magele-picture - Fotolia

Datenschutz-Grundverordnung: Datenmanagement und Dokumentationspflichten

Um die Betroffenenrechte aus der DSGVO / GDPR umsetzen zu können, müssen Storage-Systeme mit einem umfassenden Datenmanagement verwaltet werden.

Ein wesentliches Element im Datenschutz sind die sogenannten Betroffenenrechte. Die betroffene Person (der / die Betroffene) ist die „bestimmte oder bestimmbare natürliche Person“, auf die sich die personenbezogenen Daten beziehen. Bei Kundendaten ist die betroffene Person also die Kundin oder der Kunde, auf die / den sich die Kundendaten beziehen.

Zu den Betroffenenrechten nach Datenschutz-Grundverordnung (DSGVO/GDPR) gehören insbesondere das neue Recht auf Datenübertragbarkeit und das Recht auf Vergessenwerden, die jeweils Auswirkungen auf das Management von Storage-Systemen haben.

Doch es gibt weitere Betroffenenrechte, die bei der Planung und dem Betrieb von Storage-Systemen beachtet werden müssen, um die Compliance mit der DSGVO/GDPR gewährleisten zu können.

Bereits aus der Bedeutung des Begriffs Betroffenenrechte ist ersichtlich, dass es möglich sein muss, personenbezogene Daten den jeweiligen Betroffenen eindeutig zuzuordnen. Wenn ein Betroffener oder eine Betroffene die entsprechenden Rechte ausüben will, müssen alle zugehörigen Daten dabei berücksichtigt werden. Unternehmen brauchen somit eine umfassende Transparenz über ihre Datenhaltung. Doch was bedeutet dies konkret?

Betroffenenrechte erfordern Transparenz bei Storage-Systemen

Ein Beispiel soll dies illustrieren. So haben Betroffene ein Widerspruchsrecht, sie können also der Verarbeitung ihrer Daten widersprechen. Werden personenbezogene Daten zum Beispiel verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Unternehmen müssen dann wissen, welche die widersprechende Person betreffenden personenbezogenen Daten zum Zwecke von Direktwerbung genutzt werden, um den Widerspruch wirksam umsetzen zu können.

Erforderlich sind Datenmanagement und Datendokumentation

Bei der Speicherung personenbezogener Daten reicht es offensichtlich nicht, die Daten sicher und zuverlässig zu speichern. Unternehmen müssen die jeweils zu einem Betroffenen gehörenden Daten auch finden und die Daten den jeweiligen Betroffenenrechten entsprechend bearbeiten können.

Dies muss im Datenmanagement umgesetzt werden. Dazu müssen die Daten mit Zusatzinformationen (Metadaten) versehen werden, aus denen insbesondere die betroffene Person und der erlaubte Zweck der Verarbeitung hervorgeht.

Das reicht aber noch nicht, die Datendokumentation muss noch mehr Informationen über die Daten enthalten, insbesondere:

  • Welche Rechtsgrundlage gibt es für die Verarbeitung? Wenn es sich um die Einwilligung des Betroffenen handelt, so muss diese Einwilligung entsprechend dokumentiert werden, um der Nachweispflicht nachzukommen.
  • Wurden die Daten direkt bei den Betroffenen erhoben oder nicht? (unterschiedliche Informationspflichten folgen daraus)
  • Haben die Betroffenen verlangt, die Verarbeitung der Daten einzuschränken? (Dann dürfen diese personenbezogenen Daten - von ihrer Speicherung abgesehen - nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden)
  • Haben die Betroffenen die Berichtigung der Daten verlangt und ist diese noch nicht erfolgt?
  • Haben die Betroffenen (berechtigt) die Löschung der Daten verlangt und steht dem noch eine Aufbewahrungsfrist entgegen? Wann läuft diese ab?
  • Haben die Betroffenen der Verarbeitung dieser Daten bereits widersprochen?

Dies sind zahlreiche Informationen, die über die eigentliche Datenspeicherung hinausgehen. Es zeigt sich: Ohne ein professionelles Datenmanagement und ohne eine Datendokumentation kann ein Storage-System nicht betrieben werden, wenn die Compliance mit Vorgaben wie der DSGVO/GDPR sichergestellt werden soll.

Folgen Sie SearchStorage.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Tools & Ratgeber zur Umsetzung der EU-DSGVO

DSGVO: Neue Pflichten gegenüber der Aufsichtsbehörde

DSGVO: Auswirkungen des neuen Bundesdatenschutzgesetzes auf die IT-Sicherheit

IT-SiG: Herausforderung Informationssicherheits-Management-System

Artikel wurde zuletzt im Juli 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Gesetzeskonforme Datenspeicherung

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close