Advertisement

HMD Praxis der Wirtschaftsinformatik

, Volume 54, Issue 4, pp 618–631 | Cite as

Datenschutz-konformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU DS-GVO

  • Wilhelm Berning
  • Kyrill MeyerEmail author
  • Lutz Keppeler
Spektrum

Zusammenfassung

In einer Zeit, in der die Ressource „Information“ mehr und mehr an Bedeutung gewinnt und Daten einen wesentlichen Produktionsfaktor ausmachen, wird die Notwendigkeit eines qualifizierten Daten-Managements umso wichtiger. Entscheidungsprozesse basieren auf Daten und führen nur dann zu richtigen und erfolgversprechenden Entwicklungen, wenn die Datengrundlage richtig und aktuell ist. Dies verlangt eine qualifizierte Bewirtschaftung der Ressource Daten. Damit verbunden ist ebenso ein Datenmanagement, das die Rechtskonformität der Daten gewährleistet.

Mit der neuen EU Datenschutzgrundverordnung (EU-DSGVO) besteht weiterhin die Verpflichtung zur Löschung wenn die Zweckerfüllung gegeben ist. Gegenüber dem BDSG sind deutlich höhere Sanktionen festgelegt worden. Insofern ist es notwendig, das Datenmanagement so aufzusetzen, dass ein kontinuierlicher und systematischer Löschprozess aufgesetzt wird. Nachfolgend werden dieser Löschprozess und seine Umsetzung näher beschrieben. Insbesondere wird aufgezeigt, dass eine enge Zusammenarbeit zwischen dem IT-Entwicklungsbereich und dem IT-Operationsbereich geboten ist. Die IT-Operations muss sich darauf vorbereiten, dass sie auf Grund der systematischen Weiterentwicklung der betrieblichen Anwendungssysteme jährlich neue bzw. überarbeitete Löschroutinen einsetzen muss. Abschließend wird auf ein laufendes Innovationsprojekt Bezug genommen. In diesem wurden Lösungen entwickelt, um unmittelbar bei der Entwicklung betrieblicher Anwendungssysteme die planmäßige Löschung von Daten zu berücksichtigen sowie eine Datensatz-orientierte Zugriffsteuerung zur Umsetzung datenschutzrechtlicher Anforderungen zu ermöglichen.

Schlüsselwörter

Datenschutz Datenschutzgrundverordnung (DSGVO) Personenbezogene Daten Löschen 

Erasure of Personal Data in Business Information Systems in Accordance to the General Data Protection Regulation – A Methodology and Practical Recommendations

Abstract

In a time where “information” as a resource gains in importance and data becomes an essential production factor for any business, qualified data management is of essence. As decision making relies on information, it can only be qualified and reliable if the sources contain current and correct data. In that sense, a qualified handling and working with this resource is needed. Such a handling also requires that any data managements complies with legal regulation.

With the new EU Data Protection Regulation there will be a requirement to erase data when the purpose it has been collected for has been reached. Other than the German data privacy laws there will be much higher sanctions imposed when in violation. As a result, data management will need to ensure a continuous and systematic delete-procedure. Following such a procedure will be described in detail as well as implications for its implementation. Special attention will be given to the necessary interconnections between IT-development and IT-operation, as operations will need to be aware that business information systems will continuously need updated delete-procedures that are concurrent with the evolving IT-landscape. Also, a current innovation project will be discussed that developed solutions to address the challenges resulting from the necessity to delete data as part of the development of business information systems. Deletion and access control to conform with legal obligations can be ensured with those mechanisms.

Keywords

Data privacy Data privacy protection General Data Protection Regulation (GDPR) Personal data Data deletion 

Literatur

  1. Anke J, Berning W, Schmidt J, Zinke C (2017) IT-gestützte Methodik zum Management von Datenschutzanforderungen. Prax Wirtschaftsinform 54(1):67–83. doi: 10.1365/s40702-016-0283-0 CrossRefGoogle Scholar
  2. Artikel-29-Datenschutzgruppe (2010) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, 16.02.2010 (00264/10/DE WP 169). http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf. Zugegriffen: 29. März 2017Google Scholar
  3. Bartmann P (2009) Die Verantwortung der Wirtschaftsinformatik für die Finanzmarktkrise. Inform Spektrum 32(2):146–152CrossRefGoogle Scholar
  4. DSAnpUG-EU: Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680.Google Scholar
  5. EU-DSGVO: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). In: OJ L 119, 4.5.2016, p. 1–88. Online verfügbar unter http://data.europa.eu/eli/reg/2016/679/oj. Zugegriffen: 01.06.2017
  6. Kielisch J, Gilberg P, Heck R, Richter J, Röckener F, Schäuble T (2013) SAP ERP HCM – Technische Grundlagen und Programmierung, 3. Aufl. Rheinwerk, SAP Press, BonnGoogle Scholar
  7. Kühling J, Klar M (2014) Löschpflichten vs. Datenaufbewahrung Vorschläge zur Auflösung eines Zielkonflikts bei möglichen Rechtsstreitigkeiten. Z Datenschutz 10/2014:493–544Google Scholar
  8. Meyer R (2008) Die Entwicklung des betriebswirtschaftlichen Risiko- und Chancenmanagements. In: Erben R (Hrsg) Risikomanagement in der Unternehmensführung: Wertgenerierung durch chancen- und kompetenzorientiertes Management. Wiley, Weinheim, S 23–60Google Scholar
  9. Ochs C, Richter P, Uhlmann M (2017) Technikgestaltung demokratisieren Partizipatives Privacy by Design; ZD 2/2017 ZD Fokus Seite VIIIGoogle Scholar
  10. Österle H (1995) Business Engineering Prozeß- und Systementwicklung. Band 1: Entwurfstechniken. Springer, Berlin, HeidelbergCrossRefGoogle Scholar
  11. Plath K‑U (2016) BDSG/DSGVO. Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 2. Aufl. Otto Schmidt, KölnCrossRefGoogle Scholar
  12. Schuster, Hunzinger (2017) Pflichten zur Datenschutzeignung von Software. Comput Recht 3/2017:141–148Google Scholar
  13. WKWI, W. d. WK (1994) Profil der Wirtschaftsinformatik. Ausführungen der Wissenschaftlichen Kommission der Wirtschaftsinformatik. Wirtschaftsinformatik 36(1):81Google Scholar
  14. Wybitul T (2016) EU-Datenschutz-Grundverordnung im Unternehmen. Praxisleitfaden, 1. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am MainGoogle Scholar

Copyright information

© Springer Fachmedien Wiesbaden 2017

Authors and Affiliations

  1. 1.BeCaM GmbHBillerbeckDeutschland
  2. 2.Institut für Angewandte InformatikLeipzigDeutschland
  3. 3.Heuking Kühn Lüer Wojtek PartGmbBKölnDeutschland

Personalised recommendations