Ab dem 18. Mai 2018 gilt die neue EU-Richtlinie, die für einen verbesserten Schutz personenbezogener Daten sorgen soll. Den Unternehmen, die sich nicht an die neuen Vorgaben halten, drohen Strafen von bis zu 20 Millionen Euro, beziehungsweise in Höhe von 4 Prozent ihres gesamten weltweiten Jahresumsatzes. Generell gilt: Personenbezogene Daten müssen in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Werden personenbezogene Daten nicht mehr für den Zweck benötigt, für den sie ursprünglich erfasst wurden, sind sie zu löschen. Wenn Personen ihre Einwilligung zur Datennutzung oder -verarbeitung widerrufen, ist das ein ebenfalls verpflichtender Grund für Unternehmen, die entsprechenden Informationen zu löschen.
„Die DSGVO gibt Unternehmen zwar vor, in welchen Fällen personenbezogene Daten zu löschen sind, allerdings nicht wie“, sagt Rainer Seidlitz, Datenschutzexperte bei TÜV SÜD. Gängige Praxis ist zum Beispiel das Überschreiben elektronisch gespeicherter Daten beziehungsweise das physische Zerstören von Datenträgern. Eine andere Möglichkeit ist das Anonymisieren von Daten, sodass keine Zuordnung zu einer bestimmten Person mehr möglich ist. In diesem Fall können die dann anonymisierten Daten weiterhin gespeichert bleiben. „Die normale Löschfunktion von Betriebssystemen und Datenbanken reicht allerdings in aller Regel nicht aus, um die Anforderungen der neuen Richtlinie zu erfüllen“, betont der Datenschutzexperte. Zu einer angemessenen Datenlöschung ist zum Beispiel eine geeignete Software zu verwenden, die Daten so löscht, dass sie nicht mehr lesbar sind. Zudem ist darauf zu achten, dass alle Kopien der betroffenen Daten gelöscht werden – auch in der Cloud.
Laut DSGVO-Richtlinie sind Unternehmen ab Mai 2018 dazu verpflichtet, ein Konzept, wie sie die Datenlöschung und -speicherung künftig handhaben werden, schriftlich festzulegen. Um zu entscheiden, ob vorhandene personenbezogene Daten zu löschen sind oder nicht, empfiehlt sich ein 2-Stufen-Check. Demnach wird zunächst überprüft, ob und gemäß welcher Fristen eine Verpflichtung zur Datenlöschung vorliegt und im zweiten Schritt, ob die Daten dennoch länger gespeichert werden dürfen – nämlich immer dann, wenn Unternehmen nach geltendem nationalen Recht zur Datenaufbewahrung verpflichtet sind, beispielsweise bei Steuer- oder Buchhaltungsdaten.
Weitere Details zum Thema DSGVO erhalten Interessenten unter https://www.tuev-sued.de/akademie-de/seminare-management/datenschutz/1117017. Informationen rund um Datenschutz und Datensicherheit gibt es hier: www.tuev-sued.de/sec-it.