Erste Schritte einleiten

Umso wichtiger ist es, bei Kunden aktiv zu werden und mit der Umsetzung zu beginnen. In der Regel steht am Anfang eine Analyse, welche personenbezogenen Daten vorhanden sind, wo sie lagern und in welchen Prozessen mit ihnen gearbeitet wird. Daraus lässt sich bereits ein sogenanntes Verfahrensverzeichnis erstellen, das alle Datenverarbeitungsprozesse im Unternehmen dokumentiert. Denn nur so lassen sich Anfragen von Behörden oder Bürgern, die Auskunft über die von ihnen erfassten Daten verlangen, beantworten. Anschließend kann mit verschiedenen Sicherheitslösungen und Security-Services dafür gesorgt werden, dass Daten nicht entwendet, manipuliert oder zerstört werden.

Im nächsten Schritt gilt es, Prozesse aufzusetzen oder anzupassen, damit Daten den DSGVO-Vorgaben entsprechend künftig nur mit Einwilligung der betroffenen Person erhoben und nur für die bei der Erhebung genannten Zwecke genutzt werden. Zudem braucht es Prozesse, um Löschanfragen nachzukommen, was gar nicht so leicht ist, weil die Daten oft an vielen Stellen im Unternehmen gespeichert sind, auch in Backups stecken oder an Cloud-Anbieter weitergereicht wurden. Diese sind als Auftragsdatenverarbeiter verpflichtet, Löschaufforderungen nachzukommen, müssen vom Unternehmen also nur über den Löschwunsch informiert werden. Ob der Cloud-Anbieter seinen Sitz und sein Rechenzentrum innerhalb oder außerhalb der EU hat, ist dafür unerheblich – es reicht die Speicherung beziehungsweise Verarbeitung der Daten von EU-Bürgern, um unter die DSGVO zu fallen.

Oft stehen Löschwünsche allerdings im Widerspruch zu gesetzlichen Aufbewahrungsfristen. Hier gilt: Müssen bestimmte Daten und Dokumente aus beispielsweise steuerrechtlichen oder handelsrechtlichen Gründen ein bestimmte Zeit lang aufbewahrt werden, dürfen sie nicht gelöscht werden und das Löschersuchen ist abzulehnen.