Das Baye­ri­sche Lan­des­amt für Daten­schutz hat eine anste­hen­de Kon­trol­le von Lösch­rou­ti­nen im Umgang mit per­so­nen­be­zo­ge­nen Daten in ERP-Systemen (Enterprise-Resource-Planning-Systeme) angekündigt. 

Wäh­rend in grö­ße­ren Unter­neh­men die daten­schutz­recht­li­chen Lösch­anfor­de­run­gen meist durch Modu­l­an­pas­sun­gen und Datenlösch-Applikationen erfüllt wer­den kön­nen, feh­len in klei­nen und mit­tel­stän­di­gen Unter­neh­men die­se soft­ware­sei­ti­gen Mög­lich­kei­ten häu­fig in ERP- und CMS-Systemen (Cus­to­mer Rela­ti­onship Management-Systemen).” – Mat­thi­as Herkert

Im Rah­men einer Kon­trol­le plant das Baye­ri­sche Lan­des­amt für Daten­schutz (BayL­DA) die Prü­fung vor­han­de­ner und wirk­sam ein­ge­rich­te­ter Lösch­rou­ti­nen bei grö­ße­ren Unter­neh­men. Fokus soll nach Anga­ben des BayL­DA das DSGVO-konforme und frist­ge­rech­te Löschen per­so­nen­be­zo­ge­ner Daten in ERP-Systemen sein. Dafür sei geplant, den Ein­satz von SAP-Software bei Unter­neh­men hin­sicht­lich der vor­han­de­nen Modu­le bezie­hungs­wei­se Datenlösch-Applikationen zu kon­trol­lie­ren und die erfor­der­li­chen Lösch­kon­zep­te zu begutachten.

Die Unter­su­chun­gen zie­len damit auf die Erfül­lung des in Art. 17 DSGVO nor­mier­ten Betrof­fe­nen­rechts auf Löschung per­so­nen­be­zo­ge­ner Daten ab. Ins­be­son­de­re sind per­so­nen­be­zo­ge­ne Daten bei einem Zweck­weg­fall der Erhe­bung (Art. 17 Abs. 1 lit. a DSGVO), bei einem Wider­ruf der Ein­wil­li­gung (Art. 17 Abs. 1 lit. b DSGVO), bei einem begrün­de­ten Wider­spruch (Art. 17 Abs. 1 lit. c DSGVO) sowie bei einer unrecht­mä­ßi­gen Erhe­bung (Art. 17 Abs. 1 lit. a DSGVO) zu löschen. Der von der Auf­sichts­be­hör­de gewähl­te Fokus auf SAP-Softwarelösungen und deren Lösch­mo­du­le und –appli­ka­tio­nen doku­men­tiert deut­lich die durch die DSGVO gestie­ge­ne Bedeu­tung von Lösun­gen zum Daten­schutz durch Tech­nik­ge­stal­tung und durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen im Sin­ne des Art. 25 DSGVO (pri­va­cy by design / pri­va­cy by default*).

Und obwohl der Fokus der ange­kün­dig­ten Kon­trol­le auf grö­ße­re Unter­neh­men mit SAP-Systemen liegt, zeigt die Aus­rich­tung der auf­sichts­be­hörd­li­chen Daten­schutz­prü­fung erneut, wel­che Bedeu­tung die Auf­sichts­be­hör­den der Umset­zung daten­schutz­recht­li­cher Anfor­de­run­gen durch den Ein­satz tech­ni­scher Maß­nah­men beimessen.

Wäh­rend in grö­ße­ren Unter­neh­men die daten­schutz­recht­li­chen Lösch­anfor­de­run­gen meist durch Modu­l­an­pas­sun­gen und Datenlösch-Applikationen erfüllt wer­den kön­nen, feh­len in klei­nen und mit­tel­stän­di­gen Unter­neh­men die­se soft­ware­sei­ti­gen Mög­lich­kei­ten häu­fig in ERP- und CMS-Systemen (Cus­to­mer Rela­ti­onship Management-Systemen). Eine sys­te­ma­ti­sche und im Sin­ne der Rechen­schafts­pflicht des Art. 5 Abs. 2 DSGVO nach­weis­ba­re Daten­lö­schung gelingt in die­sen Fäl­len meist nur, wenn die per­so­nen­be­zo­ge­nen Daten bereits bei deren Erhe­bung und erst­ma­li­gen Spei­che­rung so gekenn­zeich­net wer­den, dass eine spä­te­re Auf­fin­dung und Löschung (im Zwei­fel­fall auch nur durch manu­el­le Lösch­ein­grif­fe im Rah­men orga­ni­sa­to­ri­scher Maß­nah­men zum Daten­schutz) tat­säch­lich erfol­gen kann. Ins­be­son­de­re beim Ein­satz hete­ro­ge­ner Sys­te­me (z.B. E‑Mail-System, Rech­nungs­er­stel­lung und Auf­trags­ver­wal­tung in unter­schied­li­chen Soft­ware­lö­sun­gen) kann eine wirk­sa­me Ein­rich­tung DSGVO-konformer Lösch­rou­ti­nen und damit eine Ver­mei­dung von Umset­zungs­de­fi­zi­ten der recht­li­chen Lösch­vor­ga­be daher nur gelin­gen, wenn die Anfor­de­run­gen der Artt. 17 u. 25 DSGVO durch­gän­gig geplant und gestal­tet wer­den. Dies setzt in der Pra­xis die Kennt­nis über den Bestand der im Unter­neh­men ver­ar­bei­te­ten Daten­ka­te­go­rien genau­so vor­aus, wie die Ent­wick­lung einer Struk­tur von Regel­lösch­fris­ten und die Defi­ni­ti­on von (ggf. tech­ni­kun­ab­hän­gi­gen) Löschregeln.

Die Anfor­de­run­gen der DSGVO an eine frist­ge­rech­te und nach­weis­ba­re Löschung per­so­nen­be­zo­ge­ner Daten sind bekannt. Die ange­kün­dig­te Kon­trol­le des Bay­DA ist daher ein sinn­vol­ler (letz­ter?) „Remin­der“ für den Abschluss der in der Pra­xis zum Teil noch lau­fen­den Umsetzungsprojekte.

 

Artikel zum selben Thema:

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter