Wann, wo und wie Daten löschen

Wie Sie aus Big Data wirklich null Data machen

Jedem Unternehmen wird empfohlen, so viel wie möglich über seine Kunden zu erfahren und zu speichern. Doch nicht alle Daten dürfen ewig im Besitz der Firma bleiben - für viele Fälle gibt es Löschpflichten nach einer bestimmten Zeit.

Das weltweite Datenvolumen wird bis 2020 um das Zehnfache anwachsen - von derzeit 4,4 Billionen Gigabyte auf 44 Billionen Gigabyte. In Deutschland wird die Menge digitaler Daten von 230 auf 1100 Milliarden Gigabyte steigen - sagt die Studie Digital Universe des Business-Intelligence-Anbieters EMC voraus. Hauptverursacher des Daten-Smogs sind das Marketing und das Internet der Dinge (IoT) mit seinen intelligenten Produkten und den dahinterstehenden Geschäftsmodellen. Zwei Drittel der Informationen im digitalen Universum werden der Studie zufolge von Verbrauchern und Angestellten erzeugt oder gespeichert. Unternehmen haften jedoch für 85 Prozent dieser Daten.

Unternehmen sind verpflichtet, personenbezogene Daten zu löschen, wenn kein ausreichender Grund mehr besteht, sie länger vorzuhalten.
Unternehmen sind verpflichtet, personenbezogene Daten zu löschen, wenn kein ausreichender Grund mehr besteht, sie länger vorzuhalten.
Foto: bahri altay - shutterstock.com

Nun eröffnet Big Data viele Möglichkeiten. Sogar die Bundesregierung widmet sich dem Thema und fördert Smart-Data-Lösungen bis 2018 mit rund 30 Millionen Euro. Schließlich sorgt Big Data für Wachstum und bietet neue Möglichkeiten, mit Kunden zu interagieren, Geschäftsabläufe zu optimieren und Betriebskosten zu senken. Es stellt Unternehmen aber auch vor neue Herausforderungen beim Management, bei der Speicherung und beim Löschen der Daten.

Wann Sie Daten löschen müssen

Betriebsvereinbarungen, Firmen Policies und das Bundesdatenschutzgesetz - kurz BDSG - regeln, wann ein Unternehmen Daten löschen muss. Unternehmen sind gemäß § 35 BDSG verpflichtet, personenbezogene Daten zu löschen, wenn kein ausreichender Grund mehr besteht, die Daten länger gespeichert zu halten, erklärt Dr. Sebastian Kraska, Rechtsanwalt und Datenschutzbeauftragter bei IITR. Die Rechtsgrundlage besteht nicht mehr, wenn z.B. gegen die Nutzung der Daten Widerspruch eingelegt wurde.

Zudem müssen personenbezogene Daten gelöscht werden, wenn keine Rechtsgrundlage für das Erheben der Daten besteht, z.B. wenn unzulässige Informationen in einem Formular abgefragt wurden. Verlangt eine Person die Löschung ihrer Daten, ist das Unternehmen aber aufgrund gesetzlicher Aufbewahrungsfristen zur Speicherung verpflichtet, dürfen die Daten nicht gelöscht werden, sondern müssen gesperrt werden, führt Kraska weiter aus. Dazu müssen die personenbezogenen Daten gekennzeichnet werden, um ihre weitere Verarbeitung oder Nutzung einzuschränken.

Löschen gilt nur für Live-Systeme

"Löschen wiederum ist gesetzlich definiert als das Unkenntlichmachen gespeicherter personenbezogener Daten, sagt Kraska. "Die Löschverpflichtung bezieht sich nach vorherrschender Ansicht auf die Live-Systeme", erläutert der Rechtsanwalt weiter. Die Daten müssen also nicht auch aus den Backups "herausgelöscht" werden. Allerdings dürfen gelöschte Daten nicht gezielt aus den Backups wiederhergestellt werden.

Bei den Daten aus dem Marketing, die über eine Cloud-Lösung verwaltet und bearbeitet werden, bestehen keine gesetzlichen Aufbewahrungsfristen. Dennoch machen sich Unternehmen das Leben deutlich leichter, wenn sie ihre Datenbanken ordentlich pflegen und ihre Marketingdaten aktuell halten, rät Heike Neumann, Marketing Manager Western Europe North, Oracle Marketing Cloud. Damit erreicht das Unternehmen gleich zwei Dinge: Zum einen vermeidet es rechtliches Konfliktpotenzial, wie zum Beispiel Beschwerden über die Zusendung unerwünschter Marketing E-Mails, und zum anderen ist der Pflegezustand der Datenbank ein entscheidender Faktor für erfolgreiche Kampagnen.