DSGVO-Fallstricke bei der Datenarchivierung

Zu viel des Guten

Gegen die "Deutsche Wohnen" wurde im Oktober 2019 von der Berliner Datenschutzbeauftragten ein Rekordbußgeld in Höhe von 14,5 Millionen Euro verhängt. Insbesondere die Archivierung von Geschäftsdaten stand dabei im Fokus. Der Security-Tipp in diesem Monat zeigt Fallstricke bei der Datenarchivierung auf und erläutert die Anforderungen an eine DSGVO-konforme Speicherung.
Nicht erst die stetigen Ransomware-Angriffe verdeutlichen den enormen Stellenwert von Backups im Unternehmen: Ein falscher Klick genügt und schon steht die ... (mehr)

Für das Sammeln, Speichern, Archivieren und Löschen von Geschäftsdaten gibt es von unterschiedlichen Seiten mehrere Anforderungen. So formulierte etwa das Bundesministerium der Finanzen im Jahr 2014 die "Grundlagen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)" [1]. Der Fiskus definiert die Anforderung, dass sich Geschäftsvorfälle auch Jahre später noch "[...] in ihrer Entstehung und Abwicklung lückenlos verfolgen lassen". Dabei gelten in den meisten Fällen, je nach Dokumententyp, Aufbewahrungsfristen von sechs oder zehn Jahren. § 5 der bayerischen "Verordnung über Schülerunterlagen" aus dem Jahr 2015 fordert beispielsweise bis zu 50 Jahre Aufbewahrungsfristen für das Schülerstammblatt einschließlich persönlicher Angaben der Schüler, der Erziehungsberechtigten oder der Schullaufbahn, Abschlusszeugnisse oder Urkunden, die zum Führen einer Berufsbezeichnung führen.

Den rechtlichen Anforderungen für das Speichern von personenbezogenen Daten stehen die Richtlinien in der Datenschutz-Grundverordnung (DSGVO) [2] dabei nicht entgegen. Denn dort ist insbesondere das Speichen bei gesetzlicher Grundlage vorgesehen. Allerdings müssen alle erhobenen Daten bei einer längerfristigen Aufbewahrung eindeutig einer gesetzlichen Vorgabe zugewiesen werden können. So ist es also möglich, dass Teile eines Kundendatensatzes nach sechs Jahren und andere nach zehn Jahren zu löschen sind. Gibt es keine rechtliche Verpflichtung, fallen die Daten noch viel eher unter die Löschpflicht – spätestens wenn keine Kundebeziehung mehr besteht. Und genau an diesem Unterschied in der Behandlung störte sich die Berliner Datenschutzbeauftragte bei der Deutschen Wohnen.

Während die Stammdaten von Kunden, Rechnungen oder auch Mahnungen entsprechend gesetzlicher Fristen aufzubewahren sind, ist dies eben nicht für Dokumente zwingend, die

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020