Zur Navigation springen Zum Inhalt springen Zum Footer springen

DSGVO – Kundendaten

  • 1 Minute Lesezeit
  • (3)

Vielen Unternehmen wissen mittlerweile, dass sie Kundendaten sichern müssen. Aber was  sind die genauen Anforderungen nach der DSGVO? Welche Kriterien müssen erfüllt sein, damit die Daten als „sicher“ gelten?

 Papierform

  • Übersichtliches Ablagesystem wählen.
  • Dokumente nach Zweck und Anwendungsbereich sortieren.
  • Es sollte immer mitprotokolliert werden, dass Einverständniserklärung zur Person vorliegt.
  • Unternehmen müssen ermitteln, welche Mitarbeiter mit welchen Daten arbeiten.
  • Abschließbare Rollcontainer und Aktenschränke oder sogar Büro-Tresore für besonders sensible Daten.

 Papierform Vernichtung (Daten löschen) nach Art. 17 DSGVO

Daten dürfen nur solange gespeichert werden, wie sie einem bestimmten Zweck dienen. Dokumente sind so zu vernichten, dass ihr Inhalt nicht mehr rekonstruiert werden kann, z. B. durch Aktenvernichter oder Schredder.

Am PC/Laptop

Eine ausreichende Absicherung vor unbefugtem Zugriff, sowohl physisch als auch technisch, ist notwendig. Das bedeutet, dass z. B. Serverräume abschließbar sein müssen. Passwörter müssen eingesetzt/genutzt und regelmäßig gewechselt werden.

Es sind Backups der wichtigen Daten zu erstellen z. B. auf externe Festplatten oder in Clouds.

Sicherheitsmaßnahmen wie Antivirenprogramme, Firewalls und Antispyware müssen installiert sein und regelmäßige Updates sind durchzuführen.

Daten löschen am PC

Mithilfe geeigneter Software sind die gelöschten Daten mit einem binären Wert physikalisch zu überschreiben und dies auch zu dokumentieren.

Die lückenlose Dokumentation der Datenlöschung ist notwendig für die Rechenschaftspflicht gegenüber Datenschutzbehörden.

Bei besonders sensiblen Daten (z. B. Gesundheitsdaten) sind diese nicht nur zu überschreiben, sondern komplett zu vernichten.

Datenspeicher in einer Cloud

Das Speichern von personenbezogenen Daten in einer Cloud ist nur unter starken Sicherheitsvorkehrungen möglich.

Voraussetzungen in Art. 28 DSGVO

Es darf nur mit Cloud-Anbietern gearbeitet werden, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Es wird ein dem jeweiligen Risiko der Datenverarbeitung angemessenes Schutzniveau verlangt. Das Risiko bestimmt sich am Einzelfall.

Es ist anzuraten, einen Anbieter innerhalb Deutschlands oder der EU auszuwählen. 


Rechtstipp aus dem Rechtsgebiet Datenschutzrecht

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Ihre Spezialisten

Rechtstipps-Newsletter abonnieren

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.

Newsletter jederzeit wieder abbestellbar.