Unternehmen halten zum Teil widerrechtlich personenbezogene Daten ein

Werden gespeicherte personenbezogene Daten nicht mehr benötigt oder haben sie den Zweck ihrer Speicherung erfüllt, sind sie laut Bundesdatenschutzgesetz zu löschen. Dies ist etwa der Fall, wenn ein Auftragsverhältnis oder eine Kundenbeziehung endet. Doch viele verstoßen gegen diese Vorschrift und damit gegen Compliance-Regeln.

Der TÜV Süd Datenschutzindikator (DSI) zeigt, dass viele Unternehmen keine klare Regelung für die Sperrung oder Löschung von nicht länger benötigten Daten haben. Bestehen gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen, dürfen personenbezogene Daten nicht unmittelbar gelöscht werden. In diesem Fall ist der Zugriff zu sperren, damit sie nicht weiter genutzt werden. Spätestens nach Ablauf der Aufbewahrungsfristen oder anderer gesetzlicher Fristen sind gespeicherte personenbezogene Daten jedoch zu löschen.

Daten auch nach der Löschung sicher machen

„Um dem Bundesdatenschutzgesetz gerecht zu werden, müssen Unternehmen klar festlegen, wie mit gespeicherten personenbezogenen Daten umzugehen ist, wenn sie nicht länger benötigt werden“, erklärt Rainer Seidlitz von der TÜV Süd Sec-IT GmbH. „Außerdem sollte der Datenbestand fortlaufend auf personenbezogene Altdaten geprüft und entsprechende Löschungen oder Sperrungen veranlasst werden.“

Wichtig ist, dass personenbezogene Daten auch nach ihrer Löschung nicht gelesen oder kopiert werden können. Denn werden sie durch nicht gelöschte oder nicht vernichtete Datenträger unbefugten Dritten zugänglich, können empfindliche Bußgelder verhängt und Schadensersatzansprüche der Betroffenen geltend gemacht werden.

Keine Konzepte zur Datenvernichtung

Daher sind Datenträger vor ihrer Entsorgung sorgfältig zu löschen oder zu vernichten. Bei 39 Prozent der Befragten gibt es jedoch kein Datenträgervernichtungskonzept für Altgeräte oder Altdatenträger, das die datenschutzrechtlichen Erfordernisse erfüllt und den Mitarbeitern als konkrete Verfahrensanweisung und als allgemeines Regelwerk dient.

Bei Papierdatenträgern wie Akten oder Briefen, die personenbezogene Daten beinhalten, geben dagegen bereits 84 Prozent der Befragten an, dass sie auf eine datenschutzgerechte Vernichtung achten, bevor sie diese entsorgen.

Redaktion QZ
qz <AT> hanser.de

Quelle

reduzieren

TÜV Süd AG

Weiterführende Information

reduzieren

Compliance Management

Regelverstöße können für Unternehmen unüberschaubare Kosten verursachen. Compliance Management hilft, diese Risiken einzudämmen. mehr
05.10.2015
Korruption: Unternehmen fürchten unkalkulierbare Risiken

Viele Unternehmen scheitern an einer systematischen Risikoanalyse bei Lieferanten im Ausland. mehr
20.07.2015
ISO 19600: Einheitlicher Standard für Compliance

An welchem Compliance-Verständnis orientieren sich Unternehmen, wenn sie in vielen Ländern aktiv sind? Zum Teil sind Handlungen im einen Land strafbar, im anderen nicht. Hier hilft die ISO 19600 weiter. mehr
28.04.2015
Compliance wird immer wichtiger

Für Unternehmen steigt der Druck von unterschiedlichen Zielgruppen, Anforderungen lückenlos umzusetzen und zu dokumentieren. mehr