorie: Fachliteratur
- Sprache: Deutsch
Personenbezogene Daten, für die keine rechtliche Grundlage mehr vorliegt, müssen von Verantwortlichen im Sinne der DSGVO gelöscht werden. Ein wirksames Löschkonzept ist also für die eigene Datenschutzpraxis unverzichtbar, um das Bußgeldrisiko zu minimieren. Doch ein Löschkonzept zu erstellen, bereitet vielen Unternehmen Schwierigkeiten. Die Herausforderungen liegen dabei oft in der praktischen Umsetzung und insbesondere an Punkten im Unternehmen, an denen nicht (teil)automatisiert gelöscht werden kann. Wie ein Löschkonzept erstellt und umgesetzt wird, zeigt dieses Praxisspezial: Löschkonzept nach DSGVO erstellen und anwenden - Leitfaden mit Praxistipps inkl. Arbeitshilfen. E-Book Das E-Book besteht aus einer digitalen Ausgabe des kompletten Handbuchs im EPUB-Format. Diese bietet folgende Vorteile: - Schritt für Schritt zum Löschkonzept: Der Leitfaden erklärt kompakt auf 48 Seiten das Vorgehen bei der Erstellung und Anwendung eines Löschkonzepts und liefert hilfreiche Praxistipps. - Mit dem E-Book steht das Wissen zum Löschkonzept als praktische PDF-Datei zur Verfügung. Inhaltskurzübersicht: Vorgehen bei der Erstellung des Löschkonzepts - Ausgangspunkt: das Verzeichnis der Verarbeitungstätigkeiten - Löschfristen ermitteln - Löschregeln und Verantwortlichkeiten festlegen - Prozess bei Löschbegehren von Betroffenen implementieren - Löschkonzept regelmäßig prüfen und ggf. anpassen Vernichten von physischen Datenträgern Anonymisieren statt Löschen? Löschkonzepte nach DIN 66398 Hinweis: Die im Leitfaden auf S. 50 angeführten weiteren digitalen Arbeitshilfen sind bei diesem E-Book nicht enthalten, sondern ausschließlich in der Premium-Ausgabe verfügbar.
Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:
Seitenzahl: 72
Veröffentlichungsjahr: 2021
Ähnliche
FORUM VERLAG HERKERT GMBH
Löschkonzept nach DSGVO erstellen und anwenden
Leitfaden mit Praxistipps inkl. Arbeitshilfen
Impressum
Verlag:
FORUM VERLAG HERKERT GMBH
Mandichostraße 18, 86504 Merching
Tel.: 08233 / 381-0, Fax: 08233 / 381-222
E-Mail: [email protected]
www.forum-verlag.com
Geschäftsführung:
Ronald Herkert (Gesellschafter)
Objektleitung:
Monica Hochbauer (V. i. S. d. P.)
Tel.: 08233 / 381-217
Web-Adresse:
www.datenschutz-fuer-praktiker.de
Redaktion:
Monica Hochbauer/Madeleine Winter
Anzeigenberatung:
Anita Hafen-Rutka
Tel. 08233 / 381-472
Leserservice:
Tel.: 08233 / 381-123
Marketing/Vertrieb:
Matthias Veselka
Tel.: 08233 / 381-187
Technische Bearbeitung:
Katharina Mesch
Tel.: 08233 / 381-373
Layout/DTP:
Röser MEDIA GmbH & Co. KG
Fritz-Erler-Straße 25, 76133 Karlsruhe
Tel.: 0721 / 3719-503
www.roeser-media.de
ISBN: 978-3-96314-665-7
Dieses Verlagserzeugnis wurde nach bestem Wissen und nach dem aktuellen Stand von Recht, Wissenschaft und Technik zum Druckzeitpunkt erstellt. Der Verlag übernimmt keine Gewähr für Druckfehler und inhaltliche Fehler.
Alle Rechte vorbehalten. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Nutzung in anderen als den gesetzlich zugelassenen Fällen bedarf der vorherigen, schriftlichen Einwilligung des Verlags. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung in elektronischen Systemen.
Hinweis: Aus Gründen der besseren Lesbarkeit und Einfachheit wird in den folgenden Texten meist die männliche Form verwendet. Die verwendeten Bezeichnungen sind als geschlechtsneutral bzw. als Oberbegriffe zu interpretieren und gelten gleichermaßen für alle Geschlechter.
Autoren:
Sascha Kuhrau, Regina Mühlich, Andreas Sutter.
Rechtehinweis:
Titelbild: © pickup – stock.adobe.com
Copyright:
© FORUM VERLAG HERKERT GMBH
Gerichtsstand: AG Augsburg
Autoren dieser Ausgabe:
Sascha Kuhrau
Sascha Kuhrau, Inhaber von a.s.k. Datenschutz aus dem bayerischen Simmelsdorf, ist mit seinem Team als externer Datenschutz- und Informationssicherheitsbeauftragter für Firmen und Kommunen tätig. Weiterhin werden kleine und mittlere Organisationen bei der Einführung von Informationssicherheitskonzepten wie ISIS12 unterstützt. Der Fokus liegt auf pragmatischen Lösungen, Mensch und Mitarbeiter stehen im Vordergrund.
Regina Mühlich
Regina Mühlich ist Geschäftsführerin der Managementberatung AdOrga Solutions GmbH. Als Expertin für Datenschutz, Datenschutzbeauftragte und Datenschutz-Auditorin sowie Compliance Officer unterstützt sie mit ihrem Team Unternehmen im Bereich Datenschutz, Compliance und Qualitätsmanagement in Deutschland, Österreich sowie der Schweiz. Sie ist Vorstandsmitglied des Berufsverbandes für Datenschutzbeauftragte Deutschland (BvD) e. V.
Kontakt:[email protected]://www.AdOrgaSolutions.de/
Andreas Sutter
Andreas Sutter ist als Director protect bei disphere interactive Datenschutzbeauftragter für Mittelständler, Finanzdienstleister und Versicherer. Er berät seine Kunden rund um Datenschutz- und andere Compliance-Fragen, bildet Datenschutzbeauftragte/Datenschutzkoordinatoren aus und ist Mitglied im Datenschutz-Expertenrat des Branchenverbands „AfW – Bundesverband Finanzdienstleistung.
Editorial
Liebe Leserinnen und Leser,
ein Löschkonzept zu erstellen und umzusetzen erinnert oftmals an ungeliebte Aufräumarbeiten. Schließlich geht es darum, personenbezogene Daten, die nicht mehr benötigt werden bzw. nicht mehr verarbeitet werden dürfen, zu löschen bzw. zu vernichten.
Doch anders als bei der Ordnungsfindung, z. B. im privaten Kleiderschrank, können wir für die Entscheidung, wann personenbezogene Daten gelöscht oder vernichtet werden, nicht nach Marie Kondōs Aufräummethode vorgehen. Vielmehr brauchen wir hierfür klar formulierte Löschregeln, die präzise angeben, wann und wie wir personenbezogene Daten löschen.
So weit, so gut. Doch wie so oft, wird es bei der praktischen Umsetzung dann doch komplexer. Durch die unterschiedlichen Rechtsgrundlagen, auf deren Basis personenbezogene Daten in Organisationen verarbeitet werden, hilft hier keine Löschregel nach dem „One size fits all“-Ansatz. Vielmehr heißt es, für die einzelnen Verarbeitungstätigkeiten eigene Löschregeln aufzustellen und sicherzugehen, dass diese umgesetzt werden können.
Wie Ihnen dies in 33 Schritten gelingt, lesen Sie in diesem Praxisspezial.
Ich wünsche Ihnen eine aufschlussreiche Lektüre und wertvolle Impulse für Ihre Datenschutzorganisation.
Ihre Monica HochbauerFachbereich Datenschutz und IT-SicherheitRedaktion Datenschutz für Praktiker
Bildquelle: © hanss – stock.adobe.com
Das Löschkonzept – Realisierung und Nutzen
Bildquelle: © Alexander Borisenko – stock.adobe.com
Anonymisieren statt löschen?
Bildquelle: © Ewa Leon – stock.adobe.com
Das Vernichten von physischen Datenträgern und die DIN 66399
Bildquelle: © thodonal – stock.adobe.com
Richtlinie Löschen & Entsorgen
Bildquelle: © beeboys – stock.adobe.com
Löschkonzepte: Interview mit dem Bayerischen Landesamt für Datenschutzaufsicht
Inhalt
Das Löschkonzept – Realisierung und Nutzen
Ziel und Zweck eines Löschkonzepts
Ausgangspunkt: das Verzeichnis der Verarbeitungstätigkeiten
Datenminimierung und Datensparsamkeit
Löschfristen erkennen und bestimmen – Praxisbeispiele
Die Löschmatrix – das Herzstück des Löschkonzepts
Vereinfachen, aber wie?
Löschregeln entwickeln
Problemfälle: Archiv und Datensicherung
Sonderfälle der Löschung
Der digitale Löschvorgang
Der analoge Löschvorgang
Dokumentation
Betriebswirtschaftlicher Nutzen des Löschkonzepts
Anonymisieren statt löschen?
Definition: Löschen
Definition: Anonymisierte Daten
Anonymisierung als Verarbeitung
Exkurs
Handlungsempfehlungen
Das Vernichten von physischen Datenträgern und die DIN 66399
Die Löschpflicht (Art. 17 DSGVO)
Vernichten vs. Löschen
Was sind Datenträger?
Datenträgervernichtung
DIN 66399
Löschen als Verarbeitung
Anwendung in der Praxis
Exkurs
Richtlinie Löschen & Entsorgen
Löschkonzepte: Interview mit dem Bayerischen Landesamt für Datenschutzaufsicht
Sonstiges
Autoren
Editorial
Impressum
Schritt für Schritt zum Löschkonzept
Das Löschkonzept: Realisierung und Nutzen
Das DSGVO-konforme Löschen ist für viele Organisationen eine große Herausforderung. Dennoch lohnt sich der Aufwand, ein Löschkonzept stringent umzusetzen und detailliert zu planen, um Datenschutzverstöße zu vermeiden. In diesem Beitrag erfahren Sie, wie Sie Schritt für Schritt zu Ihrem Löschkonzept gelangen.
1. Ziel und Zweck eines Löschkonzepts
Das Löschkonzept gehört nicht ohne Grund zu den großen Herausforderungen im Datenschutz. Hier verschmelzen formelle, technische und betriebswirtschaftliche Aspekte. Die Erstellung und Umsetzung des Löschkonzepts benötigt in der Regel viel Zeit und hat in der Folge große Auswirkungen auf die innerbetrieblichen Prozesse. Daher muss die Umsetzung auch von verschiedenen Unternehmensteilen in der Zusammenarbeit mit dem Verantwortlichen für den Datenschutz gemeinsam geplant und umgesetzt werden.
Das Ziel dieses Praxisspezials ist es darum, Ihnen einfache und umsetzbare Hinweise zu geben, und weniger die wissenschaftlichen Hintergründe im Detail zu erläutern. Es kann sich dabei nur um eine grobe Richtschnur handeln, denn ganz besonders im Löschkonzept zeigt sich die Individualität der Datenschutzanforderungen.
Bildquelle: © peterschreiber.media – stock.adobe.com
Mit der Erstellung eines Löschkonzepts können Sie mehrere Ziele verfolgen. So hilft es z. B. bei der Verhinderung der unerlaubten Verarbeitung personenbezogener Daten und schützt so vor den negativen Folgen von Datenschutzverstößen.
>>Warum benötigt jedes Unternehmen ein eigenes Löschkonzept?<<
Dafür gibt es in der DSGVO zwei entscheidende Gründe. Zum einen ist jede Datenverarbeitung verboten, für die es keinen Rechtsgrund (mehr) gibt.1 Zum anderen haben die betroffenen Personen das Recht auf „Vergessenwerden“, auch bekannt als das Recht auf Löschung2 ihrer Daten. Dieses Recht ist von der verantwortlichen Stelle nicht nur auf Nachfrage, sondern auch proaktiv zu wahren. Das bedeutet in der Konsequenz, dass das verantwortliche Unternehmen personenbezogene Daten unaufgefordert löschen muss, wenn es keinen rechtlichen Grund mehr für die Verarbeitung gibt.
Grundsatz:
Jede verantwortliche Stelle hat die Pflicht zur Erstellung eines Löschkonzepts, da sich nur so die Vorgaben der DSGVO wirksam umsetzen lassen.
Das Fehlen eines entsprechenden Konzepts stellt in der Regel bereits einen Datenschutzverstoß dar, und/oder bewirkt in der Folge entsprechende Verstöße.
Da es sich sehr schnell zeigt, dass es wesentlich einfacher ist, Daten zu erheben, als sie zu löschen, erweist sich an dieser Stelle der Vorteil der Datenminimierung.3 Auch die Struktur und Ordnung der Datenspeicherung spielt hierbei eine sehr große Rolle. Die Erstellung und Umsetzung eines Löschkonzepts geht also in der Praxis in der Regel mit sehr viel „Aufräumarbeit“ einher. Entsprechend unangenehm ist dieses Thema und wird gerne auf die lange Bank geschoben. Im Falle von Prüfungen durch die Aufsichtsbehörde führt ein fehlendes Löschkonzept aber sehr schnell zu Problemen. Das Löschkonzept ist regelmäßig ein Teil von Prüfanfragen durch die Behörden.
Der Grund für die Komplexität des Themas liegt auch im sogenannten Löschparadoxon: Wie kann der Verantwortliche die Löschung dokumentieren, ohne weiterhin personenbezogene Daten zu verarbeiten? Das gelingt nur durch die regelmäßige und dokumentierte Umsetzung sogenannter Löschregeln, die das Kernelement eines Löschkonzepts bilden. Der Nachweis bzw. die Dokumentation der Löschung erfolgt dann durch den Nachweis der Löschregeln und die Dokumentation der systematischen Umsetzung.
Eine Orientierung für die Erstellung und Umsetzung bildet die DIN 66398, die sich als Leitlinie versteht. Die Grundideen dieser Norm stellen wir in dieser Praxishilfe dar.
Weitere Informationen aus Datenschutzsicht finden sich im Kurzpapier Nummer 11 der DSK4 und im Baustein 60 des Standard-Datenschutzmodells (SDM).5
Die sichere Umsetzung des Themas „Löschen“ hat aber auch einen Aspekt aus dem Bereich IT-Sicherheit. Denn neben personenbezogener Daten geht es ja auch um weitere Informationen und Geschäftsgeheimnisse, die es aus Sicht des Unternehmens zu schützen gilt. Daher findet sich auch im IT-Grundschutz des BSI ein Baustein „Löschen und Vernichten“6.
