Unnötige Daten werden DSGVO-konform gelöscht.

Das Löschkonzept – der oft vernachlässigte Aspekt des Backups

Wir verstehen, dass Datenschutz ein wichtiges Thema für Immobilienverwalter ist, insbesondere angesichts der ständig wachsenden Datenmengen und der komplexen gesetzlichen Anforderungen. Die Datenschutzgrundverordnung (DSGVO) verpflichtet uns, personenbezogene Daten zu löschen, sobald der ursprüngliche Zweck ihrer Erhebung entfällt. Ein weiterer zentraler Pfeiler des Datenschutzes ist das Prinzip der Datenminimierung. Doch was bedeutet das genau? Müssen wir alle Daten sofort löschen, sobald ein Vertrag abgeschlossen ist? Dürfen wir dann überhaupt noch Werbung an unsere Kunden senden?

Ein effektives Löschkonzept ist unerlässlich, um den Datenschutzanforderungen der DSGVO gerecht zu werden. Es stellt sicher, dass personenbezogene Daten sicher und rechtzeitig gelöscht werden. Zu Ihrem Tagesgeschäft gehört das Handling von Eigentümerdaten, Mieterdaten und Handwerkern.

Grundsätzlich gilt, dass Daten gelöscht werden müssen, wenn der Zweck ihrer Erhebung entfällt, es sei denn, gesetzliche Aufbewahrungsfristen oder rechtliche Verteidigungsgründe sprechen dagegen zum Beispiel die Abwehr gegenüber Schadensersatzklagen. Jeder Unternehmer kennt die Aufbewahrungspflichten nach dem Handelsgesetzbuch (HGB) und Behörden kennen den Einheitsaktenplan mit seinen Aufbewahrungspflichten. Diese Fristen verhindern eine sofortige Löschung. Das bedeutet, dass Daten auch weiterhin aufbewahrt werden müssen, bis diese Fristen abgelaufen sind.

Wenn feststeht, wann Daten gelöscht werden müssen, stellt sich die Frage, wie dies gemäß DSGVO geschehen soll. Löschen kann bedeuten, alle Daten zu einem Kunden vollständig zu entfernen oder nur die personenbezogenen Daten von einem Dienstleister zu entfernen. Nach neun Jahren könnte die Information, welcher Mitarbeiter kontaktiert wurde, unnötig sein, der unterschriebene Vertrag jedoch weiterhin relevant bleiben. Dieses Verfahren wird als Anonymisierung bezeichnet. Wenn keine Rückschlüsse auf eine Person mehr möglich sind, gelten die Daten als anonymisiert und dies entspricht einem Löschen im Sinne der DSGVO. In unserer digitalen Welt ist es üblich, Daten-Backups zu erstellen, um technische Fehler oder Cyberangriffe abzufangen. Dies bedeutet allerdings, dass trotz eines Löschvorgangs personenbezogene Daten im Backup verbleiben könnten. Ist dies ein Verstoß gegen die DSGVO und müssen wir explizit unser Backup ebenfalls auf gelöschte Daten überprüfen?

Diese Situation stellt Unternehmen und Behörden vor große Herausforderungen, da es praktisch unmöglich ist, immer auf dem neuesten Stand zu sein. Die DSGVO bietet hier einen Ausweg: Wenn die Löschung lediglich mit unverhältnismäßig hohem Aufwand möglich ist und das Interesse der betroffenen Personen an der Löschung als gering eingestuft wird, darf ausnahmsweise nicht gelöscht werden (§ 35 BDSG). Regelmäßig werden Daten in Backups nur im Notfall abgerufen und nicht verarbeitet, zudem werden Backups nicht unbegrenzt aufbewahrt. Eine Löschung im Backup ist daher in den meisten Fällen nicht notwendig. Sollte jedoch das Backup zur Wiederherstellung von Daten benötigt werden, beispielsweise nach einem Cyberangriff, könnten personenbezogene Daten wieder verarbeitet werden, die eigentlich gelöscht sein sollten. Dann stellt sich die Frage, wie wir nachweisen können, dass personenbezogene Daten grundsätzlich rechtzeitig gelöscht wurden.

Ein Löschkonzept kann hierbei Abhilfe schaffen. In diesem Dokument wird festgehalten, wann Daten grundsätzlich gelöscht werden müssen, dass Daten aufgrund des Aufwandes nicht aus Backups entfernt werden, sowie die Dokumentation, wann welche Arten von personenbezogenen Daten gelöscht wurden. So können wir, falls das Backup benötigt wird, gezielt nachvollziehen, welche Daten erneut gelöscht werden müssen, um der DSGVO zu entsprechen. Es gibt Hinweise darauf, dass Behörden zukünftig das Löschkonzept häufiger überprüfen werden. Daher lohnt es sich, sich intensiv damit auseinanderzusetzen, insbesondere wenn Künstliche Intelligenz eingesetzt werden soll. Je weniger „unwichtige“ Daten sie durchsuchen muss, desto bessere Ergebnisse kann sie erzielen.

Wir haben umfangreiche Erfahrung mit der Erstellung maßgeschneiderter Löschkonzepte – Backup für verschiedene Unternehmen. Da jedes Löschkonzept individuell ist, unterstützen wir Sie gerne bei der Entwicklung Ihres eigenen, maßgeschneiderten Plans.

Lust auf …
Einfach digital
arbeiten?

Für Ihre Fragen und Anliegen rund um Informationssicherheit & Datenschutz steht Ihnen gerne unsere Expertin Jennifer Baumann zur Verfügung.

Jennifer Baumann
Consultant Datenschutz & Informationssicherheit
(0821) 207 111 – 16
cloudheroes@fly-tech.de

Jetzt Termin für persönliches Gespräch auswählen.

Wenn Sie mehr über unsere Datenschutzdienstleistungen erfahren möchten, dann wählen Sie doch hier einen Termin für ein kostenloses Erstgespräch.

Bildnachweis: Headerfoto von fly-tech

Anmeldung zum Newsletter