Gastkommentar
Gesetzeskonformer Datenschutz
Fortsetzung des Artikels von Teil 1
Gesetzeskonformer Datenschutz
Deutlich wird die komplexe Problemstellung am Beispiel der personenbezogenen Kundendaten in der Telekommunikation. Für Verkehrsdaten, die beispielsweise Auskunft über die Rufnummern beteiligter Anschlüsse, Datum, Uhrzeit, Gesprächsdauer, etc. geben, wird gefordert, dass diese unverzüglich nach Beendigung des Gesprächs und erfolgreicher Abrechnung durch den Dienstanbieter zu löschen sind. Unbedingt zu berücksichtigen sind in diesem Zusammenhang mögliche Mahnverfahren, strittige Forderungen und andere Rechtsabhängigkeiten. Der Grund: Sie können eine verlängerte Aufbewahrung der personenbezogenen Daten rechtfertigen.
Eine weitere Klasse personenbezogener Kundendaten, die der Gesetzgeber im Auge hat, bilden die Bestandsdaten. Dies sind die Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses von Telekommunikationsdiensten erhoben werden. Name, Geburtsdatum, Bankverbindung gehören beispielsweise zu diesen Daten. Konkret ist das Unternehmen regelmäßig und spätestens bei Vertragskündigung verpflichtet, Daten von ehemaligen Kunden mit Ablauf des auf die Vertragsbeendigung folgenden Kalenderjahres zu sperren. Hierbei ist jedoch die handelsrechtliche Aufbewahrungsfrist von 10 Jahren (§257 HGB) zu berücksichtigen, bevor die endgültige Löschung dieser Daten erfolgen kann.
Ebenfalls nicht unterschätzt werden sollte der Aufwand, den so genannte Legacy-Systeme verursachen können. Dabei handelt es sich um historisch gewachsene IT-Anwendungen, die oft nur mit hohem Aufwand datenschutzkonform betrieben werden können. Auch beim Outsourcing von Services ist auf die Einhaltung der Datenschutzbestimmungen zu achten.
Eigentumsverhältnisse und Verantwortlichkeiten, wie für Datenlöschungen rund um die externe Datenverarbeitung (Auftragsdatenverarbeitung), müssen häufig juristisch geklärt werden. Diese Klärungen sind enorm bedeutsam, weil in letzter Konsequenz das Unternehmen für die Einhaltung der Datenschutzbestimmungen in der Pflicht steht und nicht der Dienstleister. Demzufolge sollte genau festgehalten werden, welche Informationen der Dienstleister bereitstellen muss, damit das Unternehmen für die ausgelagerten Daten die Erfüllung seiner Datenschutzpflichten nachweislich belegen kann.
Zur Steuerung derart komplexer Sachverhalte, wie die flächendeckende Einhaltung datenschutzrechtlicher Anforderungen, eignen sich Governance-Konzepte. Sie bilden die Grundlage für die Benennung von Verantwortlichkeiten und die Definition erforderlicher Prozesse innerhalb der Organisation. Denn das Top-Management muss jederzeit wissen, wie es im Unternehmen tatsächlich um den Datenschutz bestellt ist.
Für einen ersten Eindruck zum Status des Datenschutzes im Unternehmen, empfiehlt sich ein Datenschutz-Quick-Scan, wie ihn große Beratungshäuser anbieten. Damit werden die signifikanten Schwachstellen aufgedeckt, kritische Handlungsfelder ermittelt und Maßnahmen priorisiert. Mit Aufnahme des regulären Geschäftsbetriebs sollte eine schlanke Datenschutzorganisation mit entsprechenden Verantwortlichkeiten, Prozessen, Kontrollen und Aufgaben etabliert werden, um dem Datenschutz qualitativ und rechtskonform nachhaltig Rechnung zu tragen.
- Gesetzeskonformer Datenschutz
- Gesetzeskonformer Datenschutz
Lesen Sie mehr zum Thema
