Jedes Jahr ist sie wieder fällig für alle, die personenbezogene Daten verarbeiten: die Löschung der personenbezogenen Daten. Und wie jedes Jahr ist dabei viel Arbeit zu tun…

Die Datenschutz-Grundverordnung (Wikipedia) gilt für sehr viele Menschen und Organisationen - siehe dazu Artikel 2 der DSGVO.

Nach Ablauf der Fristen sind die personenbezogenen Daten zu löschen. Wie man die DSGVO auf die eigene Selbständigkeit anwendet, dazu habe ich bereits Tipps im Artikel DS-GVO: Tipps für die Umsetzung gegeben.

Heute möchte ich davon berichten, wie ich als Inhaber von IT-MÜCKE die DSGVO umsetze.

Auch ich benutze das IT-MÜCKE Kundenmanagement-System (KMS). Dort gibt es eine eigene Rubrik für die DSGVO - ich habe das im Handbuch von IT-MÜCKE KMS näher beschrieben: Modul Verzeichnis von Verarbeitungstätigkeiten.

Zuerst steht das Sammeln der Verarbeitungstätigkeiten von personenbezogenen Daten: womit verarbeite ich solche Daten? Dabei denke ich an Adressbücher, Messenger, sie zum Beispiel WhatsApp oder Instagram, für die Kommunikation mit Kunden, E-Mails, Kundenverwaltungssysteme, die Buchhaltung, Rechnungen, Verträge, Unterlagen und Kalendereinträge.

Kurz: überall, wo Namen, Adressen oder direkte Kommunikation zwischen meinen Kunden und mir in welcher Form auch immer gespeichert oder physisch vorliegt, dort verarbeite ich personenbezogene Daten.

Ich habe für mich diese Orte gesammelt und dann in IT-MÜCKE KMS erfasst (in der Verarbeitungstätigkeiten).

Bei der Erfassung gibt es das Feld Prozessbeschreibung Löschung. Dort trug ich ein, was zu tun ist, um die von der Löschung betroffenen Daten zu finden und anschließend zu löschen. Das kann mitunter aufwändig sein, weil die benutzten Werkzeuge vielleicht gar keine Löschung zulassen oder diese nur umständlich durchzuführen ist. Daher ändert sich jedes Jahr ein Teil der Einträge dazu, weil ich bessere Wege zur Umsetzung finde und entsprechend die Beschreibung anpasse.

Beispielsweise zeigte sich, dass das Löschen von Kontakten und Kalendereinträgen in Nextcloud langwierig und umständlich ist. Daher benutze ich Thunderbird, um auf die Daten in Nextcloud zuzugreifen. Die Löschung dort ist sehr einfach umzusetzen.

Bei der Abarbeitung der Löschungen ist manchmal auch die Reihenfolge wichtig: welche Daten sollten zuletzt gelöscht werden, weil dort evt. andere Daten dran hängen? Auch darauf achte ich.

Ganz am Ende gehe ich meine Papierablage durch und entferne alles, was den aufzuhebenden Zeitraum überschritten hat. Das bringe ich dann zu einem professionellen Aktenvernichter.

Mich kostet diese Löschung inzwischen noch zwei bis drei Stunden Arbeit. Das war vor wenige Jahren noch anders. Vor der DSGVO war das Thema Datenschutz sehr klein und spielte kaum eine Rolle (obwohl es davor bereits natürlich schon entsprechende Vorschriften gab!). Daher habe ich zu Beginn meiner Selbständigkeit kaum Gedanken auf die sehr viel später notwendige Datenlöschung verschwendet. Ein Fehler. So habe ich viele verschiedene Tools und Systeme benutzt - etwas, was mir jetzt viel Arbeit bereitet. Erst durch die Routine und die Dokumentation konnte ich den Aufwand reduzieren. Auch das ist übrigens ein Zweck des DSGVO: die Prozesse dokumentieren und durchführbar gestalten.

Sollten Sie mit der Selbständigkeit gerade beginnen, dann machen Sie sich idealerweise sofort Gedanken darüber, wo Sie Daten speichern und ablegen. Notieren Sie sich das sofort und überlegen Sie sich auch, wie sie die Daten finden und löschen können.

Denken Sie auch an Backups der Daten (Sie müssen die relevanten Daten für mögliche Prüfungen durch das Finanzamt vorhalten) und Auskunftspflichten (beispielsweise bei einer Anfrage durch einen Kunden).

Notieren Sie sich das und lesen Sie diese Doku gut ab. Sie brauchen Sie vielleicht erst viele Jahre später - aber dann umso notwendiger.

Das beste, was die DSGVO leistet, ist meiner Meinung nach die Sensibilisierung dafür, möglichst wenig Daten in möglichst wenig Werkzeugen zu erfassen. Und genau das ist doch der Zweck der DSGVO: Minimierung der Datenerfassung und klare Prozesse und Vorgaben zur Datenlöschung.

IT-MÜCKE KMS hilft Ihnen dabei (aber auch jedes andere strukturierte Verzeichnis, siehe dazu bspw. Datenschutz für Kleinunternehmen). Tun Sie es zeitnah - es wird Ihnen später eine große Hilfe sein.

Und hier ein paar Stichwortartige Tipps zum Thema DSGVO:

• Kontoauszüge enthalten auch personenbezogene Daten
• Kalendereinträge: legen Sie sich sofort einen eigenen Kalender nur für die Selbständigkeit an und mischen Sie nicht die Termine
• Legen Sie sich sofort eine eigene E-Mail-Adresse für Ihre Geschäftsmails an und mischen Sie nicht gechäftllich mit privat
• Sie machen sich gerne handschriftliche Notizen? Auch diese müssen irgendwann gelöscht/vernichtet werden.
• Verschlüsselung von Festplatten ist eine wirksame Methode, den Datenschutz zu gewährleisten. Die Entsorgung bleibt gleich aufwändig, aber das Risiko von Datenabflüssen ist sehr viel geringer.
• Vergessen Sie nicht alte Mobiltelefone - dort können auch noch Kontakte oder Termine eingetragen sein.
• Speichern Sie Dateien Ihrer Kunden sofort in einem eigenen Verzeichnis.
• Erfassen Sie für jeden Kunden, wann Sie das letzte mal DSGVO-relevant Kontakt mit diesem hatten. Das macht es ungemein einfacher, diese Kunden nach Ablauf der Speicherfristen als Löschkandidaten zu erkennen.

Ähnliche Themen im blog:
dsgvo, datenschutz, kms

zurück