Datenschutzrechtliche datenlöschung leicht gemacht

Von der Einführung bis zur Semiautomatisierung der Datenlöschung unstrukturierter Daten  


Aktuelle Entwicklungen zeigen, dass die datenschutzrechtliche Datenlöschung verstärkt in das Visier der Datenschutzbehörden gelangt. Gerade erst zum Jahreswechsel wurde das in Deutschland bisher höchste (vorläufige) Bußgeld von 14,5 Mio. € ausgesprochen, welches im Wesentlichen auf die Nichtbefolgung der datenschutzrechtlichen Löschpflicht (Art. 5 Abs. 1 lit. e DSGVO) zurückzuführen ist. Dieser Artikel zeigt auf, wie eine praxiserprobte, semiautomatisierte Datenlöschung auf dem Netzlaufwerk funktioniert und worin ihre Vorteile bestehen. 


Personenbezogene Daten sind zeitnah zu löschen / anonymisieren, nachdem der zugrundeliegende Verarbeitungszweck (inkl. möglicher Aufbewahrungspflicht), für den die Daten ursprünglich erhoben wurden, erfüllt ist. Diese Anforderung erstreck sich sowohl auf strukturierten Daten (personenbezogene Daten in Geschäftsanwendungen) als auch auf unstrukturierten Daten (personenbezogene Daten in PDF, Excel, Word, Scans etc.). Anders als personenbezogene Daten, die in Datenbanken einschlägiger Applikationen gespeichert sind, werden unstrukturierte Daten häufig an undefinierten Speicherorten auf dem Netzlaufwerk mehrfach abgelegt. Erschwerend kommt hinzu, dass selbst erstellte Dokumente oft zusätzlich im Entwurfsstand und/oder auf lokalen Festplatten abgespeichert werden. Die Löschung von unstrukturierten Daten wird folglich mit einem hohen manuellen Aufwand in Verbindung gebracht.

Im Zeitalter der Digitalisierung sollte ein Unternehmen auch für die Datenlöschung, einen möglichst hohen Automatisierungsgrad anstreben. Doch bevor eine semiautomatisierte Datenlöschung im Tagesgeschäft erreicht werden kann, müssen diverse Voraussetzungen erfüllt sein, welche im Rahmen einer Einführungsphase zu schaffen sind. Sind diese Voraussetzungen gegeben, kann basierend auf zu programmierenden Skripten eine praktikable semiautomatisierte Löschung von unstrukturierten Daten eingeführt werden, die keine aufwendige und kostspielige Implementierung einer neuen IT-Anwendung mit sich zieht.


Einführungsphase

Unabhängig davon, ob die unstrukturierten Daten auf dem Netzlaufwerk später manuell oder semiautomatisiert gelöscht werden sollen, sind die folgenden vier Aktivitäten der Einführungsphase unabdingbar.


Festlegung von Verantwortlichkeiten

Essenziell für die Einführungsphase als auch die spätere Durchführung der Datenlöschung im Tagesgeschäft, ist die Bestimmung von Verantwortlichkeiten. Hierdurch wird von Anfang an festgelegt, wer die Datenhoheit trägt und an den nächsten Schritten aktiv mitzuwirken hat. In der Regel übernehmen die betroffenen Fachbereiche die Verantwortung, da diese am besten über ihre Daten im Bilde sind.


Erstellung eines Dokumenten-Inventars  

Zur Gewährleistung einer vollständigen Datenlöschung muss sichergestellt werden, dass alle relevanten Dokumente mit personenbezogenen Daten identifiziert und dokumentiert sind. Dies sollte jeweils von allen relevanten Fachbereichen durchgeführt werden, da identische Dokumente häufig von mehreren Fachbereichen aus unterschiedlichen Verarbeitungszwecken bearbeitet und gespeichert werden (Mehrfachspeicherung).  


Definition und Dokumentation von Löschregeln

Eine Löschregel besteht aus einem festzulegenden Startzeitpunkt (auslösendes Ereignis, im dem oder durch das der definierte Verarbeitungszweck erfüllt wird) und einer Aufbewahrungsdauer. Die große Herausforderung besteht darin, für alle identifizierten Dokument geeignete Löschregeln zu definieren, die unternehmensübergreifend konsistent aufeinander abgestimmt sind (z.B.: Berücksichtigung von Abhängigkeiten zwischen verschiedenen Geschäftsvorfällen). Bei größeren Unternehmen kann das bis zu mehrere hundert Dokumente umfassen.


Einrichtung von Ablagestrukturen inkl. Namenskonventionen

Die Voraussetzung für eine (effiziente) turnusmäßige Löschung von unstrukturierten Daten auf dem Netzlaufwerk, ist die Einrichtung von sinnvollen Ablagestrukturen inkl. Namenskonventionen. Betroffene Dokumente sollten je Abteilung auf sinnvolle Ordner-Level aggregiert werden, so dass Dokumente zukünftig schnell und intuitiv abgelegt und wiedergefunden sowie mit wenig Aufwand gelöscht werden können.

 

Umsetzung der semiautomatisierten Datenlöschung

Nachdem in der Einführungsphase der erforderliche Rahmen rundum die Punkte wer, was und wann definiert und abgestimmt wurden, bleibt lediglich die Frage offen, wie die unstrukturierten Daten zukünftig gelöscht werden sollen.


Nach der Einführungsphase können die unstrukturierten Daten mit Hilfe des geschaffenen Rahmens bereits auf manuellem Wege turnusmäßig (z.B.: jährlich) gelöscht werden. Hierbei muss jede betroffene Abteilung basierend auf ihrer festgelegten Ordnerstruktur manuell prüfen, welche Geschäftsvorfälle (Ordner / Dokumente) basierend auf ihrer Löschregel überfällig und zu löschen sind. Diese Vorgehensweise zieht generell einen hohen manuellen Aufwand als auch eine hohe Fehleranfälligkeit mit sich. Im Zeitalter der Digitalisierung, in dem Prozesse einen hohen Automatisierungsgrad aufweisen sollten, erscheint die zuvor beschriebene manuelle Löschprozedur (je Bereich / Abteilung) als überholt.


In absolvierten Projekten zur datenschutzrechtlichen Datenlöschung, wurde der zuvor genannte Anspruch nach einer technisch gestützten Lösung noch einmal unterstrichen. Verantwortliche Führungskräfte forderten nach einer automatisierten Lösung, die zwei Voraussetzungen erfüllt. Die Lösung müsse pragmatisch sein und dürfe keine Einführung eines Tools (inkl. Lizenz- und Wartungskosten) mit sich ziehen.


Lösung: Eine semiautomatisierte Datenlöschung basierend auf Microsoft Powershell Skripten

Um den zuvor geforderten Ansprüchen gerecht zu werden, muss die Lösung dazu fähig sein, vorhandene Ressourcen intelligent und effektiv zu nutzen. Infolgedessen wurde ein Lösungsansatz konzipiert, der auf den folgenden zwei Voraussetzungen bzw. Grundannahmen basiert:


   1.   Die überwiegende Mehrheit aller Unternehmen nutzt Microsoft Windows als Betriebssystem

   2.  Jedes Unternehmen verfügt über mindestens ein Bestands- bzw. Buchführungssystem, in dem alle relevanten Informationen zu Geschäftsvorfällen laufend abgebildet werden


Sind beide oben genannten Punkte gegeben, steht der pragmatischen Lösung nichts mehr im Wege. Grundsätzlich muss lediglich ein unternehmensindividuelles Programm (Powershell Skript) implementiert werden, welches auf der windowseigenen Programmier-/Befehlssprache basiert.


Ist das Programm final abgenommen, muss diesem lediglich noch mitgeteilt werden, nach welchen spezifischen Daten es zu suchen hat. Und an genau dieser Stelle kommt das Bestandssystem zum Einsatz. Mit Hilfe des Bestandssystems und der sinnvollen Nutzung von Abfrageparametern können in der Regel hilfreiche Reports erstellt werden, die als Eingabe für die programmierte Lösung genutzt werden können. Beispielweise kann mit Hilfe der Reports eine Übersicht aller Verträge erstellt werden, deren Kündigung länger als 10 Jahre zurückliegen, welche aus Datenschutzsicht nun gelöscht werden müssen (Ablauf der handels-/steuerrechtliche Aufbewahrungspflicht). An dieser Stelle muss das erstellte Programm lediglich den zuvor genannten Report auslesen, um systemgestützt die betroffenen Geschäftsvorfällen (Ordner / Dokumente) auf dem Netzlaufwerk zu identifizieren. Im Anschluss können die identifizierten Treffer qualitätsgesichert werden, bevor die finale Löschung manuell bestätigt und computergestützt vollzogen wird (semiautomatisierte Datenlöschung).

 

Vorteile der Microsoft Powershell Skripte

Im Folgenden werden die drei wesentlichen Vorteile der semiautomatisierten Datenlöschung basierend auf Microsoft Powershell Skripten dargestellt.


Sehr geringe Implementierungskosten

Da der Lösungsansatz auf vorhandenen Ressourcen basiert, sind die Entwicklungs- und Einführungskosten nahezu geschenkt. Wird für die Einführung eine externe Beratungsleistung in Anspruch genommen werden, sollte die grundliegende Implementierung in ca. 3-5 Personentage vollzogen sein.


Revisionssicher: Nachvollziehbare und vollständige Löschung

Basierend auf den Reports aus dem Bestandführungssystems kann nachvollziehbar aufgezeigt werden, welche Geschäftsvorfälle (Ordner / Dokumente) zur Löschung bevorstehen.

Wird die Datenlöschung semiautomatisiert mit Hilfe der Skripte ausgeführt, so kann mit hoher Wahrscheinlichkeit davon ausgegangen werden, dass alle betroffenen, überfälligen Geschäftsvorfälle (Ordner / Dokumente) basierend auf den Reports des Bestandssystem erfasst und gelöscht wurden.


Flexible und dezentrale Anwendbarkeit der Skripte

Der zugrundeliegende Skript-Programmcode ist grundsätzlich flexibel, kann beliebig oft dupliziert und auf die individuelle Situation angepasst werden. Dies ist von besonderer Relevanz für Unternehmen, da eine Datenlöschung von zentraler Stelle (auf dem Netzlaufwerk) nicht angeraten werden kann. Aufgrund einer individuellen Ordnerstruktur je Abteilung / Niederlassung / Tochtergesellschaften / etc., muss jede Einheit ihre eigenen Ordner / Dokumente löschen.

 

Kontaktieren Sie uns

Wollen Sie mehr wissen, wenden Sie sich an uns. Wir beraten Sie gerne bei Erstellung und Umsetzung Ihres Löschkonzeptes im Rahmen der datenschutzrechtlichen Datenlöschung.