Zusammenfassung
In einer Zeit, in der die Ressource „Information“ mehr und mehr an Bedeutung gewinnt und Daten einen wesentlichen Produktionsfaktor ausmachen, wird die Notwendigkeit eines qualifizierten Daten-Managements wichtiger. Entscheidungsprozesse basieren auf Daten und führen nur dann zu richtigen und erfolgversprechenden Entwicklungen, wenn die Datengrundlage richtig und aktuell ist. Dies verlangt eine qualifizierte Bewirtschaftung der Ressource-Daten. Damit verbunden ist ebenso ein Daten-Management, das die Rechtskonformität der Daten gewährleistet.
Mit der neuen EU-Datenschutzgrundverordnung (DSGVO) besteht weiterhin die Verpflichtung zur Löschung, wenn die Zweckerfüllung gegeben ist. Gegenüber dem BDSG sind deutlich höhere Sanktionen festgelegt worden. Insofern ist es notwendig, das Daten-Management so aufzusetzen, dass ein kontinuierlicher und systematischer Löschprozess aufgesetzt wird. Nachfolgend werden dieser Löschprozess und seine Umsetzung näher beschrieben. Insbesondere wird aufgezeigt, dass eine enge Zusammenarbeit zwischen dem IT-Entwicklungsbereich und dem IT-Operationsbereich geboten ist. Die IT-Operation muss sich darauf vorbereiten, dass sie auf Grund der systematischen Weiterentwicklung der betrieblichen Anwendungssysteme jährlich neue bzw. überarbeitete Löschroutinen einsetzen muss. Abschließend wird auf ein laufendes Innovationsprojekt Bezug genommen. In diesem wurden Lösungen entwickelt, um unmittelbar bei der Entwicklung betrieblicher Anwendungssysteme die planmäßige Löschung von Daten zu berücksichtigen sowie eine datensatzorientierte Zugriffsteuerung zur Umsetzung datenschutzrechtlicher Anforderungen zu ermöglichen.
Unveränderter Original-Beitrag Berning et al. (2017) Datenschutz-konformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU DS-GVO, HMD – Praxis der Wirtschaftsinformatik Heft 316, 54(4):618–631.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
Die DSGVO tritt nach einer zweijährigen Übergangszeit in allen Mitgliedstaaten der EU am 25.05.2018 in Kraft.
- 2.
Das Recht auf Einschränkung der Verarbeitung steht unmittelbar dem Betroffenen zu. Ein selbständiges Tätigwerden des Verantwortlichen begründet die Norm nicht; vgl. Kamlah in Plath 2016 Art. 18 Rn. 3.
- 3.
Vgl. u. a.: http://www.n-tv.de/panorama/Datenschutz-ins-Grundgesetz-article15513.html: „Ich trete für eine deutliche Aufstockung der Strafe ein, denn es kann nicht sein, dass ein Unternehmen, das gegen das Gesetz verstößt, ein Bußgeld erhält, das so niedrig ist, dass es aus der Portokasse bezahlt werden kann“, sagte Schaar dem „Hamburger Abendblatt“, zugegriffen am 09.01.2017.
- 4.
Hinweis: Das Gesetz sagt (vereinfacht), dass bei Zweckerfüllung die Daten zu löschen sind. Insofern spielt der Zweck der Verarbeitung eine zentrale Rolle.
- 5.
Kühling und Klar (2014, S. 509) sprechen von Typisierung bzw. qualitativer Eingrenzung von Datensätzen, um spezifiziert Aufbewahrungsfristen zuordnen zu können, die eine Speicherung über den eigentlichen Löschzeitpunkt hinausgehend begründen. Die hier eingeführten Datencluster greifen prinzipiell den Gedanken auf und führen ihn in Richtung einer operationalisierten selektiven und IT-gestützten Löschung weiter.
- 6.
LG Hamburg zur Einwilligungserklärung im Rahmen einer Opt-in-Erklärung. Solange wie ggf. die Existenz einer gegebenen Einwilligung nachweisbar sein müsse, dürften die entsprechenden Daten auch gespeichert werden. Mit Bezug auf § 11, Abs. 4 UWG drei Jahre. LG Hamburg: Az: 312 O 362/08, 23. Dezember 2008.
- 7.
Die Punkte „Rückrechnung“ und „Vernichtungssperre“ (Infotyp 3246) sollten auch noch im Löschkonzept mit aufgenommen werden; können hier aber auf Grund der dann noch um ein Vielfaches größeren Komplexität nicht weiter behandelt werden.
- 8.
Das „Jedermann-Verzeichnis“ nach § 4g Abs. 2 BDSG wurde so nicht von der EU DS-GVO übernommen und ist nicht darin enthalten.
- 9.
Die methodische Beschreibung ist nachzulesen in Anke et al. (2017).
- 10.
Basierend auf dem SAP-Berechtigungsobjekt „P_DURATION“.
Literatur
Anke J, Berning W, Schmidt J, Zinke C (2017) IT-gestützte Methodik zum Management von Datenschutzanforderungen. HMD 54(1):67–83. https://doi.org/10.1365/s40702-016-0283-0
Artikel-29-Datenschutzgruppe (2010) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, 16.02.2010 (00264/10/DE WP 169). http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf. Zugegriffen am 29.03.2017
Bartmann P (2009) Die Verantwortung der Wirtschaftsinformatik für die Finanzmarktkrise. Informatik-Spektrum 32(2):146–152
DSAnpUG-EU Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680
EU-DSGVO Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). OJ L 119, 04.05.2016, S 1–88. http://data.europa.eu/eli/reg/2016/679/oj. Zugegriffen am 01.06.2017
Kielisch J, Gilberg P, Heck R, Richter J, Röckener F, Schäuble T (2013) SAP ERP HCM – Technische Grundlagen und Programmierung, 3., erweit. Aufl. Rheinwerk Verlag/SAP Press, Bonn
Kühling J, Klar M (2014) Löschpflichten vs. Datenaufbewahrung Vorschläge zur Auflösung eines Zielkonflikts bei möglichen Rechtsstreitigkeiten. Z Datenschutz Jahrg 10:506–510
Meyer R (2008) Die Entwicklung des betriebswirtschaftlichen Risiko- und Chancenmanagements. In: Kalwait R, Meyer R, Romeike F, Schellenberger O, Erben RF (Hrsg) Risikomanagement in der Unternehmensführung. WILEY-VCH Verlag GmbH & Co. KGaA, Weinheim, S 23–60
Ochs C, Richter P, Uhlmann M (2017) Technikgestaltung demokratisieren Partizipatives Privacy by Design; ZD 2/2017 ZD Fokus Seite VIII
Österle H (1995) Business Engineering Prozeß- und Systementwicklung. Band 1: Entwurfstechniken. Springer, Berlin/Heidelberg
Plath K-U (2016) BDSG/DSGVO. Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Schuster F, Hunzinger S (2017) Pflichten zur Datenschutzeignung von Software. Computer Recht Jahrg 2:141–148
WKWI, W. d. WK (1994) Profil der Wirtschaftsinformatik. Ausführungen der Wissenschaftlichen Kommission der Wirtschaftsinformatik. Profil der Wirtschaftsinformatik. Wirtschaftsinformatik 36:81
Wybitul T (2016) EU-Datenschutz-Grundverordnung im Unternehmen. Praxisleitfaden, 1. Aufl. Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH (Kommunikation & Recht), Frankfurt am Main
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2017 Springer Fachmedien Wiesbaden GmbH
About this chapter
Cite this chapter
Berning, W., Meyer, K., Keppeler, L.M. (2017). Datenschutzkonformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU-DSGVO. In: Knoll, M., Strahringer, S. (eds) IT-GRC-Management – Governance, Risk und Compliance. Edition HMD. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-20059-6_12
Download citation
DOI: https://doi.org/10.1007/978-3-658-20059-6_12
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-20058-9
Online ISBN: 978-3-658-20059-6
eBook Packages: Computer Science and Engineering (German Language)