EU-DSGVO

Das Recht auf Vergessen-werden nicht unterschätzen

| Autor / Redakteur: Thorsten Krüger / Peter Schmitz

Durch die DSGVO kann jeder EU-Bürger jederzeit verlangen, dass seine personenbezogenen Daten aus Datenbanken, Backups oder Archiven eines Unternehmens gelöscht werden.
Durch die DSGVO kann jeder EU-Bürger jederzeit verlangen, dass seine personenbezogenen Daten aus Datenbanken, Backups oder Archiven eines Unternehmens gelöscht werden. (Bild: Pixabay / CC0)

Die Datenschutz-Grundverordnung (DSGVO) gilt! Falls dieser Termin schneller kam als erwartet, muss man nicht verzweifeln. Man sollte den Stein aber ins Rollen zu bringen - insbesondere, wenn man nicht die ganze Macht der Aufsichtsbehörden zu spüren bekommen möchte.

Egal, ob man mit der Umsetzung der Verordnung gerade erst anfängt oder diese nahezu abgeschlossen hat - eine der drastischsten Veränderungen, die Organisationen verstehen müssen, ist das Recht auf Löschung (oder besser das Recht auf Vergessen-werden). Grundsätzlich kann jeder EU-Bürger jederzeit verlangen, dass seine personenbezogenen Daten aus der Datenbank, aus Backups oder Archiven eines Unternehmens gelöscht werden. Es gibt sechs Gründe, weshalb Bürger das Recht auf Löschung geltend machen können:

  • Besonderer Schutz für Daten von Kindern
  • Löschung ist aus rechtlichen Gründen erforderlich
  • Persönliche Daten wurden unrechtmäßig verarbeitet
  • Man legt Widerspruch gegen die Verarbeitung seiner Daten ein und es liegen keine berechtigten Gründe vor, die Löschung zu verhindern
  • Sie widerrufen ihre Einwilligung oder ihre ausdrückliche Einwilligung zur Speicherung der Daten
  • Die Daten sind für die Zwecke, für die sie vom Unternehmen erhoben oder verarbeitet wurden, nicht mehr erforderlich
Aufsichtsbehörde warnt vor Fehlinformationen zur DSGVO

Aktuelles zur DSGVO im September

Aufsichtsbehörde warnt vor Fehlinformationen zur DSGVO

25.09.18 - Wirtschaftsverbände und Aufsichtsbehörden haben eine Zwischenbilanz zur Umsetzung der Datenschutz-Grundverordnung gezogen. Auch wenn noch einiges an Unklarheit herrscht, es geht voran mit der DSGVO. Wichtig ist es jedoch, sich richtig zu informieren. Dazu gehört es auch zu wissen, wie man auf eine mögliche Datenpanne oder Abmahnung reagieren sollte. lesen

Es ist nicht einfach, vergessen zu werden

Erstens einmal ist es wichtig zu beachten, dass nicht alles gelöscht werden muss, nur weil ein Verbraucher es verlangt. Es gibt nämlich fünf Gründe, bei deren Vorliegen das Recht auf Löschung nicht gilt:

  • Das Unternehmen besitzt das Recht auf freie Meinungsäußerung und Information
  • Es besteht eine gesetzliche Verpflichtung, die eingehalten werden muss
  • Die Aufbewahrung der Daten ist im öffentlichen Interesse
  • Das Unternehmen hat die offizielle Befugnis, die Daten zu besitzen
  • Schutz vor potentiellen Rechtsansprüchen

Es bleiben aber immer noch viele Daten übrig, die gelöscht werden müssen. Bei diesen Informationen kann man nicht einfach die „Löschen”-Taste drücken. Es mag zwar so aussehen, als wären sie dann verschwunden, aber gelöschte Dateien können oftmals wiederhergestellt werden. Das Problem mit der Datenlöschung wird durch die vernetzte Welt weiter verkompliziert. Informationen werden beispielsweise mit Partnern und Lieferanten geteilt. Wird die Zustimmung für diese Daten entzogen, wie kann man dann sicher sein, dass sie im Rest Ihres erweiterten Netzwerks gelöscht wurden?

Der beste Weg zu umfassenden Kontrolle ist Kryptografie. Wenn Daten verschlüsselt sind, dient der erzeugte Schlüssel als Zepter der Macht, denn er entscheidet, wer die Informationen entschlüsseln und nutzen kann. Ohne Verifizierung bleiben die Daten verschlüsselt und sind nutzlos. In der Praxis können persönliche Informationen so kategorisiert, dass je ein Schlüssel einen bestimmten Datensatz schützt und unwiderruflich gelöscht werden kann.

Der Ansatz setzt ein passendes Verwaltungssystem für Schlüssel voraus, das gleichzeitig noch ein hohes Maß an Transparenz und Sicherheit bietet. Am besten durch Speicherung auf physischer Hardware, getrennt von den zu schützenden Informationen, und in Kombination mit einem ausgereiften Key-Management. Außerdem sollte die nachweisbare Vernichtung der Schlüssel verifizierbar sein.

IT-Entscheider müssen beim Rechts auf Vergessenwerden den jeweiligen Einsatzweck bedenken. Nicht immer ist es sinnvoll, für jeden Datensatz einen eigenen Schlüssel zu vergeben, allerdings kann auf allen Ebenen angewandt werden, vom Schutz individueller Dateien bis hin zu ganzen Projekten. Das kann praktisch sein, wenn ein Projekt abgeschlossen ist und der Zugriff auf die Informationen, die es umfasst - wie Kreditkartendaten oder Passwörter - nicht mehr gültig ist. Der Schlüssel kann einfach gelöscht werden, und damit sind die Daten im Grunde unwiederbringlich zerstört.

Mit Datenschutz-Aufsichtsbehörden richtig kooperieren

Fragen zur Datenschutz-Grundverordnung

Mit Datenschutz-Aufsichtsbehörden richtig kooperieren

14.05.18 - Wenn es um die Datenschutz-Grundverordnung (DSGVO / GDPR) und Aufsichtsbehörden geht, denken viele Unternehmen zuerst an die möglichen Sanktionen und die enorme Höhe der Bußgelder, die da kommen könnten. Doch die Aufsichtsbehörden sollten nicht als reine Kontrollbehörden gesehen werden. Sie bieten vieles an Unterstützung, man sollte deshalb die Zusammenarbeit mit ihnen suchen. lesen

Den größeren Zusammenhang nicht aus den Augen verlieren

Natürlich geht es bei der DGSVO nicht nur um das Recht auf Vergessen-werden - sie erfordert eine Aktualisierung der Herangehensweise an Datenschutz und Sicherheit im Allgemeinen. Eine der umfassendsten Methoden ist, den Datenschutz ins Zentrum des eigenen Unternehmens zu stellen. Das bedeutet, dass alle Mitarbeiter, die irgendwie mit sensiblen Informationen zu tun haben, wissen, wie diese richtig verwaltet werden, und dass Ihre Datenverarbeitungssysteme so aufgebaut sind, dass Informationen nachweislich von dem Moment an schützen können, in dem sie erstellt werden oder ins System gelangen. Bekannt ist dieses Vorgehen als ‘Privacy by Design’.

Im Zusammenhang damit müssen die Mechanismen, die das Recht auf Vergessen-werden umsetzen, vom ersten Moment ihres Designs an Teil dieser Systeme sein. Ein Beispiel dafür wäre, wenn ein Kunde sich in sein Profil auf der Webseite oder App Ihres Unternehmens einloggt und „Vergiss mich“ anklickt, und damit verlangt, dass all seine Angaben gelöscht werden. Von dem Moment an, in dem er auf diese Schaltfläche klickt, sollten seine Daten, wenn alles richtig läuft, nicht mehr zugänglich sein.

Die DSGVO wurde entwickelt, um Verbraucher mit mehr Macht über die Art und Weise, wie ihre Daten verwendet werden, auszustatten, aber sie ist nur ein kleiner Baustein des Datenschutzthemas im Unternehmen.

Das Hinzufügen von Lösungen zur einmaligen Verschlüsselung, um ad-hoc-Herausforderungen zu begegnen, kann zwar ein kurzfristiges Problem beseitigen, aber auch schnell zu Sicherheitssilos in Unternehmen führen. Und was die Verschlüsselung anbelangt, darf nicht vergessen werden, dass es die Schlüssel sind, die den Zugang kontrollieren. Sie sind wirklich der Schlüssel (Wortspiel beabsichtigt) zur Kontrolle der eigenen Bedürfnisse als Unternehmen und zur Kontrolle, wer auf welche Daten und Anwendungen Zugriff hat. Das Recht auf Vergessen-werden mag auf den ersten Blick abschreckend wirken, wird es aber korrekt in Ihre Datenschutzstrategie eingebunden, sollten die Prozesse vorhanden sein, die potentielle Probleme im Umgang mit den Anfragen verringern.

Über den Autor: Thorsten Krüger ist Director Regional Sales IDP DACH & CEE bei Gemalto.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45584138 / Compliance und Datenschutz )