Pri­va­cy by Design

Daten­schutz als Stan­dard­ein­stel­lung durch Pri­va­cy by Design.

Schon wäh­rend des Designs einer Soft­ware- oder Daten­bank­lö­sung gilt es, Fak­to­ren zu beach­ten, die auf das Daten­schutz­the­ma ausstrahlen.

Für daten­schutz­kon­for­me Sys­tem-Ent­wick­lun­gen ist es not­wen­dig, Daten red­un­dant zu spei­chern und sie min­des­tens in die­se Kate­go­rien aufzuteilen:

Infor­ma­ti­ons­da­ten

Bei Infor­ma­ti­ons­da­ten han­delt es sich um Infor­ma­tio­nen zu einer Per­son, die nicht der gesetz­li­chen Archi­vie­rungs­pflicht unterliegen.

Die­se sind umge­hend nach Erfül­lung des Erhe­bungs­zwecks zu löschen.

Dazu gehö­ren bei­spiels­wei­se Kre­dit­kar­ten­da­ten — die­se sind nach dem Bezahl­vor­gang zu löschen.

Wider­ruf­li­che Einwilligungsdaten

Wider­ruf­li­che Ein­wil­li­gungs­da­ten, oder Opt-in-Daten, sind Infor­ma­tio­nen, die bis zum Wider­ruf zu einem bestimm­ten Zweck vor­ge­hal­ten wer­den, um einen wie­der­keh­ren­den Wunsch umset­zen zu können.

Bei­spie­le hier­für sind die E‑Mail-Adres­se für den News­let­ter oder der Geburts­tag für jähr­li­che Glückwünsche.

Für werb­li­che Maß­nah­men wie einen News­let­ter-Ver­sand dür­fen Unter­neh­men aus­schließ­lich Daten ver­wen­den, für die deren Eigen­tü­mer die expli­zi­te, tem­po­rä­re und wider­ruf­li­che Zustim­mung abge­ge­ben haben (Opt-in).

Sobald Daten­schutz­be­hör­den nach­wei­sen kön­nen, dass eine Kon­takt­auf­nah­me zu Per­so­nen erfolgt ist, die nicht expli­zit über Opt-in zuge­stimmt haben, kön­nen sie Unter­neh­men mit erheb­li­chen Geld­stra­fen belegen.

Wich­tig ist zudem, den Dateneigentümer:innen rele­van­te Infor­ma­tio­nen trans­pa­rent zur Ver­fü­gung zu stellen.

So besteht unkom­pli­ziert ein Über­blick dar­über, wie Daten ver­wen­det und wie die ein­mal erteil­te Zustim­mun­gen jeder­zeit zu wider­ru­fen sind.

Unter­neh­men soll­ten dar­auf ach­ten, Ant­wor­ten und Aktio­nen sorg­fäl­tig für Audits zu doku­men­tie­ren. Emp­feh­lens­wert ist zudem, einen Daten­bank-Bereich für Text­bau­stei­ne zu desi­gnen, wie etwa Ein­wil­li­gungs­vor­la­gen oder juris­ti­sche Texte.

Archi­vie­rungs­da­ten

Archi­vie­rungs­da­ten stel­len eine Samm­lung an Infor­ma­tio­nen dar, die benö­tigt wer­den, um Vor­gän­ge nach­voll­zie­hen zu kön­nen, bei­spiels­wei­se für die gesetz­li­chen Auf­he­bungs­fris­ten im medi­zi­ni­schen Bereich oder in der Buchhaltung.

Das sind unter ande­rem Rech­nungs­da­ten zum Kauf von Pro­duk­ten und Dienstleistungen.

Erst nach Ablauf der gesetz­li­chen Auf­be­wah­rungs­pflicht dür­fen die­se Archi­vie­rungs­da­ten gelöscht wer­den — ein Lösch­vor­gang, der mit Inkraft­tre­ten der DSGVO bin­dend ist.

Die­se Daten dür­fen von den Unter­neh­men nicht mehr ver­ar­bei­tet werden.

Im Design neu­er Soft­ware- und Daten­bank­ent­wick­lun­gen soll­te für nahe­zu jedes Daten­feld eine Tabel­le mit den dazu­ge­hö­ren­den gesetz­li­chen Archi­vie­rungs­pflich­ten hin­ter­legt sein.

Bei­spie­le für sol­che Daten­fel­der sind etwa Rech­nungs­num­mer, Rech­nungs­da­tum und der Netto-Betrag.

Mitarbeiter:innen müs­sen Bele­ge ent­spre­chend der Abga­be­ver­ord­nung (AO) nach Steu­er­recht zehn Jah­re archi­vie­ren, Bele­ge gemäß Han­dels­ge­setz­buch (HGB) sechs Jahre.

Wesent­lich für Neu­pro­jek­te sind jedoch bran­chen­be­zo­ge­ne Spe­zi­fi­ka bezüg­lich Archivierungsauflagen.

So müs­sen Unter­neh­men bei der Ver­ar­bei­tung von Daten wie einer Arzt­rech­nung eine Frist von bis zu 30 Jah­ren berück­sich­ti­gen, bei­spiels­wei­se in Ver­bin­dung mit Pati­en­ten­da­ten nach Strah­len­schutz- bezie­hungs­wei­se Rönt­gen­ver­ord­nung. Glei­ches gilt auch für Auf­zeich­nun­gen nach dem Transfusionsgesetz.

Gel­ten für per­so­nen­be­zo­ge­ne Daten meh­re­re und dabei diver­gie­ren­de Auf­la­gen zur Archi­vie­rung, so emp­fiehlt es sich, nicht nur die maxi­ma­le Archi­vie­rungs­zeit, son­dern alle Fris­ten anzulegen.

Auch soll­ten Ver­ant­wort­li­che rol­len­ba­sie­rend den Ter­mi­nus “Ansichts­fris­ten” pro Feld hinterlegen.

Was bedeu­tet das?

Archi­vie­rungs­da­ten für Rech­nun­gen sind nur fünf Jah­re für die “Rol­le A” ein­seh­bar, für die “Rol­le B” in der gan­zen Laufzeit.

Bei beson­ders schüt­zens­wer­ten Infor­ma­tio­nen wie Gesund­heits­da­ten ist ein Ein­blick für Admi­nis­tra­to­ren ohne Betriebs­rat und / oder Daten­schutz­be­auf­trag­te zu unterbinden.

Eine auf dem Daten­feld basie­ren­de Ver­schlüs­se­lung, die für bestimm­te Infor­ma­tio­nen das Ver­falls­da­tum bereits ein­baut, eig­net sich hier­für am besten.

Pri­va­cy by Design bzw. Daten­schutz für bestehen­de Systeme

Was pas­siert mit Daten­ban­ken, deren Daten­spei­cher zum Bers­ten gefüllt sind, wäh­rend nie­mand weiß, wel­che per­so­nen­be­zo­ge­nen Daten dar­in lagern?

Bei vie­len Anwen­dun­gen exis­tiert kei­ne Trans­pa­renz dar­über, wo die­se Daten lie­gen und wer im Unter­neh­men für die all­ge­mei­ne Spei­che­rung ver­ant­wort­lich ist.

In die­ser Situa­ti­on befin­den sich noch vie­le Fir­men, Behör­den und Institutionen.

Berück­sich­ti­gen IT-Beauf­trag­te Daten­schutz und Ent­wick­lungs­ef­fi­zi­enz, dann ist es unmög­lich, auf die­se Situa­ti­on auf­zu­bau­en, neue Daten unter DSGVO-Gesichts­punk­ten zu behan­deln und den bestehen­den Daten­pool zu ignorieren.

Es gilt also, alle per­so­nen­be­zo­ge­nen Daten im Unter­neh­men zu iden­ti­fi­zie­ren und sie zuzuordnen.

Die­se umfang­rei­chen und kom­pli­zier­ten Pro­zes­se stel­len oft eine der größ­ten Her­aus­for­de­run­gen auf dem Weg zur Daten­schutz­kon­for­mi­tät dar.

Nicht erkann­te, frei flot­tie­ren­de und unsach­ge­mäß gespei­cher­te Daten­be­stän­de ber­gen jedoch ein hohes Risi­ko für Sicher­heits­ver­let­zun­gen und kön­nen eine Haf­tung nach DSGVO nach sich ziehen.

Kon­zen­trier­te Anstren­gun­gen, die­se nicht ver­wen­de­ten Daten zu fin­den und zu löschen, redu­zie­ren die Stra­fen im Ernst­fall erheblich.

Daten­lö­schung als Daten­schutz­mo­dul

Was müs­sen Entwickler:innen und Leiter:innen in Fach­ab­tei­lun­gen über brauch­ba­re Lösun­gen wissen?

Sie benö­ti­gen zum Start eine Beschrei­bung des Lösch­pro­zes­ses per­so­nen­be­zo­ge­ner Daten in den ope­ra­ti­ven und dis­po­si­ti­ven Sys­te­men des Unternehmens.

Bei der Ent­wick­lung und dem Ein­satz von Soft­ware muss eine daten­schutz­kon­for­me Löschung die­ser Daten obers­te Prio­ri­tät haben.

Der­zeit gibt es nahe­zu kei­ne Stan­dard­soft­ware, mit der Nutzer:innen kon­form Daten löschen.

Die­sen Punkt sahen Anwendungsentwickler:innen in der Kon­zep­ti­on von Soft­ware frü­her meist nicht vor.

Um den Anfor­de­run­gen der DSGVO und damit dem Pri­va­cy by Design gerecht zu wer­den, müs­sen sie nun nach­träg­lich flä­chen­de­ckend Soft­ware­än­de­run­gen durchführen.

Um eine auf­wen­di­ge und feh­ler­an­fäl­li­ge manu­el­le Löschung zu ver­mei­den, bie­tet sich die Ent­wick­lung auto­ma­ti­scher Lösch­rou­ti­nen an.

Auch wenn Über­sich­ten per­so­nen­be­zo­ge­ner Daten erstellt wer­den, soll­ten Entwickler:innen Pro­zes­se soft­ware­sei­tig unter­stüt­zen, um die enor­men Auf­wän­de und Feh­ler­an­fäl­lig­keit einer manu­el­len Aus­wer­tung zu vermeiden.

Also las­sen Sie sich gut beraten.

Kommentar hinzufügen