DSGVO Löschung(Konzept,Excel, Lösch-Nachweis)?
Hallo ich bin kleinunternehmer, & betreibe mehrere Webseiten über einen Hostingdienstleister. Ich habe mich schon ausgeibig mit der DSGVO befasst, jedoch finde ich in den wenigsten fällen konkrete Wege/Mittel/Beispiele sie umzusetzen . Die personenbezogenen Daten kommen in der regel über kontaktformulare rein.
1.wie kann ich datenschutzkonform ein Löschkonzept erstellen bzw. mit welchen mitteln in der Praxis umsetzen? (Es geht mir nicht darum wie es aufgebaut sein soll, sondern mit welchen Plugins/ Programmen/ MySQL Einstellungen ich es umsetzen kann.)
2. Speichere die Daten zusätlich in einer Excel Tabelle, wie kann ich es einrichten, dass die Daten in einer Zelle nach genau 12 Monaten gelöscht werden bzw sich die Zelle dann automatisch leert? (Die eingetragene Information soll sich nach genanntem Zeitraum löschen.) (vllt VBA Makro? & Wie?)
3 . Soweit ich weiß besteht auch eine Dokumentationspflicht zur Löschung. Wie kann ich einen Löschnachweis umsetzen den ich z.B. vor gericht als Dokument vorlegen kann?
Ich danke euch für jede produktive & hilfreiche antwort & bitte um verständnis, dass ich als frisch gestarteter Kleinunternehmer noch nicht genug ressourcen für einen Dateschutzbeauftragten vorweisen kann.
2 Antworten
Zunächst solltest Du Dir nochmal Gedanken machen, welche personenbezogenen Daten Du für welche Zwecke wo speicherst.
Zu 1) - ein Konzept kannst Du ja definieren. Wichtig ist, dass Du mit den Fristen zur Löschung entsprechend umgehst. Für die Umsetzung ist es wichtig, dass Du das Datum der Speicherung der personenbezogenen Daten aufnimmst. Jetzt kannst Du ein Skript erstellen, dass z.B. jeden Tag / Woche / Monat läuft und basierend auf dem Erstellungsdatum dann die Kandidaten zur Löschung ermittelt und dann löscht.
2) Analog zu 1) - übertrage das Datum der Erzeugung der personenbezogenen Daten mit und baue dann ein Makro, dass alle Zeilen markiert, die älter als z.B. 12 Monate sind.
3) Das Skript aus 1) und 2) sollte eine Log-Datei generieren und entsprechend mitschreiben, was es tut. Das ist zumindest ein Ansatz und lässt guten Willen erkennen. Eine auditsichere Lösung habe ich leider auch noch nicht gefunden. Ein Mitarbeiter vom Landesamt für Datenschutz in Bayern hat mir mal eine WORM-Lösung vorgeschlagen (Write Once Read Many). Das war aber nicht wirklich praktikabel :-)
Tutorial - hmmmh. Das ist nicht so einfach. Das Skript übernimmt automatisierte Aufgaben und nimmt Dir Arbeit ab. Wenn Du z.B. Daten in einer MySQL-Datenbank abspeicherst, dann ist das Skript eine Abfolge an SQL-Kommandos, die letztlich die Löschung durchführen.
Wenn Du nicht auf die MySQL-Datenbank zugreifen kannst, dann brauchst Du ein Skript, dass über Deinen Web-Shop die Nutzer löscht.
Daher ist es nicht so einfach ein "Tutorial" zu nennen. Es hilft sicherlich, wenn Du Dich mit demjenigen, der Deinen Shop gebaut hat, in Verbindung setzt und das Thema mit ihm diskutierst.
Aber davor brauchst Du das Löschkonzept, damit Du auch weißt, was Du löschen möchtest.
Ich bin freiberuflicher DSB und kann sagen es wäre gut überhaupt ein Löschkonzept zu haben. Wie das genau auszusehen hat steht nirgendwo geschrieben - also hat jeder völlige Freiheit es zu gestalten wie er es für machbar und sinnvoll hält. Es ist auch nicht wichtig dass genau am Tag x gelöscht wird; der Monat oder das Quartal reicht aus. Zum Nachweis reicht ein simples Log so ala "am Tag x wurden 27 Datensätze gelöscht". Spannender ist die Frage nach welcher Spanne sollte gelöscht werden. Aus Datenschutzsicht sobald die Daten nicht mehr benötigt werden. Nur da kommt dann oft unser Finanzminister dazwischen und meint manche Daten sollten 6 oder 10 Jahre aufbewahrt werden.
Und ganz wichtig in dem Kontext: die Datenschutzerklärung auf der Web Site / Web Shop sollte vollständige und richtige Angaben enthalten. Was wird erfasst, wie wird es übertragen, wie wird es verwendet, welche Rechtsgrundlage. Ohne https-Protokoll geht das gar nicht mehr. Und nicht vergessen Hinweis auf die Betroffenenrechte und Beschwerdemöglichkeit bei den Aufsichtsbehörden.
"Wie das genau auszusehen hat steht nirgendwo geschrieben" Aber genau das ist doch meine Frage. Ich finde keine Beispiele das Ganze umzusetzen. Die Daten werden in der Datenbank des servers der Internetseite sowie nochmals in einem Excel Dokument gespeichert.
Kann man sich denn nicht jede Löschung nur vorspiegeln, weil man ja xl-Dateien einfach zB am Explorer kopieren kann? Von daher sehe ich keine Chancen, sowas Gerichts-fest umzusetzen mit xl.
Ist ja schon schwierig genug, eine Finanzbuchhaltung dokumentenecht zu erstellen in xl, und da ist keine Löschung nötig, aber Stornos müssen möglich sein und fälschungssicher dokumentiert werden (geht nur mit Makro-bedientem Spiegel-Blatt und Vorkehrungen, dass man da nicht rankommt- weder man selbst noch andere- bzw jeder Versuch i'was essentielles zerstört: eine Herausforderung)
Gibt es denn eine alternative zu xl mit der die dsgvo relativ einfach möglich ist?
Und wie kann ich ein löschkonzept möglichst einfach in meine Datenbank auf dem Server integrieren? (Wie erstellen ich eins?)
tut mir Leid, auf diesen Gebieten bin ich nicht bewandert. Vllt fragst Du nochmal mit Stichworten zu EDV; dATENSCHUTZ; pERSONALPLANUNG; fINANZEN BZW sTEUERN:
Danke für die sehr Umfangreiche Antwort, aber:
"Jetzt kannst Du ein Skript erstellen"... Ich glaube das kann ich leider nicht, (wir reden hier nicht mehr von Excel oder?) hast Du vllt ein Tutorial oder dergleichen, sodass ich mich in diese Technischen Grundlagen einlesen kann ?