Das Bayerische Landesamt für Datenschutz hat eine anstehende Kontrolle von Löschroutinen im Umgang mit personenbezogenen Daten in ERP-Systemen (Enterprise-Resource-Planning-Systeme) angekündigt.
“Während in größeren Unternehmen die datenschutzrechtlichen Löschanforderungen meist durch Modulanpassungen und Datenlösch-Applikationen erfüllt werden können, fehlen in kleinen und mittelständigen Unternehmen diese softwareseitigen Möglichkeiten häufig in ERP- und CMS-Systemen (Customer Relationship Management-Systemen).” – Matthias Herkert
Im Rahmen einer Kontrolle plant das Bayerische Landesamt für Datenschutz (BayLDA) die Prüfung vorhandener und wirksam eingerichteter Löschroutinen bei größeren Unternehmen. Fokus soll nach Angaben des BayLDA das DSGVO-konforme und fristgerechte Löschen personenbezogener Daten in ERP-Systemen sein. Dafür sei geplant, den Einsatz von SAP-Software bei Unternehmen hinsichtlich der vorhandenen Module beziehungsweise Datenlösch-Applikationen zu kontrollieren und die erforderlichen Löschkonzepte zu begutachten.
Die Untersuchungen zielen damit auf die Erfüllung des in Art. 17 DSGVO normierten Betroffenenrechts auf Löschung personenbezogener Daten ab. Insbesondere sind personenbezogene Daten bei einem Zweckwegfall der Erhebung (Art. 17 Abs. 1 lit. a DSGVO), bei einem Widerruf der Einwilligung (Art. 17 Abs. 1 lit. b DSGVO), bei einem begründeten Widerspruch (Art. 17 Abs. 1 lit. c DSGVO) sowie bei einer unrechtmäßigen Erhebung (Art. 17 Abs. 1 lit. a DSGVO) zu löschen. Der von der Aufsichtsbehörde gewählte Fokus auf SAP-Softwarelösungen und deren Löschmodule und –applikationen dokumentiert deutlich die durch die DSGVO gestiegene Bedeutung von Lösungen zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen im Sinne des Art. 25 DSGVO (privacy by design / privacy by default*).
Und obwohl der Fokus der angekündigten Kontrolle auf größere Unternehmen mit SAP-Systemen liegt, zeigt die Ausrichtung der aufsichtsbehördlichen Datenschutzprüfung erneut, welche Bedeutung die Aufsichtsbehörden der Umsetzung datenschutzrechtlicher Anforderungen durch den Einsatz technischer Maßnahmen beimessen.
Während in größeren Unternehmen die datenschutzrechtlichen Löschanforderungen meist durch Modulanpassungen und Datenlösch-Applikationen erfüllt werden können, fehlen in kleinen und mittelständigen Unternehmen diese softwareseitigen Möglichkeiten häufig in ERP- und CMS-Systemen (Customer Relationship Management-Systemen). Eine systematische und im Sinne der Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO nachweisbare Datenlöschung gelingt in diesen Fällen meist nur, wenn die personenbezogenen Daten bereits bei deren Erhebung und erstmaligen Speicherung so gekennzeichnet werden, dass eine spätere Auffindung und Löschung (im Zweifelfall auch nur durch manuelle Löscheingriffe im Rahmen organisatorischer Maßnahmen zum Datenschutz) tatsächlich erfolgen kann. Insbesondere beim Einsatz heterogener Systeme (z.B. E‑Mail-System, Rechnungserstellung und Auftragsverwaltung in unterschiedlichen Softwarelösungen) kann eine wirksame Einrichtung DSGVO-konformer Löschroutinen und damit eine Vermeidung von Umsetzungsdefiziten der rechtlichen Löschvorgabe daher nur gelingen, wenn die Anforderungen der Artt. 17 u. 25 DSGVO durchgängig geplant und gestaltet werden. Dies setzt in der Praxis die Kenntnis über den Bestand der im Unternehmen verarbeiteten Datenkategorien genauso voraus, wie die Entwicklung einer Struktur von Regellöschfristen und die Definition von (ggf. technikunabhängigen) Löschregeln.
Die Anforderungen der DSGVO an eine fristgerechte und nachweisbare Löschung personenbezogener Daten sind bekannt. Die angekündigte Kontrolle des BayDA ist daher ein sinnvoller (letzter?) „Reminder“ für den Abschluss der in der Praxis zum Teil noch laufenden Umsetzungsprojekte.
- Zum Datenschutz durch datenschutzfreundliche Voreinstellungen auch unser Beitrag vom 01. November 2017.
Artikel zum selben Thema:
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]