Unternehmen halten zum Teil widerrechtlich personenbezogene Daten ein
Werden gespeicherte personenbezogene Daten nicht mehr benötigt oder haben sie den Zweck ihrer Speicherung erfüllt, sind sie laut Bundesdatenschutzgesetz zu löschen. Dies ist etwa der Fall, wenn ein Auftragsverhältnis oder eine Kundenbeziehung endet. Doch viele verstoßen gegen diese Vorschrift und damit gegen Compliance-Regeln.
Der TÜV Süd Datenschutzindikator (DSI) zeigt, dass viele Unternehmen keine klare Regelung für die Sperrung oder Löschung von nicht länger benötigten Daten haben. Bestehen gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen, dürfen personenbezogene Daten nicht unmittelbar gelöscht werden. In diesem Fall ist der Zugriff zu sperren, damit sie nicht weiter genutzt werden. Spätestens nach Ablauf der Aufbewahrungsfristen oder anderer gesetzlicher Fristen sind gespeicherte personenbezogene Daten jedoch zu löschen.
Daten auch nach der Löschung sicher machen
„Um dem Bundesdatenschutzgesetz gerecht zu werden, müssen Unternehmen klar festlegen, wie mit gespeicherten personenbezogenen Daten umzugehen ist, wenn sie nicht länger benötigt werden“, erklärt Rainer Seidlitz von der TÜV Süd Sec-IT GmbH. „Außerdem sollte der Datenbestand fortlaufend auf personenbezogene Altdaten geprüft und entsprechende Löschungen oder Sperrungen veranlasst werden.“
Wichtig ist, dass personenbezogene Daten auch nach ihrer Löschung nicht gelesen oder kopiert werden können. Denn werden sie durch nicht gelöschte oder nicht vernichtete Datenträger unbefugten Dritten zugänglich, können empfindliche Bußgelder verhängt und Schadensersatzansprüche der Betroffenen geltend gemacht werden.
Keine Konzepte zur Datenvernichtung
Daher sind Datenträger vor ihrer Entsorgung sorgfältig zu löschen oder zu vernichten. Bei 39 Prozent der Befragten gibt es jedoch kein Datenträgervernichtungskonzept für Altgeräte oder Altdatenträger, das die datenschutzrechtlichen Erfordernisse erfüllt und den Mitarbeitern als konkrete Verfahrensanweisung und als allgemeines Regelwerk dient.
Bei Papierdatenträgern wie Akten oder Briefen, die personenbezogene Daten beinhalten, geben dagegen bereits 84 Prozent der Befragten an, dass sie auf eine datenschutzgerechte Vernichtung achten, bevor sie diese entsorgen.
TÜV Süd AG

TÜV SÜD Akademie GmbH
Internet:www.tuvsud.com/akademie
E-Mail: akd.qualitaetsmanagement <AT> tuvsud.com
Kostenloser Download
-
5 Schritte zu einem nachhaltigen Prozessmanagement
-
Prozessreifegrad Assessments
-
Self-Assessment BPM