Das Datenschutzrecht in Großbritannien hat sich durch den Brexit geändert. Die neuesten Anleitungen finden Sie hier.
Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen eine Richtlinie zur Vorratsdatenspeicherung erstellen, die ihnen hilft, den Umgang mit personenbezogenen Daten zu verwalten.
Wenn Sie sensible Daten zu lange aufbewahren – auch wenn sie sicher aufbewahrt und nicht missbraucht werden – verstoßen Sie möglicherweise immer noch gegen die Anforderungen der Verordnung.
Das klingt vielleicht zu streng, aber es gibt einen guten Grund dafür. In diesem Blog erklären wir, warum dies der Fall ist, wie Richtlinien zur Vorratsdatenspeicherung funktionieren und wie Sie eine Richtlinie gemäß den Anforderungen der DSGVO erstellen können.
Was ist eine Richtlinie zur Vorratsdatenspeicherung?
Eine Richtlinie zur Vorratsdatenspeicherung ist eine Reihe von Richtlinien, die Organisationen dabei unterstützen, den Überblick darüber zu behalten, wie lange Informationen aufbewahrt werden müssen und wie die Informationen entsorgt werden können, wenn sie nicht mehr benötigt werden.
Die Richtlinie sollte auch den Zweck der Verarbeitung personenbezogener Daten beschreiben. Dies stellt sicher, dass Sie über dokumentierte Nachweise verfügen, die Ihre Aufbewahrungsfristen und Entsorgungsfristen rechtfertigen.
Ziele und Vorgaben
Wenn Sie sich an die Panik vor dem Inkrafttreten der DSGVO erinnern, haben Sie ein sehr gutes Verständnis dafür, warum Aufbewahrungsfristen für Daten unerlässlich sind.
Organisationen, die seit Jahren nicht mehr mit uns interagiert hatten, kamen aus dem Holz, um unsere Zustimmung zur Aufbewahrung unserer Daten einzuholen.
Es zeigte, wie oft unsere Datensätze in den Datenbanken der Organisation gespeichert sind, lange nachdem wir ihre Dienste nicht mehr genutzt haben.
Die Organisation möchte die Informationen nicht loswerden, da es praktisch nichts kostet, Kundendaten zu speichern, aber die unnötige Aufbewahrung setzt sie Sicherheitsbedrohungen aus.
Es braucht nur ein Stück Pech, damit die Systeme einer Organisation durchbrochen werden, sei es ein Cyberangriff oder ein interner Fehler.
Um den Schaden zu begrenzen, den Datenschutzverletzungen verursachen können, haben die Regulierungsbehörden vorgeschrieben, dass in der EU ansässige Organisationen personenbezogene Daten nur dann aufbewahren müssen, wenn ein legitimer Grund dafür besteht.
Wie lange können personenbezogene Daten gespeichert werden?
Trotz der offensichtlichen Strenge der Datenaufbewahrungsfristen der DSGVO gibt es keine Regeln zur Speicherbegrenzung.
Organisationen können stattdessen ihre eigenen Fristen auf der Grundlage von Gründen festlegen, die sie für richtig halten. Die einzige Anforderung ist, dass die Organisation dokumentieren und begründen muss, warum sie den Zeitrahmen festgelegt hat.
Die Entscheidung sollte auf zwei Schlüsselfaktoren beruhen: dem Zweck der Verarbeitung der Daten und etwaigen behördlichen oder gesetzlichen Anforderungen für die Speicherung.
Daten sollten nicht länger als nötig aufbewahrt werden und sollten nicht für den Fall aufbewahrt werden, dass Sie sie in Zukunft benötigen.
Solange einer Ihrer Zwecke noch zutrifft, können Sie die Daten weiterhin speichern.
Sie sollten auch Ihre gesetzlichen und behördlichen Anforderungen zur Aufbewahrung von Daten berücksichtigen. Wenn die Daten beispielsweise Steuer- und Wirtschaftsprüfungen unterliegen oder definierten Standards entsprechen, gibt es Richtlinien zur Datenaufbewahrung, die Sie befolgen müssen.
Sie können planen, wie Ihre Daten verwendet werden und ob sie für die zukünftige Verwendung benötigt werden, indem Sie eine Datenflusskarte erstellen. Dieser Prozess ist auch hilfreich, wenn es darum geht, Daten zu finden und zu entfernen, sobald Ihre Aufbewahrungsfrist abgelaufen ist.
Es gibt zwei Möglichkeiten, wie Sie Fristen für die Vorratsdatenspeicherung vermeiden können. Die erste besteht in der Anonymisierung von Daten; Dies bedeutet, dass die Informationen nicht mit einer identifizierbaren betroffenen Person in Verbindung gebracht werden können.
Wenn Ihre Daten anonymisiert sind, können Sie sie gemäß der DSGVO so lange aufbewahren, wie Sie möchten.
Sie sollten jedoch vorsichtig sein, wenn Sie dies tun. Wenn die Informationen zusammen mit anderen Informationen, die die Organisation besitzt, verwendet werden können, um eine Person zu identifizieren, werden sie nicht ausreichend anonymisiert.
Sie können Aufbewahrungsfristen auch umgehen, wenn die Informationen zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken aufbewahrt werden.
Umgang mit Daten nach Ablauf der Aufbewahrungsfrist
Nach Ablauf der Aufbewahrungsfrist haben Sie zwei Möglichkeiten: Löschen oder anonymisieren.
Wenn Sie die Daten löschen möchten, müssen Sie sicherstellen, dass alle Kopien verworfen wurden. Dazu müssen Sie herausfinden, wo die Daten gespeichert sind. Ist es eine digitale Datei, Hardcopy oder beides?
Es ist einfach, Hardcopy-Daten zu löschen, aber digitale Daten hinterlassen oft Spuren und Kopien können sich in vergessenen Dateiservern und Datenbanken befinden.
Um der DSGVO zu entsprechen, müssen Sie die Daten nicht mehr verwenden. Alle Kopien der Daten sollten aus Live- und Backup-Systemen entfernt werden.
So erstellen Sie eine Richtlinie zur Datenaufbewahrung
Ihre Richtlinie zur Datenaufbewahrung sollte Teil Ihres gesamten Dokumentationsprozesses zur Informationssicherheit sein.
Der erste Schritt besteht darin, sich ein vollständiges Bild davon zu machen, welche Daten Sie genau verarbeiten, wofür sie verwendet werden und welche Vorschriften für Ihr Unternehmen gelten.
Diese Vorschriften umfassen, sind aber nicht unbedingt darauf beschränkt, die DSGVO. Wenn Sie beispielsweise Debit- oder Kreditkarteninformationen von Einzelpersonen verarbeiten, unterliegen Sie möglicherweise dem PCI DSS (Payment Card Industry Data Security Standard).
Wenn Sie beabsichtigen, die ISO 27001, die internationale Norm, die bewährte Verfahren für die Informationssicherheit beschreibt, einzuhalten, müssen Sie deren Anforderungen beachten.
Diese Compliance-Anforderungen legen fest, welche Informationen in Ihre Richtlinie aufgenommen werden müssen und welche Regeln sie befolgen sollten.
Eine einfache Richtlinie zur Vorratsdatenspeicherung:
- Die Arten von Informationen, die in der Richtlinie behandelt werden
Verschiedene Arten von Informationen unterliegen unterschiedlichen Regeln, daher müssen Sie aufzeichnen, welche Daten Sie verarbeiten – ob Namen, Adressen, Kontaktdaten, Finanzunterlagen usw.
- Wie lange Sie berechtigt sind, Informationen aufzubewahren
Kunden sind manchmal überrascht, wenn wir ihnen mitteilen, dass die DSGVO keine spezifischen Fristen für die Aufbewahrung von Daten festlegt. Die Dauer, für die Sie bestimmte Daten speichern, ist eine subjektive Entscheidung, die Sie aufgrund Ihrer Gründe für die Verarbeitung der Daten treffen.
- Was Sie mit Daten tun sollten, wenn sie nicht mehr benötigt werden
Das regelmäßige Löschen unnötiger Daten reduziert auch die Datenmenge, die Sie durchsuchen müssen, um den Zugriffsanforderungen der betroffenen Personen nachzukommen. Es reduziert auch die Kosten für Lagerung und Dokumentenmanagement.
Wenn Sie Ihre Datenaufbewahrungsrichtlinie regelmäßig durchgehen, können Sie doppelte und veraltete Dateien bereinigen und entfernen, um Verwirrung zu vermeiden und die erforderlichen Suchvorgänge zu beschleunigen.
Probieren Sie unsere Richtlinienvorlage zur Datenaufbewahrung aus
Das Erstellen einer Richtlinie zur Datenaufbewahrung kann wie eine entmutigende Aufgabe erscheinen, aber mit unserem DSGVO-Toolkit wird der Prozess vereinfacht.
Es enthält alles, was Sie zur Einhaltung der Verordnung benötigen, einschließlich einer Vorlage für die DSGVO-Richtlinie zur Vorratsdatenspeicherung, mit der britische Unternehmen Ihren Compliance-Ansatz formalisieren und gleichzeitig Zeit und Geld sparen können.
Dieses Toolkit enthält auch:
- Ein Lückenanalyse-Tool, mit dem Sie Ihre allgemeinen Compliance-Praktiken messen können;
- Anleitung zur Vervollständigung Ihrer Dokumentationsanforderungen mit Vorlagen zur Pseudonymisierung, Minimierung und Verschlüsselung, um nur einige zu nennen;
- Eine Rollen- und Verantwortlichkeitsmatrix, die Ihnen hilft zu verstehen, wer bestimmte Aufgaben und Funktionen überwacht.
Eine Version dieses Blogs wurde ursprünglich am 12 November 2018 veröffentlicht.