Top

HMD Praxis der Wirtschaftsinformatik

Published in:

06-06-2017 | Spektrum

Datenschutz-konformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU DS-GVO

Authors: Wilhelm Berning, Kyrill Meyer, Lutz Keppeler

Published in: HMD Praxis der Wirtschaftsinformatik | Issue 4/2017

Activate our intelligent search to find suitable subject content or patents.

search-config

AI-assisted search

Off

Zusammenfassung

In einer Zeit, in der die Ressource „Information“ mehr und mehr an Bedeutung gewinnt und Daten einen wesentlichen Produktionsfaktor ausmachen, wird die Notwendigkeit eines qualifizierten Daten-Managements umso wichtiger. Entscheidungsprozesse basieren auf Daten und führen nur dann zu richtigen und erfolgversprechenden Entwicklungen, wenn die Datengrundlage richtig und aktuell ist. Dies verlangt eine qualifizierte Bewirtschaftung der Ressource Daten. Damit verbunden ist ebenso ein Datenmanagement, das die Rechtskonformität der Daten gewährleistet.

Mit der neuen EU Datenschutzgrundverordnung (EU-DSGVO) besteht weiterhin die Verpflichtung zur Löschung wenn die Zweckerfüllung gegeben ist. Gegenüber dem BDSG sind deutlich höhere Sanktionen festgelegt worden. Insofern ist es notwendig, das Datenmanagement so aufzusetzen, dass ein kontinuierlicher und systematischer Löschprozess aufgesetzt wird. Nachfolgend werden dieser Löschprozess und seine Umsetzung näher beschrieben. Insbesondere wird aufgezeigt, dass eine enge Zusammenarbeit zwischen dem IT-Entwicklungsbereich und dem IT-Operationsbereich geboten ist. Die IT-Operations muss sich darauf vorbereiten, dass sie auf Grund der systematischen Weiterentwicklung der betrieblichen Anwendungssysteme jährlich neue bzw. überarbeitete Löschroutinen einsetzen muss. Abschließend wird auf ein laufendes Innovationsprojekt Bezug genommen. In diesem wurden Lösungen entwickelt, um unmittelbar bei der Entwicklung betrieblicher Anwendungssysteme die planmäßige Löschung von Daten zu berücksichtigen sowie eine Datensatz-orientierte Zugriffsteuerung zur Umsetzung datenschutzrechtlicher Anforderungen zu ermöglichen.

previous article Liquide Demokratie zur Verbesserung der Beteiligungskultur

next article Rezension „Public Participation“

Dont have a licence yet? Then find out more about our products and how to get one now:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 390 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Maschinenbau + Werkstoffe

Jetzt Wissensvorsprung sichern!

inform now

HMD Praxis der Wirtschaftsinformatik

HMD liefert IT-Fach- und Führungskräften Lösungsideen für ihre Probleme, zeigt ihnen Umsetzungsmöglichkeiten auf und informiert sie über Neues in der Wirtschaftsinformatik (WI).

inform now

Die EU DS-GVO tritt nach einer zweijährigen Übergangszeit in allen Nationalstaaten der EU am 25.05.2018 in Kraft.

Das Recht auf Einschränkung der Verarbeitung steht unmittelbar dem Betroffenen zu. Ein selbständiges Tätigwerden des Verantwortlichen begründet die Norm nicht; vgl. Kamlah in Plath (2016) Art. 18 Rn. 3.

Vgl. u. a.: http://www.n-tv.de/panorama/Datenschutz-ins-Grundgesetz-article15513.html: „Ich trete für eine deutliche Aufstockung der Strafe ein, denn es kann nicht sein, dass ein Unternehmen, das gegen das Gesetz verstößt, ein Bußgeld erhält, das so niedrig ist, dass es aus der Portokasse bezahlt werden kann“, sagte Schaar dem „Hamburger Abendblatt“. (letztmalig aufgerufen am 09.01.2017).

Hinweis: das Gesetz sagt (vereinfacht): ist der Zweck erfüllt, sind die Daten zu löschen. Insofern spielt der Zweck der Verarbeitung eine zentrale Rolle.

Kühling und Klar (2014, S. 509) sprechen von Typisierung bzw. qualitativer Eingrenzung von Datensätzen, um spezifiziert Aufbewahrungsfristen zuordnen zu können, die eine Speicherung über den eigentlichen Löschzeitpunkt hinausgehend begründen. Die hier eingeführten Datencluster greifen prinzipiell den Gedanken auf und führen ihn in Richtung einer operationalisierten selektiven und IT-gestützten Löschung weiter.

LG Hamburg zur Einwilligungserklärung im Rahmen einer Opt-in-Erklärung. Solange wie ggf. die Existenz einer gegebenen Einwilligung nachweisbar sein müsse, dürften die entsprechenden Daten auch gespeichert werden. Mit Bezug auf § 11, Abs. 4 UWG drei Jahre. LG Hamburg: Az: 312 O 362/08, 23. Dezember 2008.

Die Punkte „Rückrechnung“ und „Vernichtungssperre“ (Infotyp 3246) sollten auch noch im Löschkonzept mit aufgenommen werden; können hier aber auf Grund der dann noch um ein Vielfaches größeren Komplexität nicht weiter behandelt werden.

Das „Jedermann-Verzeichnis“ nach § 4g Abs. 2 BDSG wurde so nicht von der EU DS-GVO übernommen und ist nicht darin enthalten.

Methodische Beschreibung ist nachzulesen in Anke et al. (2017).

Basierend auf dem SAP-Berechtigungsobjekt „P_DURATION“.

Anke J, Berning W, Schmidt J, Zinke C (2017) IT-gestützte Methodik zum Management von Datenschutzanforderungen. Prax Wirtschaftsinform 54(1):67–83. doi:10.1365/s40702-016-0283-0 CrossRef

Artikel-29-Datenschutzgruppe (2010) Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, 16.02.2010 (00264/10/DE WP 169). http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf. Zugegriffen: 29. März 2017

Bartmann P (2009) Die Verantwortung der Wirtschaftsinformatik für die Finanzmarktkrise. Inform Spektrum 32(2):146–152CrossRef

DSAnpUG-EU: Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680.

EU-DSGVO: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). In: OJ L 119, 4.5.2016, p. 1–88. Online verfügbar unter http://data.europa.eu/eli/reg/2016/679/oj. Zugegriffen: 01.06.2017

Kielisch J, Gilberg P, Heck R, Richter J, Röckener F, Schäuble T (2013) SAP ERP HCM – Technische Grundlagen und Programmierung, 3. Aufl. Rheinwerk, SAP Press, Bonn

Kühling J, Klar M (2014) Löschpflichten vs. Datenaufbewahrung Vorschläge zur Auflösung eines Zielkonflikts bei möglichen Rechtsstreitigkeiten. Z Datenschutz 10/2014:493–544

Meyer R (2008) Die Entwicklung des betriebswirtschaftlichen Risiko- und Chancenmanagements. In: Erben R (Hrsg) Risikomanagement in der Unternehmensführung: Wertgenerierung durch chancen- und kompetenzorientiertes Management. Wiley, Weinheim, S 23–60

Ochs C, Richter P, Uhlmann M (2017) Technikgestaltung demokratisieren Partizipatives Privacy by Design; ZD 2/2017 ZD Fokus Seite VIII

Österle H (1995) Business Engineering Prozeß- und Systementwicklung. Band 1: Entwurfstechniken. Springer, Berlin, HeidelbergCrossRef

Plath K‑U (2016) BDSG/DSGVO. Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 2. Aufl. Otto Schmidt, KölnCrossRef

Schuster, Hunzinger (2017) Pflichten zur Datenschutzeignung von Software. Comput Recht 3/2017:141–148

WKWI, W. d. WK (1994) Profil der Wirtschaftsinformatik. Ausführungen der Wissenschaftlichen Kommission der Wirtschaftsinformatik. Wirtschaftsinformatik 36(1):81

Wybitul T (2016) EU-Datenschutz-Grundverordnung im Unternehmen. Praxisleitfaden, 1. Aufl. Fachmedien Recht und Wirtschaft, Frankfurt am Main

Title: Datenschutz-konformes Löschen personenbezogener Daten in betrieblichen Anwendungssystemen – Methodik und Praxisempfehlungen mit Blick auf die EU DS-GVO
Authors: Wilhelm Berning
Kyrill Meyer
Lutz Keppeler
Publication date: 06-06-2017
Publisher: Springer Fachmedien Wiesbaden
Published in: HMD Praxis der Wirtschaftsinformatik / Issue 4/2017
Print ISSN: 1436-3011
Electronic ISSN: 2198-2775
DOI: https://doi.org/10.1365/s40702-017-0333-2

Springer Professional

Zusammenfassung

Please log in to get access to your license.

Dont have a licence yet? Then find out more about our products and how to get one now:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Wirtschaft"

Springer Professional "Technik"

HMD Praxis der Wirtschaftsinformatik

Other articles of this Issue 4/2017

Rezension „Public Participation“

Rezension „Crowd and Art“

Engineering von Neuen Bürgerbeteiligungsinstrumenten am Beispiel von Elektromobilität, Feinstaub und Luftreinhaltung

Smart Government – Partizipation und Empowerment der Bürger im Zeitalter von Big Data und personalisierter Algorithmen

Online Participation

Best Practices für die Mitarbeiter-Partizipation in der Produktentwicklung

Premium Partner