Die in der Datenschutzgrundverordnung enthaltene Klausel über das Recht auf Vergessenwerden (oder Löschpflicht) zwingt Datenschutzbeauftragte dazu, die Richtlinien zur Datenspeicherung zu überdenken. Die Zeit des intensiven Aufzeichnens von endlosen Logbüchern in ITSM-Tools könnte jetzt gut und gern vorbei sein, denn der Versuch, wirklich alle persönlichen Daten einer Person zu löschen oder anonym zu halten, ist aus technischer und unternehmerischer Sicht eine große Herausforderung.
In den letzten Jahren habe ich an vielen ITSM-Tool-Ausschreibungen teilgenommen und festgestellt, dass diese, natürlich abhängig davon wie der Gesetzgeber das Recht zum Vergessenwerden interpretiert, in vielerlei Hinsicht gegen die kommenden DSGVO-Richtlinien verstoßen. Einige Beispiele:
- das ITSM Tool soll einen Einblick in die Historie der Änderungen eines Dateneintrages ermöglichen
- das ITSM Tool soll alle Änderungen von Dateneinträgen in einem geschützten Log File aufzeichnen
- das ITSM-Tool soll genau dokumentieren, wer wann welchen Dateneintrag gelesen hat
Wenn Sie die oben genannten Punkte in Ihrem ITSM-Tool umsetzen, dann kreieren Sie eine riesige Anzahl von Logs. Ja, es stimmt schon, Big Data war in den letzten Jahren in aller Munde, aber wenn Sie diese enormen Datenmengen nicht anderweitig verwenden als sie einfach nur „im Falle des Falles“ aufzubewahren, dann sollten Sie wirklich Ihre Richtlinien zur Datenspeicherung überdenken. Brauchen Sie wirklich so viele persönliche Daten für Ihr Tagesgeschäft?
Die DSGVO räumt jeder Person, die Ihr ITSM-Tool benutzt hat, das Recht ein zu beantragen, dass ihre persönlichen Daten (einschließlich so trivialer Dinge wie ihr Name) gelöscht werden. In der Realität gibt es solche Situationen vor allem wenn die Geschäftsbeziehung mit der Person ein Ende nimmt (wie das Ende eines Arbeitsvertrages). Die Person könnte Ihre Einwilligung, Ihre persönlichen Daten zu benutzen, wiederrufen oder - und das wäre weitaus schlimmer - beantragen, dass alle persönlichen Daten gelöscht werden. Wie wird Ihr Unternehmen in dieser Situation reagieren? Wie werden Sie es schaffen, eine Person, die sie so gut kannten, wirklich zu „vergessen“?
Bei Efecte sind wir der Überzeugung, dass es drei einfache Wege gibt, mit den Vorgaben der DSGVO bezüglich des Recht auf Vergessenwerden in Einklang zu sein. Wie genau, das sehen Sie in unserem Guide for IT Service Managers: Three steps to comply with GDPR right to be forgotten (auf English). Sollten Sie noch weitere Fragen haben, oder Hinweise zur Aktualisierung Ihrer Richtlinien zur Datenspeicherung brauchen, dann können Sie uns gern kontaktieren. Wie sind hier, um Ihnen zu helfen.
Peter Schneider
VP Products
Kontaktieren Sie uns
