DSGVO und die Aufforderung zur Datenlöschung: Was tun, wenn der Anruf kommt?

Gastbeitrag von Fabian Nilgen, Associate Principal bei der pmOne AG

An sich bin ich der Meinung, dass die DSGVO das Beste ist, was unseren persönlichen Daten passieren konnte! Man muss nur genau hinsehen und als Unternehmen exakt analysieren, in welchen Systemen und durch welche Prozesse personenbezogene Daten verarbeitet werden, um bei DSGVO-bezogenen Aufforderungen gut gewappnet zu sein. Das Beispiel, das ich hier genauer unter die Lupe nehmen möchte, ist die konkrete Nachfrage eines Kunden zur Einsicht oder Löschung der über ihn gespeicherten Daten. Was können Unternehmen tun, wenn ein solcher Anruf kommt?

Zunächst einmal müssen die Rechte des Betroffenen bekannt sein. Betroffene haben das Recht, auf gespeicherte Daten zu ihrer Person sowie auf die Einwilligung zu deren Verarbeitung zuzugreifen. Weiterhin müssen diese Daten technisch übertragbar sein. Zudem muss ein Unternehmen im Fall einer Datenschutzverletzung diese binnen 72 Stunden an den Dateneigner und die zuständige Behörde melden. Zu guter Letzt gilt das Recht auf Vergessenwerden, also auf die Löschung persönlicher Daten.

Doch das alles in die Unternehmenspraxis umzusetzen, ist alles andere als leicht. Bei der Beantragung in die Einsicht in Daten beginnt das Problem oft schon bei der Schreibung des Namens oder auch damit, dass Stammdaten nicht überall exakt gleich gespeichert sind. Bereits in mittelgroßen Unternehmen ist es mühsam und zeitaufwändig, solche Anfragen manuell zu beantworten – eigentlich bräuchte man einen Mitarbeiter, der Vollzeit nichts anderes tut, als personenbezogene Daten ausfindig zu machen, an den Betroffenen herauszugeben oder zu löschen.

Daher hat die pmOne das Masterdatenverwaltungstool Profisee MDM entwickelt. Die Software –basierend auf MS SQL Server – hilft, Anfragen nach Dateneinsicht schnell und effizient zu bearbeiten. Profisee MDM holt sich alle relevanten Daten aus sämtlichen Programmen und Ordnern und konsolidiert diese in einer Datenbank. Zusätzlich enthält das Programm ein sogenanntes Golden Record Management, das heißt, Profisee MDM ist nicht nur eine „Datenhalde“, sondern hilft auch bei der Adressbereinigung, dem Vergleich von Schreibweisen und der Identifikation von Dubletten.

Zum Punkt Backup ist Folgendes wichtig: Es ist nicht in jedem Fall zwingend erforderlich, Daten auch aus Backups zu löschen, allerdings muss sichergestellt sein, dass diese Daten nicht wieder im aktiven System auftauchen und auch im Falle einer Verwendung eines Backups nicht wiederhergestellt werden. Gut zu wissen: Profisee selbst löscht nichts, sondern gibt nur den Auftrag weiter.

Abschließend habe ich einen spannenden Gedanken für Sie: Nehmen Sie einmal an, eine Firma ruft eine Marketingaktion ins Leben, bei der alle Neukunden einen Bonus erhalten. Als Neukunde zählt jeder, der in den letzten zwei Jahren keinen Vertrag abgeschlossen hat. Wer nun vor einem Jahr seine personenbezogenen Daten aus der Firmendatenbank hat löschen lassen, aber, – da das einer anderen Pflicht, nämlich der zehnjährigen Aufbewahrungspflicht der Buchhaltung nachkommt –, ebendort nach wie vor gespeichert ist, dürfte eigentlich keinen Bonus bekommen. Nun ist die Firma in der heiklen Zwickmühle; an sich darf der Kunde den Bonus einfordern!

Video – Interview mit Fabian Nilgen am Microsoft-Event „30 Tage DSGVO – wo stehen wir?“


 

Über den Autor: Fabian Nilgen gehört seit Februar 2014 schon der pmOne AG mit Hauptsitz in Unterschleißheim bei München an. Die über 200 Mitarbeiter der 2007 gegründeten pmOne AG unterstützen Unternehmen in den Bereichen Business Intelligence, Artificial Intelligence und Performance Management nach dem Motto „Data driven, People minded“ bei ihrer digitalen Transformation.

Steigen Sie in die Konversation ein

0 Kommentare

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.